1. 概述
1.1 版本
| FineBI 版本 | 功能变更 |
|---|---|
| 5.1 | - |
| 5.1.13 | 界面优化,用户最终权限独立,与权限快速配置并齐 |
| 5.1.15 | 功能优化,授权权限配置独立,与普通权限配置并齐 |
| 5.1.17 | 权限各Tab页面切换时,保留页面交互状态 |
1.2 应用场景
多部门共用系统、各个部门有其自己的管理员,并给其部门员工分配权限,即实现多级管理员层层分配。
分级管理员只能管理自己职责范围内的模板权限分配,如下图所示:
1.3 功能简介
超管登录数据决策系统,点击「管理系统」,在「权限管理」页可以设置本系统所有权限。如下图所示:
2. 权限载体
注:请在分配权限前完成「用户管理」的内容配置。
权限载体:指获得权限的对象。包括:部门、角色、用户。
注:5.1.17 及之后版本的工程,在「权限快速配置」和「用户最终权限」之间切换时,权限实体的选中状态、折叠展开状态不变。
| 权限载体 | 适用场景 | 示例文档 |
|---|---|---|
| 部门 | 部门架构清晰明了时,以部门为权限载体是最优方案 | 根据部门职位分配权限 |
| 角色 | 角色可以理解为不同部门内,拥有同一身份(非部门架构)的人的集合 比如peter属于内服部门,marks属于营销部门,但是他们都是股东,且股东不属于部门架构里的职务 | 根据角色分配权限 |
| 职务 | 零售、银行等行业在很多城市都有业务,每个城市下都有相同的部门和职位 管理员给不同部门的相同职位分配权限时,只能一个一个配置,工作量巨大 此时适合以职务作为维度批量分配权限 | 根据职务分配权限 |
| 用户 | 部分用户临时需要查看某张模板 领导身兼多职,领导有权限查看某些模板但领导所在部门和角色没有权限 有时候需要针对特定的个人分配仪表板权限,就必须先专门建一个新角色 这时,可以给某些特殊的人员(用户)单独分配权限,没有部门职务/角色的限制 | 根据用户分配权限 |
2.1 权限快速配置
「权限快速配置」中,管理员可为部门和角色配置权限。如下图所示:
2.2 用户最终权限
用户最终权限中,管理员可为单个用户配置权限。如下图所示:
3. 权限实体
权限实体:指被分配的权限项。包括:人员管理、目录权限、管理系统、数据连接、定时调度、数据权限、共享权限。如下图所示:
数据决策系统中默认只能配置「目录权限」、「数据权限」、「共享权限」。
如需开启其他权限配置,超级管理员登录数据决策系统,点击「管理系统>权限管理>全局设置」,打开对应设置,点击「保存」,如下图所示:
注:次级管理员权限管理界面中没有「全局设置」按钮。
各类权限配置需要开启的按钮如下表所示:
| 权限类型 | 配置项 | 帮助文档 |
|---|---|---|
| 人员管理权限 | ||
| 管理 | 需要开启「分级授权」按钮 | 人员管理的管理权限 |
| 授权 | 需要开启「分级授权」按钮 | 人员管理的授权权限 |
| 目录权限 | ||
| 查看 | 默认支持配置 | 目录查看权限 |
| 导出 | 默认支持配置 | 目录导出权限 |
| 编辑 | 需要开启「分级授权」按钮 需要开启「目录编辑」按钮 | 目录编辑权限 |
| 授权 | 需要开启「分级授权」按钮 | 目录授权权限 |
| 管理系统 | ||
| 目录管理模块的使用权限 | 需要开启「分级授权」按钮 需要开启「目录编辑」按钮 | 次级管理员的权限范围 |
| 目录管理模块的授权权限 | 需要开启「分级授权」按钮 需要开启「目录编辑」按钮 | |
| 数据连接模块的使用权限 | 需要开启「分级授权」按钮 需要开启「数据连接控制」按钮 | |
| 数据连接模块的授权权限 | 需要开启「分级授权」按钮 需要开启「数据连接控制」按钮 | |
| 其他模块的使用权限 | 需要开启「分级授权」按钮 | |
| 其他模块的授权权限 | 需要开启「分级授权」按钮 | |
| 数据连接 | ||
| 使用 | 需要开启「数据连接控制」按钮 | 数据连接使用权限 |
| 管理 | 需要开启「分级授权」按钮 需要开启「数据连接控制」按钮 | 数据连接管理权限 |
| 授权 | 需要开启「分级授权」按钮 需要开启「数据连接控制」按钮 | 数据连接授权权限 |
| 定时调度 | ||
| 管理 | 需要开启「分级授权」按钮 需要开启「定时调度管理」按钮 | 定时调度管理权限 |
| 授权 | 需要开启「分级授权」按钮 需要开启「定时调度管理」按钮 | 定时调度授权权限 |
| 数据权限 | ||
| 使用 | 默认支持配置 | 数据表使用权限 |
| 管理 | 默认支持配置 | |
| 行权限/列权限 | 默认支持配置 | 分配数据表中部分数据权限 |
| 授权 | 需要开启「分级授权」按钮 | - |
| 共享权限 | ||
| 仪表板公共链接使用权限 | 默认支持配置 | 仪表板公共链接分享权限 |
| 仪表板分享使用权限 | 需要开启「仪表板-分享控制」按钮 | 仪表板分享权限 |
| 自助数据集分享/协作使用权限 | 需要开启「自助数据集-分享/协作控制」按钮 | 分享/协作自助数据集 |
4. 权限类型
权限类型:指分配给次级管理员的权限种类。包括:查看、导出、使用、编辑、管理、授权。
注:5.1.15 及之后版本的 BI 工程,区分「普通权限配置」和「授权权限配置」。
注:5.1.17 及之后版本的工程,在「普通权限配置」和「授权权限配置」之间切换时,权限载体和权限实体的选中状态、折叠展开状态不变。
4.1 普通权限配置
普通权限配置中,可以管理员配置查看、导出、使用、编辑、管理权限,如下图所示:
4.2 授权权限配置
授权权限默认不可配置,超级管理员需要先开启「分级授权」,方可配置授权权限,如下图所示:
开启相关按钮后,即可为次管分配授权权限,如下图所示:
5. 查看维度
管理员可在不同维度下进行权限配置:用户组维度,资源项目维度。
5.1 用户组维度
系统默认使用「用户组维度」进行权限配置。
配置权限时,管理员先选定左侧的权限载体,再在右侧为其配置对应的权限实体。如下图所示:
管理员进行权限分配时,需注意以下几点:
如果次级管理员需要将仪表板和平台管理的「使用」权限分配给其他人,首先该用户必须要有该仪表板和平台管理的「授权」权限。
如果出现多个管理员为同一角色进行权限分配,那么后配置的覆盖更新先配置的。
分级管理员增删目录的时候,当删除目录时,会删除下面挂载的所有的模板,包含无权限的模板。
如果次级管理员需要编辑角色内用户(添加/删除),还需将「用户管理」节点的使用权限赋给次级管理员。
5.2 资源项目维度
管理员可点击切换使用「资源项目维度」进行权限配置。在「资源项目维度」下仅支持为「目录权限」分配权限载体,不支持其他权限实体。
配置权限时,管理员先选定左侧的「目录权限」,再在右侧将其分配给部门、角色、用户。如下图所示:
6. 权限逻辑
由于一个用户可能有多个部门职务或角色,部门之间存在父子层级结构,因此权限设置过程中需要遵循相关权限逻辑。
| 逻辑 | 定义 |
|---|---|
| 用户最大 | 对于同一权限实体,用户权限优先级大于部门/角色的权限。如果有用户权限,则直接以用户权限为准。 |
| 权限并集 | 当用户属于的多个权限载体(部门/角色/职务)都配置了权限,用户会继承所有权限且最终取并集。 |
| 父覆盖子 | 对于树结构: 给子节点配置权限,再给父节点配置权限,则在当前维度及更低维度:父节点会覆盖子节点的权限(例如给目录1下模板1配置编辑,给父节点配置查看,查看子节点有编辑权限) 给子节点取消权限,再给父节点取消权限,则在当前维度及更高维度:父节点会覆盖子节点的权限(例如给目录1配置编辑权限,给子节点取消查看权限,再给父节点取消编辑,查看子节点无权限) |
| 子不影响父 | 对于树结构,先给父节点配置权限,再给子节点配置不同的权限,父子节点权限各自生效,互不影响 |
7. 权限配置半选状态
查看数据决策系统的目录权限配置,当目录收起时,管理员无法确认子节点有无权限。可通过目录权限配置左侧文字是否高亮,判断权限配置情况。
文字半选高亮适用范围为「权限配置」右侧三种权限类型:人员管理、目录权限、管理系统、数据权限,「资源项目维度」不适用。本章以目录权限为例进行说明。
7.1 子节点有权限
子节点有目录查看权限,无论父节点是否有查看权限,子节点及其父节点文字均高亮。即只要有最低权限,父节点文字即高亮显示。
1)子节点有目录查看权限,父节点也有目录查看权限。如下图所示:
2)子节点有目录查看权限,父节点没有目录查看权限。如下图所示:
7.2 子节点无权限
子节点及父节点均无目录查看权限,则子节点及父节点均无「文字高亮效果」。如下图所示:
