行级权限的控制需要在数据集上进行配置。Quick BI的行级授权模式包含用户 / 用户组授权标签授权。当组织成员较多时,通过使用标签授权可以避免对用户、用户组单独授权,实现一次性为所有用户授权,降低成本和复杂度,方便后续管理。

前提条件

您已创建一个数据集。请参见创建数据集

背景信息

目前仅在Quick BI高级版和专业版的群空间中可以对数据集设置行级权限。

设置成员标签

示例场景:设置当前用户只可以访问数据集company_sales_record中字段shipping_type的值为大卡空运的数据。

  1. 登录Quick BI控制台
  2. 在顶部菜单栏单击界面配置图标。
  3. 配置面板页面,选择需要授权的用户并单击成员标签有关标签的详细操作请参见标签管理
  4. 修改成员标签页面,设置标签area的值为空运,大卡,并单击确定

成员标签设置完成后,需要在数据集的行级权限设置页面进行标签授权的设置。

设置标签授权

  1. 单击工作空间 > 数据集
  2. 在数据集管理页面,找到目标数据集company_sales_record并单击操作列的更多图标,选择行级权限
    您也可以右键单击目标数据集company_sales_record并选择行级权限行级权限
  3. 选中启用行级权限控制 > 标签授权,启用该功能。
  4. 受控字段选择shipping_type标签参数选择area,并单击确定完成行级权限设置。

标签授权设置完成后,该用户只能访问shipping_type空运大卡的数据。

标签式授权全流程配置

  1. 梳理行级权限矩阵。
    对于一个组织来讲,“行级权限管控”往往跟组织架构管理体系是大同小异的,组织架构管理体系一般有两个部分组成归属部门和岗位,岗位是组织要求个体完成的一项或多项责任以及为此赋予个体的权力的总和。一个人的行级权限,跟归属部门和岗位两种属性有一定的关联性,但并不是完全等同。例如,一个分公司经理,归属于分公司A,管理分公司业务的同时,又兼顾分公司B的职务。从数据权限的角度来讲,该分公司经理已经具备分公司A、分公司B的部分数据访问权限。梳理行级权限
    基于Quick BI的标签式授权,如上图所示,按照区域、省份、城市进行“行级权限矩阵”梳理有如下说明:
    • 权限范围说明:
      • example1具备该组织所有数据访问权限。
      • example2具备华东浙江省的数据访问权限。
      • example3具备华东浙江省杭州市的数据访问权限。
    • 用户标签字段可以自定义扩展,扩展列名称以tag_开头,例如tag_area、tag_province、tag_city。
    • $ALL_MEMBERS$代表所有数据访问权限。
    • 如果标签项对应多个权限,采用逗号分隔填写。
    • 如果任一标签项为空,则代表没有任何权限。
  2. 标签导入。
    标签导入,一般是在初始化导入标签或组织结构大调整的情况下,进行用户的批量标签内容更新。具体操作如下:
    1. 在顶部菜单栏单击配置面板
    2. 组织管理页面的组织成员页签,单击批量添加组织成员
    3. 批量添加组织成员信息页面,单击选择Excel文件,批量导入已梳理的“行级权限矩阵”,即可完成行级标签导入操作。
      标签导入
  3. 标签值管理。
    标签值管理,一般是在个别人员变更的情况下进行数据修订,完成用户行级权限的平滑迁移。
    1. 组织管理页面的组织成员页签,在每个组织成员的云账号右侧操作列单击成员标签
    2. 修改成员标签页面修改标签值后,单击确定
      标签值管理
  4. 标签授权映射。
    1. 单击工作空间 > 数据集
    2. 数据集页面,在目标数据集上单击右键选择行级权限
    3. 在行级权限设置页面,选中启用行级权限控制
    4. 选择授权模式为标签授权,在受控字段中选择对应的标签参数后,单击确定
      标签授权映射

验证标签授权准确性

当您没有开启行级权限时,订单销量分布显示了全国范围,如下图所示。全国范围
当您开启行级权限时,订单销量分布仅显示了数据范围限定内的数据(即,下图仅显示浙江省的数据)。浙江数据
执行的SQL语句会自动根据访问者标签信息在过滤条件中追加区域、省份、城市的数据范围限定,如下图所示。SQL语句