行级别权限可以帮助您实现不同的人使用同一份报表或大屏时,可以看到不同的数据。例如:广东省的员工只能看到广东省的数据,北京市的员工只能看到北京市的数据。可以在提高工作效率的同时,减少业务数据泄露的风险。
行级别权限需要在数据模型级别上进行,在数据模型编辑页面可以对维度字段设置行级别权限。Sugar BI支持固定值和动态值两种设置方式,固定值适用于空间成员较少的场景,针对不同权限的成员分别设置权限规则;动态值适用于成员较多的场景,通过匹配用户属性为空间内所有用户设置权限,无需为每类用户单独设置规则。
通过固定值设置行级别权限
假设空间中有 A、B、C、D 四个用户,我们希望用户 A 和用户 B 只能看见“东北”地区的数据,用户 C 只能看见“西北”地区的数据,用户 D 没有任何区域数据的权限,那么我们可以按照如下步骤进行设置:
设置 A、B 用户的权限
- 在数据模型编辑页面点击右侧的「数据行权限设置」,在弹出的设置弹框中,选择「固定值」设置方式,点击固定值权限下的“加号”,新增一条“只能看见东北地区的数据”权限规则。
- 可以看到固定值权限设置包括「字段权限设置」和「授权成员设置」两部分,如下图所示:
我们首先点开「字段权限设置」:
- 将「权限名称」设置为“只能看见东北地区的数据权限”
- 将「权限规则」设置为“AND”,这个表明多条「权限内容」之间是“且”还是“或”的关系
- 点击「权限内容」下面的“加号”,在弹出的设置弹框中,选择我们要设置权限的地区维度,并选择取值为“东北”,如下图所示:
接下来切换到「授权成员设置」,将设置的权限授权给用户 A 和用户 B:
点击上图中「授权用户」下面的“加号”,在弹出的添加用户的弹框里,选择用户 A 和用户 B,点击确认即可。
设置 C 用户的权限
再为用户 C 新增一条固定值数据权限规则“只能看见西北地区的数据权限”,具体设置流程同 A、B 用户类似,这里不再赘述。
设置 D 用户的权限
设置完用户 A、B、C 的权限之后,点击确定返回最初设置页面,可以看到一个「未添加权限用户拥有所有权限」的复选框,不勾选时,未设置权限的用户 D 默认看不到该数据模型中所有地区的数据;如果勾选了这项,那么用户 D 可以看到所有地区的数据。所以此处这项不勾选。
根据以上设置即可实现我们想要的效果。
通过动态值设置行级别权限
接下来通过动态值实现对 A、B、C、D 四个用户权限的设置。
动态值权限是通过匹配用户属性的值来设置各个用户的权限的,所以首先需要对用户属性进行设置。
用户属性在组织管理中设置,为 A、B、C、D 四个用户添加“地区”属性,用户属性的相关介绍参照用户属性设置,这里的取值如下图所示:
回到空间中,在数据模型编辑页面打开「数据行权限设置」编辑弹框,「设置方式」选择“动态值”。
点击下方“加号”,进行动态值规则设置,具体设置如下图所示:
设置 D 用户的权限
设置完动态权限之后,点击确定返回最初设置页面,可以看到一个「没有用户属性字段的用户拥有所有权限」的复选框,不勾选时,没有地区属性字段的用户 D 默认看不到该数据模型中所有地区的数据;如果勾选了这项,那么用户 D 可以看到所有地区的数据。所以此处这项不勾选。
点击确认和保存之后,即可实现我们想要的效果。
属性值中可以使用英文逗号连接多个值
动态值的设置中有一个属性值中可以使用英文逗号连接多个值的选项,如果勾选了这个选项,可以实现多选的逻辑。比如当前动态值设置的仍为地区字段,A 用户的属性值设置为"东北,华北,西北",那么在进行行级别权限判断的时候,就会为 A 用户查找东北,华北,西北这 3 个地区的数据。
最终效果
用户 A 和用户 B 的效果如下图所示,可以看到只能显示“东北”地区的数据:
用户 C 的效果如下图所示,可以看到只能显示“西北”地区的数据:
用户 D 的效果如下图所示,可以看到用户 D 看不到使用数据模型的图表的数据:
用户属性设置
从空间广场右上角的「组织管理」进入,您可以在这里看到组织的「用户属性管理」,可以对组织中用户的属性进行管理。
- 「属性设置」:可以对用户的属性进行增删改操作
-
「批量导入」:可以通过上传 Excel、CSV 文件,批量导入用户属性数据,可以点击「下载模板文件」下载当前组织中的用户属性的 Excel 文件模板,便于您在此基础上进行修改并导入。
需要注意的是,上传的用户属性数据中必须包含用户的邮箱列。
- 除了批量导入,还可以直接在用户属性表格中对属性值进行修改。鼠标移动到属性值单元格上时会出现“编辑”按钮,点击“编辑”按钮即可在弹出的编辑框中修改该属性值。修改完成后,点击上方出现的提交按钮即可保存您的修改。
