權限管理系統是每個B端產品都繞不過去的問題,好的權限管理系統具有可以明確企業內不同人員、不同部門的分工,降低操作風險發生概率,便于管理等優勢。
傳統的權限管理往往授權方式單一、維護成本高。永洪BI的權限管理系統,經歷了若干版本迭代,具備高度靈活性。管理員可以批量導入用戶數據,輕松維護企業組織架構。系統提供了用戶授權、分組授權等多種授權方式,同時支持頁面化設置數據行級列級權限,可滿足不同規模企業的授權需求。本文將帶你深度解析永洪BI權限管理系統。
永洪BI權限管理系統設計整體上參照RBAC模型,RBAC模型全稱為Role-Based Access Control,即基于角色的訪問控制。在此模型中權限與角色相關聯,用戶通過成為適當角色的成員而得到這些角色的權限。
有些讀者可能會有疑問,如果去掉角色概念,直接將用戶與權限進行綁定是否可以減輕工作步驟?對于人員較少的企業來說確實可以,但是對于中大型企業,組織結構龐大且復雜,如果再直接將用戶與權限綁定,會造成大量重復的操作和冗余的權限數據。當用戶身份發生變更時,還需要重新梳理綁定。所以將權限封裝成角色,在賦予給指定用戶和分組,可以大大提升效率和穩定性。
為了兼容各種規模的企業,永洪BI認證授權模塊包含了用戶管理、分組管理、角色管理和授權編輯四部分,管理員可選擇直接對用戶授權,也可以選擇通過角色授權。
在用戶管理中,管理員可完成對用戶的增刪改查操作,維護用戶基礎信息,添加分組和角色,以及對單個用戶添加權限。
分組可以是企業中的組織架構,也可以是業務群組。永洪BI中分組支持樹狀的層級結構,管理員可以管理分組的層級,在某個組內添加用戶。
當某個組內的所有用戶都具有相同角色時,可以將角色直接添加在分組上,根據繼承原則,分組下的所有用戶都會自動添加到該角色。同樣管理員也可以對單個分組進行授權。
角色可以是企業中的職位,也可以特指擁有某一類權限集合的對象,如數據管理員主要負責數據庫對接及數據處理,運維管理員主要負責系統運行管控等。在角色管理中,管理員可以給角色添加權限,并將角色添加給指定用戶和分組。
考慮到不同角色的權限可能差異不大,所以產品支持角色復制功能,可以將一個角色的權限一鍵復制給其他多個角色,管理員再對其他角色做剩余調整即可。
admin_role:超級管理員,擁有系統所有模塊和資源的權限,可以管理全部用戶、組、角色。
groupAdmin_role:組管理員,可以管理所在組內的用戶,可以創建角色。其擁有的權限由admin進行指定。
everyone_role:所有用戶都默認擁有的角色,擁有若干基礎操作權限。
developer_role:報告管理員,一般為報告制作人員,用戶優先級會自動降至較低
授權編輯模塊提供了另一種授權角度,即可以從資源層面進行授權。當系統新增了一個資源,涉及若干個角色的改動時,可以直接在資源上進行調整。
繼承規則也是永洪BI權限系統的核心之一。在上文中也有提及,用戶可以繼承其所在父組的權限和角色,獲得相應權限,也可以繼承其擁有角色的權限。
利用繼承規則,可以大大減少重復授權的操作,便于權限的更新與擴展,因此需要管理員合理規劃系統組織架構,將權限的最小集合封裝為角色,然后賦予給相關的分組和用戶。對于個別用戶擁有額外權限,可以再單獨授權。
產品中通過頁面樣式的變化,也可以區分出權限的不同狀態:
如果是灰色勾選,說明權限是從分組或角色處繼承而來。
如果是綠色無勾選,說明擁有文件夾下面某些子項的權限,但是沒有父項的權限。
除了對資源和操作進行權限管控外,數據安全管控也是B端產品極為重要的部分,企業數據往往有嚴格的業務等級劃分,例如銷售經理可以查看整個部門的銷售數據,而銷售組長僅能查看本組的數據等。因此永洪BI設計支持了數據行級和列級權限管理。
行級權限可通過行過濾器配合內置參數實現。舉例說明:假設有一張業務表A,記錄了北京和上海地區咖啡和茶兩種商品的總銷量。小明是北京地區的銷售經理,可以查看北京的全部銷售數據,小紅是上海地區的銷售經理,可以查看上海地區的全部銷售數據。我們可以設計權限表B,將用戶與地區一一對應起來,然后通過內置參數?{_USER_}過濾出每個登錄用戶所對應的地區,在以此作為條件過濾業務表。
業務表A過濾條件:地區 是 其中一個 ?{region},?{region}賦值為權限表B的地區列。
權限表B過濾條件:用戶 是 = ?{_USER_}
列級權限較行級權限更容易理解和設置,可以直接在元數據界面上添加過濾對象,支持過濾用戶、組、角色。此外還支持白名單過濾和黑名單過濾:黑名單為所選值不可見該字段,白名單則相反。
以上即為永洪BI權限管理系統設計的基本內容,希望通過本文,能讓你對權限管控有更深刻的理解。
?
