数据列权限
概述
-
行权限管理采用白名单机制:这意味着只有被明确授权访问特定维度的用户才能使用这些维度进行数据分析。对于没有获得特定维度访问权限的用户,将无法利用该维度进行指标分析。
-
平台超级管理员、平台管理员、指标负责人及指标管理员享有全维度访问权限:这类角色能够查看并使用指定指标下的所有维度。
基本概念
列权限是由权限规则授予的。一条权限规则由以下几个要素组成:
| 配置项 | 描述 |
| 适用成员 | 可以选择单个用户或用户组作为权限分配对象。 |
| 生效指标 | 支持为具体指标或者所有指标设置权限。 |
| 可用维度 | 当选择特定指标时,从其公共维度中挑选;若选择全部指标,则从系统支持的所有维度中选取。 |
操作入口
由平台的管理员,在管理设置中进行配置。
数据列权限配置窗口:
权限规则
权限规则分为基本信息、生效指标、适用成员以及条件规则四个部分。
基本信息
基本信息部分需要用户为行权限的规则进行命名,以及添加一些描述信息,便于以后得维护工作。
适用成员
支持通过用户和用户组的方式来选择适用范围。 仅适用成员可以使用指定维度进行分析,其他用户无法使用该维度。
生效指标
支持选择指定指标 以及 全部指标
可用维度
选择指定指标时,指定维度中选择指标的公共维度
选择全部指标时,指定维度中选择全部维度
规则机制示例
-
案例一:
-
指标M1具有D1, D2, D3, D4四个维度。
-
权限规则:用户A可访问M1的D1维度。
-
结果:用户A查询M1时可见D1, D2, D3, D4;而用户B仅能看到D2, D3, D4(假设无其他特殊设定)。
-
案例二:
-
同样地,M1包含D1至D4四个维度。
-
权限规则包括:用户A对D1有访问权,用户B对D2有访问权,以及用户A同时拥有D1和D3的访问权限。
-
最终效果是:用户A可以访问D1, D3, D4;用户B仅能访问D2, D4;而未被特别授权的用户C只能看到非受限维度D4。
在上述例子中,通过多个规则的组合应用,形成了针对不同用户的个性化维度访问策略。每个受控维度均按照白名单原则执行,即只有明确列出的用户才能对其进行操作。
行权限共同作用
用户可能由于列权限控制导致其失去某个维度的使用权限,但是该维度被用于行权限的数据过滤中,在该case下,对计算处理先后顺序为:
-
生效行权限数据过滤
-
判断查询中是否使用到维度,若用到该维度进行拦截