Quick BI支持“自定义角色权限体系”,助力企业安全灵活的组织运营管理。从用户、资源到角色权限,满足企业多层次的安全合规诉求;以岗赋权,多岗多角色,将用户批量关联至指定角色,统一管理,清晰化各职能边界;从组织级到空间级角色,支持对各功能模块高度自定义权限管控,安全保障功能范围内各司其职。本文为您介绍如何自定义组织角色和空间角色,并添加用户到自定义角色中。
使用限制
仅专业版支持自定义角色。
角色相关的开放API能力仅支持系统预置角色的设置,后续会逐步拓展支持自定义角色。
功能介绍
官方预置用户角色:支持默认一个空间角色,支持删除默认的官方角色并重新绑定新的自定义角色。
在组织层面,预置组织管理员、权限管理员、普通用户三种组织角色。
在空间层面,预置空间管理员、空间开发者、空间分析师、空间查看者四种空间角色。
客户自定义角色:企业可结合实际应用场景,为用户添加多个角色,支持自定义组织级角色和空间级角色。
功能权限:结合实际应用场景,支持为指定角色定义功能权限范围。
资源权限:支持组织级,空间级集中资源授权。
功能入口
在Quick BI首页,按照下图指引,进入角色管理页面。
组织角色
新建组织角色。
在角色管理页面,按照图示方式新建组织角色。
配置功能权限。
在角色管理页面,按照图示方式配置角色的功能权限。
组织管理:工作空间管理、企业安全(功能范围包括集中授权,协同授权配置,数据安全)、智能运维、外观配置、报表配置、地图配置
企业应用:智能问数(集中管理、数据集问数配置、问数)、智能搭建(功能范围包括仪表板中的智能小Q)、指标监控、订阅管理、自助取数、资源包管理
开放集成:组织识别码(AK/SK)、开放API、数据服务、嵌入分析、自定义组件&菜单、自定义模板。
说明新建的组织角色默认选中智能问数(含问数,不含集中管理和数据集问数配置)、智能搭建、指标监控、订阅管理、自助取数、开放API、数据服务和嵌入分析模块的功能权限,支持取消勾选或增加勾选其他模块。
预置组织角色不支持修改功能权限。
组织管理员是组织中权限最大的角色,可以管理组织下全量功能。支持工作空间管理、企业安全(功能范围包括集中授权,协同授权配置,数据安全)、智能运维、外观配置、报表配置、地图配置、智能问数(集中管理、数据集问数配置、问数)、智能搭建(功能范围包括仪表板中的智能小Q)、指标监控、订阅管理、自助取数、资源包管理、组织识别码(AK/SK)、开放API、数据服务、嵌入分析、自定义组件&菜单和自定义模板模块。
权限管理员支持企业安全、智能问数(含问数,不含集中管理和数据集问数配置)、智能搭建、指标监控、订阅管理、自助取数、开放API、数据服务和嵌入分析模块。
普通用户支持智能问数(含问数,不含集中管理和数据集问数配置)、智能搭建、指标监控、订阅管理、自助取数、开放API、数据服务和嵌入分析模块。
添加角色用户。
在角色管理页面,按照图示方式添加角色用户。
单击添加用户后,被选中的用户将出现在角色用户列表。您可以通过点击用户类型过滤器,快速查看对应类型下的所有用户,也可以在右侧用户列表继续选择用户进行添加。
支持切换到用户组并跨组批量选择成员进行添加。
支持展开用户组(①)、全选当前用户组中的用户(②)或勾选当前用户组中的部分用户(③)。
单击添加用户后,被选中的用户将出现在角色用户列表。
删除角色用户。
在角色用户列表,鼠标移动到目标用户,单击目标用户右上角的图标,在弹出的解除组织角色确认框中单击确定进行删除。
您可以按照图示方式批量删除用户。
批量变更角色用户。
在角色用户列表按照图示方式进入角色批量变更界面。
在角色批量变更界面,选择需要变更为的角色并单击确定。
空间角色
新建空间角色。
在角色管理页面,按照图示方式新建空间角色。
配置功能权限。
在角色管理页面,按照图示方式配置角色的功能权限。
说明新建的空间角色默认选中各个模块的展示权限;支持勾选或取消勾选功能模块;支持添加各个模块的新建(编辑)权限及数据集、数据源的使用权限。
预置空间角色不支持修改功能权限。
空间管理员拥有所有模块的新建(编辑)、使用和查看权限,空间管理员是当前空间下权限最大的角色,除了上述权限外,支持管理空间下其他成员的权限、作品。
空间开发者拥有所有模块的新建(编辑)、使用和查看权限。
空间分析师拥有数据门户、仪表板、数据大屏、电子表格、即席分析、自助取数和数据准备模块的新建(编辑)、查看权限;数据填报、数据源的查看权限;数据集的使用和查看权限。
空间查看者拥有所有模块的查看权限。
添加角色用户。
在角色管理页面,按可以看到角色用户列表,新创建的角色用户列表为空,需要在空间成员与信息页面进行配置。
按照下图指引进入空间成员与信息页面并添加角色用户。
在添加工作空间成员界面,选择成员及空间角色。
支持选择用户和用户组成员。
请参见添加工作空间成员。
单击确定后,成功添加用户至相应的空间。
此时,在对应空间角色的角色管理页面,该用户出现在角色用户列表。您可以在此通过点击用户类型过滤器,快速查看对应类型下的所有用户
删除角色用户。
在工作空间管理-空间成员与信息-成员管理页面,单击目标用户右侧的图标进行删除。
请参见删除工作空间成员。
应用场景1-自定义数据大屏管理员角色
本节将您介绍如何使用自定义角色给某个岗位员工设定角色权限,使其在职能范围内合理使用BI功能。
背景介绍
假设您企业员工小明是市场部宣传组的员工,您想要他仅可使用数据大屏去做对外展示。
操作步骤
假设您是新客,您可以按照以下步骤给小明赋予相应的角色 :
按照图示方式新建工作空间。本例中为“宣传部演示空间”。
新建空间角色为大屏管理员。
并给大屏管理员这个自定义角色配置数据大屏的新建(编辑)以及数据集和数据源的使用权限。
在工作空间管理页面,添加小明为“宣传部演示空间”的大屏管理员。
此时,小明仅可看到和使用数据大屏模块,在他的职能范围内合理使用BI功能。
假设您是老客:
小明的现有权限为:小明已经在空间内,组织级为普通用户角色,空间级为开发者角色,小明可以看到该空间下的所有功能模块目录,可以新建、编辑所有功能。
您可以按照以下步骤给小明赋予相应的角色 :
新建空间角色为大屏管理员。
并给大屏管理员这个自定义角色配置数据大屏的新建(编辑)以及数据集和数据源的使用权限。
在空间成员与信息页面,将小明已有初始化的空间开发者权限变更为大屏管理员。
此时,小明仅可看到和使用数据大屏模块,在他的职能范围内合理使用BI功能。
应用场景2-自定义ETL工程师和资源管理员角色
本节将您介绍一个复杂多元的权限应用场景。
背景介绍
Sam在一家汽车品牌公司任职,他在公司有以下两个岗位职责:
数据部门的ETL工程师:只能开发数据,仅对数据进行清洗加工等操作,但目前拥有的是数据部门空间的空间开发者权限,额外拥有数据门户、仪表板、数据大屏等新建和编辑权限,角色定位不匹配。
资源管理员:仅可管理和发布资源包,负责投产工作,但目前拥有的是组织管理员权限,拥有组织内所有权限,超出了职责范围。
自定义角色功能权限上线后,管理员可以进行精细化赋权,将Sam赋予真正的ETL工程师和资源管理员权限,解决权限过大、角色定位不匹配的问题。
操作步骤
创建自定义空间角色和自定义组织角色。
创建自定义空间角色-ETL工程师。
并给该自定义角色配置数据准备、数据集、数据源的新建(编辑)权限。
创建自定义组织角色-资源管理员。
并给该自定义角色配置资源包管理权限。
将Sam添加为ETL工程师和资源管理员这两个角色。
在工作空间管理-空间成员与信息界面,将Sam原先的空间开发者角色变更为ETL工程师角色。
在用户管理界面,将Sam原先的组织管理员角色变更为资源管理员角色。
此时,Sam在组织层面,仅可管理和发布资源包,负责投产工作。在空间层面,只能在对应空间内开发数据,仅对数据进行清洗加工等操作。
权限优先级说明
本节将以两个场景来说明权限优先级的逻辑。
权限优先级
从功能的角度,功能权限大于空间资源使用权限。
从资源的角度,功能权限受到空间资源权限的约束。
场景1:
用户现有权限:小明已在A空间,组织级为普通用户角色,空间级为开发者角色,小明可以看到A空间下工作台所有功能模块目录,可以新建(编辑)仪表板、电子表格、数据大屏、数据源、数据集等所有功能模块。
用户权限变更
组织管理员进入角色管理中心,新建空间角色-仪表板无权限角色,对应的功能权限如下,即没有仪表板模块的新建(编辑)和查看权限。
在空间成员与信息页面,将小明已有初始化的空间开发者权限变更为仪表板无权限角色。
此时,小明看不到A空间的仪表板入口,无法操作仪表板,即小明对原有的空间资源内仪表板的使用权限失效。
所以,功能权限大于空间资源使用权限。
场景2:
用户现有权限
小明已在A空间,组织级为普通用户角色,空间级为空间分析师角色。
小明可以看到A空间下工作台所有目录,不可以操作数据源、数据集,仅可操作自己建立的报表。
同时对小明进行资源的授权,授权了小张在A空间制作的3张报表的编辑权限。
用户权限变更
在空间成员与信息页面,将小明已有初始化的空间分析师权限变更为仪表板管理员。
仪表板管理员功能权限如下。
此时,小明仅可到看A空间下的仪表板,同时可以管理自己的报表以及小张授权的3张报表。
所以,功能权限也要受到空间资源权限的约束。