權限體系是所有BI產(chǎn)品都會涉及的一個重要組成部分，目的是對不同的人訪問資源進行權限控制，避免因權限控制缺失或操作不當引發(fā)的風險，如隱私數(shù)據(jù)泄露等問題。有數(shù)BI權限體系設計的初衷，希望它既能滿足實際業(yè)務中的復雜場景，又能簡潔易用，今天我們將詳細介紹有數(shù)BI的權限體系！

角色模型

對于權限管理，最簡單的辦法就是給每個用戶配不同的權限，但這樣的設計在用戶較多時維護起來就顯得非常力不從心。于是很多人想到在用戶和權限之間增加一個角色，也就是迄今為止最為普及的權限設計模型，即RBAC（Role Based Access Control，基于角色的權限訪問控制）權限模型。

RBAC模型認為權限授權實際上是Who、What、How的問題。在RBAC模型中，Who、What、How構成了訪問權限三元組，也就是“Who（權限的擁用者或主體）對What（權限針對的對象或資源）進行How（具體的權限）的操作”。換句話講，在RBAC模型中，是通過控制“Who對What進行How的操作”來實現(xiàn)讓不同的用戶/用戶組對不同的資源擁有不同的操作/數(shù)據(jù)權限的目的。

我們的權限體系即是依據(jù)RBAC模型思想所設計的，相關概念包括權限，角色和用戶。角色與權限綁定，即項目中用戶的權限與其被賦予的角色相關。一個用戶可以擁有多個角色，一個角色也可以被添加給多個用戶，每個角色可以被賦予多個權限。以下圖所示的結構為例，用戶1只擁有角色1的權限，即對資源1進行操作1；而由于用戶3擁有3個角色全部的權限，因此該用戶可以對資源1和資源2分別進行操作1和操作2。

現(xiàn)在，有數(shù)BI的權限體系已經(jīng)擁有了基礎的RBAC模型思想，但還遠遠不夠。通過市場分析，我們發(fā)現(xiàn)企業(yè)在使用權限體系的過程中，大多繞不開三大難題：

組織規(guī)模達到一定程度后，需要管理的資源數(shù)量龐大，同時對權限要求又很高時，需設置非常細粒度的權限，導致整個權限體系顯得十分零散和無序，產(chǎn)生大量的維護成本；

而為了保證數(shù)據(jù)安全，這樣的權限體系往往是由權限最高的少數(shù)管理員來配置組織內部全體成員的權限，給管理員帶來巨大的工作量；

同時，在設置針對個人的不同數(shù)據(jù)權限時，其復雜程度更是呈幾何增長，且當人員變更時，針對每個數(shù)據(jù)集需要重新配置行級權限，造成大量的權限重復配置操作。

那么為了解決這些難題，有數(shù)BI的權限體系是如何設計的呢？接下來，本文將圍繞這些難題，給出我們的解決方案！

資源權限

1.基于角色，統(tǒng)一管理

不同于市面上其他的BI產(chǎn)品，有數(shù)BI中資源權限的設置和賦予完全通過角色來實現(xiàn)，這樣的設計可以幫助用戶基于角色來實現(xiàn)權限的統(tǒng)一管理，極大降低企業(yè)設置權限體系的復雜程度。例如，企業(yè)內各人員的資源權限往往是根據(jù)企業(yè)組織架構來對應設置的，當組織人員變動時，在權限體系中只需將該用戶所擁有的角色變更為對應組織架構角色，就能一鍵實現(xiàn)資源權限的變更。

通過對資源權限和數(shù)據(jù)權限的組合設置，簡單勾選即可創(chuàng)建角色，并將對應成員添加到該角色下面，輕松搭建靈活、簡潔的權限體系！

2.分級授權，靈活應用

現(xiàn)實場景中，當企業(yè)發(fā)展到一定程度時，往往擁有多層組織架構，而在傳統(tǒng)的RBAC模型中，往往都只能由一個權限最高的用戶（一般為管理員）來創(chuàng)建所有角色，對所有用戶進行權限的授予，進行權限體系的維護工作，這樣導致管理員工作量過大。同時，企業(yè)里不同的業(yè)務線，或者不同的業(yè)務部門都有數(shù)據(jù)分析需求，如果無法將不同業(yè)務線或部門資源分隔開，將對資源的整理和權限配置帶來巨大挑戰(zhàn)。

基于上述情況，有數(shù)BI提供了“項目+二級管理員”的多項目結合分級授權體系。首先，企業(yè)可以為不同的業(yè)務部門建立不同的項目，通過“項目列表”在不同的項目前切換，項目管理員擁有該項目內所有資源的所有權限。其次，通過二級管理員的設置來實現(xiàn)二級授權，項目管理員可以將部分資源的授予權限賦予該二級管理員，由二級管理員來管理對應的資源。多租戶結合分級授權體系可以幫助用戶創(chuàng)建非常豐富立體的權限分配體系。

具體來看，有數(shù)BI將角色分成三類：系統(tǒng)角色、一級角色和二級角色。

系統(tǒng)角色包括：項目管理員、二級管理員、編輯者、閱覽者，系統(tǒng)角色無法編輯、修改和刪除。編輯者可以查看或編輯所有的資源；閱覽者僅可以查看所有資源。

一級角色和二級角色由項目管理員和二級管理員創(chuàng)建，一級角色可以擁有編輯權限，二級角色只能擁有閱覽權限。

數(shù)據(jù)權限

1.行列權限，精準定位

數(shù)據(jù)安全對于企業(yè)的重要性不言而喻。數(shù)據(jù)權限解決的便是用戶能看到多少數(shù)據(jù)量和什么數(shù)據(jù)的問題?，F(xiàn)實場景中，企業(yè)往往有大量業(yè)務數(shù)據(jù)和權限需求，在設置數(shù)據(jù)權限時，如何實現(xiàn)數(shù)據(jù)權限的精準定位，是有數(shù)BI在設計數(shù)據(jù)權限時所考慮的重要方面。因此，有數(shù)BI提供行和列級別的數(shù)據(jù)權限控制粒度，通過對同一張表進行行權限和列權限的配置，就可以精準實現(xiàn)數(shù)據(jù)權限的高效配置。

假設這樣一個場景：小王的公司在“東北、華北、華東、華南”四個大區(qū)都有銷售人員，他希望不同大區(qū)的銷售訪問同一張報告時候，都只能看到自己所屬大區(qū)的數(shù)據(jù)，在有數(shù)BI中，用“數(shù)據(jù)行級權限”可以實現(xiàn)這樣的需求：我們可以創(chuàng)建4個“數(shù)據(jù)行級權限”，每個“數(shù)據(jù)行級權限”只能訪問一個大區(qū)的數(shù)據(jù)，然后給不同大區(qū)的銷售人員分配對應的“數(shù)據(jù)行級權限”。如東北大區(qū)的銷售人員只能看到“東北”地區(qū)的數(shù)據(jù)，我們可以建立一個“數(shù)據(jù)行級權限”，然后設置數(shù)據(jù)訪問權限，只允許該角色成員訪問“東北”地區(qū)的數(shù)據(jù)，然后將該“數(shù)據(jù)行級權限”賦予東北大區(qū)的銷售人員即可。

2.屬性對應，動態(tài)匹配

使用上述方法時，當我們存在多少個大區(qū)，我們就需要創(chuàng)建對應數(shù)量的“數(shù)據(jù)行級權限”。當組織人員規(guī)模達到一定程度后，管理復雜度往往呈幾何增長，這樣的設置方式必然需要大量的時間成本和人力成本來維護。同時，考慮到組織內不同人員所能擁有的數(shù)據(jù)權限往往與TA所在的部門、崗位或地區(qū)有一定的映射關系，那么，能否提供一種簡便的設置路徑，能夠直接對不同部門的用戶匹配不同的行級權限呢？

基于此，我們在數(shù)據(jù)權限的創(chuàng)建頁提供了固定值和屬性值的配置選項，當選擇屬性值時，就可以通過設置屬性值與對應字段的匹配，例如將“屬性值-地區(qū)”與字段“地區(qū)匹配”，就能讓不同地區(qū)的成員只能看到對應地區(qū)的數(shù)據(jù)，從而極大提高行級授權的管理效率。

1. 首先，企業(yè)域管理-人員信息-屬性列表-設置一個屬性值“地區(qū)”，在對應用戶后輸入東北或其他地區(qū)。

2. 創(chuàng)建一個“數(shù)據(jù)行級權限”，選擇要設置權限的數(shù)據(jù)連接，設置方式選擇“動態(tài)值”，選擇要設置權限的表跟字段，選擇要匹配的用戶屬性，在本例中，即將“地區(qū)”字段匹配“地區(qū)”屬性。

3. 保存后，將該“數(shù)據(jù)行級權限”分配給所有用戶，則每個用戶訪問報告時會根據(jù)該用戶所在大區(qū)來篩選數(shù)據(jù)，只能看到自己大區(qū)的數(shù)據(jù)。

（未設置數(shù)據(jù)權限）

（設置了數(shù)據(jù)權限）

結語

為了應對更多復雜各異的組織架構和管理體系，我們仍然在不停地探索之中。具體來說，目前的分級授權體系僅支持對資源的分級授權，還無法做到對數(shù)據(jù)權限的分級授權，我們正在積極尋找更完美的解決辦法，在保持用戶低使用成本和高數(shù)據(jù)安全的同時，實現(xiàn)更高的靈活性。

編輯：jq