{"meta":{"id":"https:\/\/api.iclient.ifeng.com\/ipadtestdoc?aid=ucms_7yFwweEBvWn","type":"doc","o":"1","documentId":"ucms_7yFwweEBvWn"},"body":{"newStatus":"1","documentId":"ucms_7yFwweEBvWn","staticId":"ucms_7yFwweEBvWn","title":"从技术到方案,企业权限管理配置方案在这里!","shareTitle":"从技术到方案,企业权限管理配置方案在这里!","thumbnail":"http:\/\/d.ifengimg.com\/w150_h106_q100\/img1.ugc.ifeng.com\/newugc\/20200720\/11\/wemedia\/a5ffac9216b8afc5ff6472cf071d817262a5615e_size52_w590_h393.jpeg","source":"永洪科技","author":"","editorcode":"weMedia","editTime":"2020-07-20 11:12:10","updateTime":"2020\/07\/20 11:12:10","wapurl":"http:\/\/\/\/feng.ifeng.com\/c\/7yFwweEBvWn","introduction":"","wwwurl":"http:\/\/\/\/feng.ifeng.com\/c\/7yFwweEBvWn","commentsUrl":"ucms_7yFwweEBvWn","commentCount":0,"text":"
权限管理系统是每个B端产品都绕不过去的问题,好的权限管理系统具有可以明确企业内不同人员、不同部门的分工,降低操作风险发生概率,便于管理等优势。<\/p>
传统的权限管理往往授权方式单一、维护成本高。永洪BI的权限管理系统,经历了若干版本迭代,具备高度灵活性。管理员可以批量导入用户数据,轻松维护企业组织架构。系统提供了用户授权、分组授权等多种授权方式,同时支持页面化设置数据行级列级权限,可满足不同规模企业的授权需求。本文将带你深度解析永洪BI权限管理系统。<\/p>
一、RBAC模型<\/p>
永洪BI权限管理系统设计整体上参照RBAC模型,RBAC模型全称为Role-Based Access Control,即基于角色的访问控制。在此模型中权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。<\/p>
<\/p>
RBAC模型<\/p>
有些读者可能会有疑问,如果去掉角色概念,直接将用户与权限进行绑定是否可以减轻工作步骤?对于人员较少的企业来说确实可以,但是对于中大型企业,组织结构庞大且复杂,如果再直接将用户与权限绑定,会造成大量重复的操作和冗余的权限数据。当用户身份发生变更时,还需要重新梳理绑定。所以将权限封装成角色,在赋予给指定用户和分组,可以大大提升效率和稳定性。<\/p>
为了兼容各种规模的企业,永洪BI认证授权模块包含了用户管理、分组管理、角色管理和授权编辑四部分,管理员可选择直接对用户授权,也可以选择通过角色授权。<\/p>
<\/p>
认证授权模块<\/p>
1、用户管理<\/p>
在用户管理中,管理员可完成对用户的增删改查操作,维护用户基础信息,添加分组和角色,以及对单个用户添加权限。<\/p>
<\/p>
用户管理界面<\/p>
2、分组管理<\/p>
分组可以是企业中的组织架构,也可以是业务群组。永洪BI中分组支持树状的层级结构,管理员可以管理分组的层级,在某个组内添加用户。<\/p>
当某个组内的所有用户都具有相同角色时,可以将角色直接添加在分组上,根据继承原则,分组下的所有用户都会自动添加到该角色。同样管理员也可以对单个分组进行授权。<\/p>
<\/p>
分组管理界面<\/p>
3、角色管理<\/p>
角色可以是企业中的职位,也可以特指拥有某一类权限集合的对象,如数据管理员主要负责数据库对接及数据处理,运维管理员主要负责系统运行管控等。在角色管理中,管理员可以给角色添加权限,并将角色添加给指定用户和分组。<\/p>
考虑到不同角色的权限可能差异不大,所以产品支持角色复制功能,可以将一个角色的权限一键复制给其他多个角色,管理员再对其他角色做剩余调整即可。<\/p>
产品也默认提供了几个内置角色:<\/p>
admin_role:超级管理员,拥有系统所有模块和资源的权限,可以管理全部用户、组、角色。<\/p>
groupAdmin_role:组管理员,可以管理所在组内的用户,可以创建角色。其拥有的权限由admin进行指定。<\/p>
everyone_role:所有用户都默认拥有的角色,拥有若干基础操作权限。<\/p>
developer_role:报告管理员,一般为报告制作人员,用户优先级会自动降至较低<\/p>
<\/p>
角色管理界面<\/p>
4、授权编辑<\/p>
授权编辑模块提供了另一种授权角度,即可以从资源层面进行授权。当系统新增了一个资源,涉及若干个角色的改动时,可以直接在资源上进行调整。<\/p>
<\/p>
授权编辑界面<\/p>
二、继承<\/p>
继承规则也是永洪BI权限系统的核心之一。在上文中也有提及,用户可以继承其所在父组的权限和角色,获得相应权限,也可以继承其拥有角色的权限。<\/p>
利用继承规则,可以大大减少重复授权的操作,便于权限的更新与扩展,因此需要管理员合理规划系统组织架构,将权限的最小集合封装为角色,然后赋予给相关的分组和用户。对于个别用户拥有额外权限,可以再单独授权。<\/p>
产品中通过页面样式的变化,也可以区分出权限的不同状态:<\/p>
<\/p>
如果是灰色勾选,说明权限是从分组或角色处继承而来。<\/p>
<\/p>
如果是绿色无勾选,说明拥有文件夹下面某些子项的权限,但是没有父项的权限。<\/p>
如果是绿色勾选,说明权限加在自身。<\/p>
三、行级列级权限<\/p>
除了对资源和操作进行权限管控外,数据安全管控也是B端产品极为重要的部分,企业数据往往有严格的业务等级划分,例如销售经理可以查看整个部门的销售数据,而销售组长仅能查看本组的数据等。因此永洪BI设计支持了数据行级和列级权限管理。<\/p>
行级权限可通过行过滤器配合内置参数实现。举例说明:假设有一张业务表A,记录了北京和上海地区咖啡和茶两种商品的总销量。小明是北京地区的销售经理,可以查看北京的全部销售数据,小红是上海地区的销售经理,可以查看上海地区的全部销售数据。我们可以设计权限表B,将用户与地区一一对应起来,然后通过内置参数?{_USER_}过滤出每个登录用户所对应的地区,在以此作为条件过滤业务表。<\/p>
<\/p>
业务表A<\/p>
业务表A过滤条件:地区 是 其中一个 ?{region},?{region}赋值为权限表B的地区列。<\/p>
<\/p>
权限表B<\/p>
权限表B过滤条件:用户 是 = ?{_USER_}<\/p>
列级权限较行级权限更容易理解和设置,可以直接在元数据界面上添加过滤对象,支持过滤用户、组、角色。此外还支持白名单过滤和黑名单过滤:黑名单为所选值不可见该字段,白名单则相反。<\/p>
<\/p>
列权限设置界面<\/p>
以上即为永洪BI权限管理系统设计的基本内容,希望通过本文,能让你对权限管控有更深刻的理解。<\/p>
<\/p>","img":[{"url":"http:\/\/d.ifengimg.com\/mw640_q100\/x0.ifengimg.com\/res\/2020\/52383FC8F8C58D4EC24E176F1113AC64E1A812DC_size15_w454_h425.jpeg","size":{"width":"454","height":"425"}},{"url":"http:\/\/d.ifengimg.com\/mw640_q100\/x0.ifengimg.com\/res\/2020\/7D2B0D4FF451EE7D41B2D57A1C1D973BEE7CF1C7_size8_w454_h112.jpeg","size":{"width":"454","height":"112"}},{"url":"http:\/\/d.ifengimg.com\/mw640_q100\/x0.ifengimg.com\/res\/2020\/0F0AE94C4B02D5D3697198DCCF3C950B4775025F_size15_w640_h308.jpeg","size":{"width":"640","height":"308"}},{"url":"http:\/\/d.ifengimg.com\/mw640_q100\/x0.ifengimg.com\/res\/2020\/ED534414DFAC5AAAC87FA1F1E1302B62492E63B5_size13_w640_h308.jpeg","size":{"width":"640","height":"308"}},{"url":"http:\/\/d.ifengimg.com\/mw640_q100\/x0.ifengimg.com\/res\/2020\/D8A838ECB8B32FAF6F86E5C4344B7038933D2005_size12_w640_h308.jpeg","size":{"width":"640","height":"308"}},{"url":"http:\/\/d.ifengimg.com\/mw640_q100\/x0.ifengimg.com\/res\/2020\/6D0AFD77034CE776F4C3CF7462A409168F38A1AE_size18_w640_h309.jpeg","size":{"width":"640","height":"309"}},{"url":"http:\/\/d.ifengimg.com\/mw640_q100\/x0.ifengimg.com\/res\/2020\/B7CDC190AF197416167BBF3C96D01F37A296F999_size5_w572_h123.jpeg","size":{"width":"572","height":"123"}},{"url":"http:\/\/d.ifengimg.com\/mw640_q100\/x0.ifengimg.com\/res\/2020\/450A166F6C18CB6D822C875FDF50227AE4152987_size5_w620_h123.jpeg","size":{"width":"620","height":"123"}},{"url":"http:\/\/d.ifengimg.com\/mw640_q100\/x0.ifengimg.com\/res\/2020\/E5FE4CCBAE4BCFC37DF7C74DE57783BA00642EE2_size21_w640_h336.jpeg","size":{"width":"640","height":"336"}},{"url":"http:\/\/d.ifengimg.com\/mw640_q100\/x0.ifengimg.com\/res\/2020\/00DDA3F8E29A048B66935DA53D94210CA5DA93E1_size11_w639_h202.jpeg","size":{"width":"639","height":"202"}},{"url":"http:\/\/d.ifengimg.com\/mw640_q100\/x0.ifengimg.com\/res\/2020\/7CDCEECB3E039539EF4D5D4ED9068593042664EE_size23_w580_h473.jpeg","size":{"width":"580","height":"473"}},{"url":"http:\/\/d.ifengimg.com\/mw640_q100\/x0.ifengimg.com\/res\/2020\/91F959132E98D2B7B558755D285AB1DA106896EB_size33_w640_h407.jpeg","size":{"width":"640","height":"407"}}],"summary":"权限管理系统是每个B端产品都绕不过去的问题,好的权限管理系统具有可以明确企业内不同人员、不同部门的分工,降低操作风险发生概率,便于管理等优势。传统的权限管理往往","sharesummary":"权限管理系统是每个B端产品都绕不过去的问题,好的权限管理系统具有可以明确企业内不同人员、不同部门的分工,降低操作风险发生概率,便于管理等优势。传统的权限管理往往","commentType":"0","wemediaEAccountId":"1574574","showclient":"0","shareurl":"https:\/\/ishare.ifeng.com\/c\/s\/v002cnHym8bllerJfCctFZB0OnIyMw-_ds283sEcaup2z0P4__","praise":"7","like_num":"7"}}