摘要
就数据访问权限而言,阿里巴巴以“被动式授权”为主,你需要什么权限就申请什么权限。但是,在客户交流过程中,我们发现绝大多数企业都是集中式授权,尤其是面向个人的行级权限管控,管理复杂度往往呈几何增长。因此,Quick BI创新了标签式授权机制,支撑IT人员轻松实现千人千面的行级权限管控?小编给大家做个详细介绍!
为什么要做千人千面的标签式授权
不管是敏捷BI ,还是传统BI,甚至定制开发报表,都需要面临个人级别的行级数据访问权限控制。Quick BI作为一个高效数据分析与展现的BI套件,实现了从数据源连接、数据建模、仪表板制作、电子表格制作、到一站式门户搭建的全流程可视化建设能力。V3.0版本之前,Quick BI实现了基于用户/用户组的行级权限管控机制,随着线下大型客户的支撑,客户反馈行级权限管控的过度复杂,工作量太大。
首先,管理复杂度呈几何增长,假设有3000个用户、30个数据集、3个字段需要进行级权限管控,那么需要进行3000*30*3=270000次的行级权限管理操作;
其次,组织调整导致重复性管控,一旦人员变更,针对每个数据集需要重新配置行级权限,造成大量的权限重复配置操作。
标签式授权的价值所在
基于标签式授权,只需配置数据集与用户标签的映射关系,即可实现行级权限管控,从两方面大幅提升了行级授权的管理效率。
一是,极致的授权操作。基于用户/用户组授权方式需要270000次的权限管理操作可以降低到90次。不管是1000人、10000人,还是100000人,授权操作次数也仅需90次,就是这么简单。
二是,超强的适应性。组织结构变更,仅需修改用户的标签信息,行级权限就可以实现平滑迁移,大幅提升行级权限的管理效率。
如何实现标签式授权全流程配置
1、梳理行级权限矩阵
对于一个组织来讲,“行级权限管控”往往跟组织架构管理体系是大同小异的,组织架构管理体系一般有两个部分组成归属部门和岗位,岗位是组织要求个体完成的一项或多项责任以及为此赋予个体的权力的总和。一个人的行级权限,跟归属部门和岗位两种属性有一定的关联性,但并不是完全等同。(例如:一个分公司经理,归属于分公司A,管理分公司业务的同时,又兼顾分公司B的职务。从数据权限的角度来讲,该分公司经理已经具备分公司A、分公司B的部分数据访问权限。)
那么,基于Quick BI的标签式授权,怎么梳理行级权限矩阵呢?如上图所示,按照区域、省份、城市进行“行级权限矩阵”梳理说明:
权限范围说明:example1具备该组织所有数据访问权限;example2具备华东浙江省的数据访问权限;example3具备华东浙江省杭州市的数据访问权限。
用户标签字段可以自定义扩展,扩展列名称以"tag_"开头,例如tag_area、tag_province、tag_city。
$ALL_MEMBERS$,代表所有数据访问权限;如果标签项对应多个权限,采用逗号分隔填写;任一标签项为空,则代表没有任何权限。
2、标签导入和标签值管理
1) 标签导入
标签导入,一般是在初始化时或组织结构大调整情况下,进行用户的批量标签内容更新。进入组织管理下,点击批量添加组织成员,然后选择批量导入已梳理的“行级权限矩阵”,即可完成行级标签导入操作。如下所示:
2)标签值管理
标签值管理,一般是在个别人员变更的情况下进行数据修订,完成用户行级权限的平滑迁移。点击每个组织成员中的“成员标签”,进行标签值修改。
3)标签授权映射
标签授权,右击某个数据集并点击“行级权限”,进入数据集行级权限设置。开启行级权限,并做好受控字段与标签的映射关系,保存即可完成标签授权操作了。
如何验证标签授权的准确性
1、没有开启行级权限情况下
如下图所示,在没有开启行级权限情况下,订单销量分布覆盖了全国范围。
2、开启行级权限情况下
如下图所示,在没有开启行级权限情况下,订单销量分布覆盖了显示浙江省数据。
我们再来看看执行SQL:自动根据访问者,会在过滤条件中追加区域、省份、城市的数据范围限定
