視訊示範
視訊加載中...
在企業的日常經營中,企業人數達到一定數量之後,就需要對企業的層級和部門進行細分,建立企業的樹形組織架構。圍繞着樹形組織架構,企業能夠将權限落實到個人,避免企業内部出現管理混亂等情況。而在涉及到資料分析等工作時,權限配置設定的重要性進一步凸顯,最直接的考量就是資料安全的問題。如何保證不同層級之間的員工僅接觸到自己應該看到的資料,是資料分析工具需要考慮的問題。
DataEase作為一款主打“人人可用”的開源資料可視化分析工具,易用性是它最大的優點,是以受到了廣大開源社群使用者的喜愛。那麼,當面對企業實際的應用場景,涉及到複雜的資料權限管控的需求時,DataEase開源資料可視化分析工具的表現如何呢?
本文主要分享如何通過使用DataEase的行列權限功能,結合企業的樹形組織架構,最終實作資料權限管控的效果。
背景介紹
首先來看一下企業内部正常的資料結構示例。
一、銷售部門組織架構
二、銷售部門人員具體資訊(手機号碼為虛拟生成号碼)
三、銷售資料
基于這些資料,最終想要實作的效果如下:
1. 小張、小明、小華、小李隻能看到各自的銷售資料;
2. 王總、李總可以分别看到銷售一部、銷售二部的銷售資料;
3. 張總可以看到整個銷售部的銷售資料。
4. 銷售小組組員看不到手機号碼相關資訊,張總、王總、李總可以看到。
功能介紹
DataEase開源資料可視化分析工具支援資料權限的相關功能。資料權限功能主要分為兩部分,分别是行權限和列權限。
一、行權限
如下圖所示,添加行權限時,行權限規則中有四種類型:即組織、角色、使用者和系統變量。
在選擇組織、角色、使用者這三種行權限規則時,對目标字段可以選擇特定的組織/角色/使用者作為過濾條件,進而進行資料過濾,相當于在編寫SQL語句的時候在添加一個“where”的條件。
選擇系統變量的行權限規則與前三種不同,系統變量規則頁面如下圖所示:
其中的使用者ID、使用者名、郵箱、使用者來源、組織是登入使用者的基本資訊,可以在“使用者管理“界面中檢視。當選擇系統變量類型的規則時,可以通過提取具體登入系統使用者的資訊作為過濾條件,以達到資料過濾的目的。相對于其他的幾種配置方式,這種模式更加友善,不需要逐個選擇使用者/組織/角色去配置權限。
二、列權限
列權限的配置和行權限在原理上大同小異,也可以從組織、角色、使用者三個角度進行配置,配置頁面如下圖所示:
列權限有兩種表現形式:
1. 禁用:對目标字段進行禁用的操作,無權限的使用者無法看到目标字段的列資料;
2. 脫敏:對目标字段進行脫敏的操作,無權限的使用者看到目标字段的列資料會打上*号。
實際操作
下面我們先對示例資料進行處理。
首先需要梳理出“上司及下屬員工的關系表”,如下表所示。這時候需要注意,為了友善之後的資料處理和關聯,“上司”字段的名字是無下屬的員工時,“下屬員工”字段則填寫員工本人名字。
下一步,需要我們在“使用者管理”界面中建好所需要的使用者。DataEase支援“批量導入”功能,能夠有效提升使用者建立的效率。由于示例中“張總”的權限是最高的,是以我們使用“張總”的賬号将銷售資料及處理後的使用者資料導入系統。
然後,針對導入的資料,需要建立關聯資料集将員工和上司的關系與相關資料對應。我們将“上司及下屬員工的關系表”中的“下屬員工”字段與“銷售資料表”中的“人員名稱”字段關聯到一起,形成一張新的資料表。
一、添加行權限
在形成的新資料表中添加一條行權限,類型為系統變量,設定字段“上司”=“使用者名”。
點選“資料預覽”頁籤檢視資料,發現資料已經發生了變化,使用者“張總”可以看到銷售部所有的資料。
再将該資料集授權給“王總”和“小華”。通過切換登入使用者來檢視各自的資料權限,可以看到對應使用者的資料權限也已經正常過濾。
二、添加列權限
接下來,我們登入“張總”的賬号,建立一條列權限,針對“普通員工”角色,禁用“下屬員工手機号碼“這一列,如下所示:
登入角色為“普通員工”的“小華”賬号,檢視最終效果。可以看到,“小華”已經沒有“下屬員工手機号碼”這一列的檢視權限了。
列權限除禁用外,還有脫敏功能。我們切換登入至“張總”的賬号,将剛剛配置的禁用改為脫敏,如下所示:
登入角色為“普通員工”的“小華”賬号,檢視最終效果。可以看到,“小華”的“下屬員工手機号碼”這一列已經被打上了*号。
總結
通過以上步驟,我們成功使用DataEase的行列權限功能完成了對企業資料權限的管控。可以看到,整個整體的配置過程還是比較簡單的。尤其是内置變量引入後,大大地減輕了我們在一些場景下的配置工作量。同時,行列權限功能均支援從多個角度進行權限管控,滿足了日常生産使用過程中的多樣化資料場景。希望DataEase在後續的版本中,能夠支援更加豐富的脫敏規則。