You need to enable JavaScript to run this app.
导航
数据行列权限
最近更新时间:2024.03.08 12:03:18首次发布时间:2021.02.23 10:42:02
1. 概述

在数据集的数据权限页面,支持从数据集层面进行字段行级别权限控制和列权限控制。

说明

数据行列权限由数据集管理员进行配置。若数据集设置了数据权限规则(如行权限规则、列权限规则),则受数据权限限制的用户,在访问使用该数据集的图表、仪表盘、可视化查询时(包括筛选器使用时),均将受数据权限控制,仅能访问有权限的内容。

关键名词
用户属性 :即项目内用户的属性或标签。用户属性信息是行级别数据权限的动态值的必备来源。
行权限 :通过添加数据集“行权限”规则,可使指定范围的用户仅能查看指定范围的行数据。例如用户 A 仅能查看数据集“ '地区'字段=上海 ”的数据。
列权限 :通过添加数据集“列权限”规则,可配置敏感列,使指定范围外的用户无法看到指定列数据,如用户 A 能查看数据集”收入“列数据,而其他用户不可以。

2. 快速入门

2.1 创建数据权限规则

(1)打开需设置行/列权限的数据集详情页,点击「数据权限」-「添加数据权限」,进入数据权限编辑页面;

(2)数据权限规则名称支持自定义设置;

(3)对数据集进行具体规则设置,可选行权限或列权限

(4)对数据集进行具体规则设置,可选行权限或列权限

(5)选择规则作用的用户、用户组或角色组
SaaS版本:

私有化版本: 该能力“规则适用成员”支持选择本项目下的“角色”,部分角色不支持由非角色管理员赋予权限。
alt
(6)点击右上角“保存规则”按钮,设置的数据权限将即刻生效;

(7)如需设置多个数据权限规则,重复上述步骤即可。

注意

平台对于数据权限规则配置中未提及的用户,提供了行列权限生效范围设置,默认关闭,即未被行列权限规则命中的用户无法查看任何数据。数据集管理者可根据需要自行切换。

2.2 数据权限规则操作

2.2.1 查看详情

点击查看详情图标,可以查看该规则的内容与生效成员

2.2.2 编辑

进入对应数据权限编辑页面,修改配置

2.2.3 复制

支持复制已有的数据权限规则。如多个数据权限规则的配置内容相似度较高,可通过复制已有规则来进行快速配置。

2.2.4 删除

支持删除已配置完成的数据权限规则。

3. 功能介绍

3.1 行权限·固定值

  • 选择行权限规则限定的数据集字段,并设置固定的值,对作用的用户(或用户组)授予数据集中字段等于特定值的部分数据;

  • 适用于受控的用户较少,或通过用户组简单操作即能实现快速授权的场景;

  • 支持配置一个或多个限定规则。

如图所示,可查看成员在访问数据集生成的图表时,只能查看 省份='上海' 的数据,无法访问全部数据。

3.2 行权限·动态值

  • 选择行权限规则限定的数据集字段及匹配用户属性,动态地对作用用户(或用户组)授予数据集中字段值等于用户属性值的部分数据;

  • 适用于受控的用户属性值较多,无法方便地通过固定值实现配置,且能通过特定属性区分的授权场景;

  • 支持配置一个或多个限定规则。

用户属性配置参考文档:用户属性 如图所示,可查看成员在访问数据集生成的图表时,只能查看字段 user 为自己姓名的数据,无法查看其他人的数据。

3.3 列权限

设置数据集中特定某一列或某几列为敏感列,仅对可查看成员设置的用户/用户组及数据集管理员,项目全局查看权限用户开放。其他用户无法查看敏感字段数据。 如图所示,除了可查看成员「管理者」以外的用户,在访问该数据集生成的图表或仪表盘时,无法查看敏感列模型字段'作业提交率'这一列。这一列对可查看成员以外的成员是隐藏的。

除了敏感列'作业提交率'以外,基于'作业提交率'创建的字段'是否达成提交率目标'、'平均提交率'也会受到影响,对'管理者'以外的人隐藏。

如果不想关联字段受到影响,可以将单个数据集字段,而非模型字段设为敏感列

3.4 当数据集存在多个行/列权限规则

当一个数据集同时存在多个行权限、列权限规则时,被作用用户可查看自己拥有的规则权限的并集。 例如,一个数据集中的规则 1、规则 2 都对用户甲生效;规则 1 能让甲看到 A 行数据,规则 2 能让甲看到 B 行数据;则甲能同时看到 A、B 两行的数据。 当一个数据集同时存在多个行权限、列权限规则,且同时作用于部分用户时,则用户可查看的数据范围将可以分开来看。 例如,一个数据集中的规则 1、规则 2、规则 3 都对用户乙生效;规则 1 是行权限规则,能让乙看到 A 行数据;规则 2 和 3 是列权限规则,规则 2 能让乙看到敏感列 B 列数据,规则 3 让乙不能看到 C 列数据;则乙能看到的是 A 行数据中不包含 C 列数据的部分。如图所示,规则 1、2 的作用用户(组)中有乙,规则3的作用用户(组)中没有乙:

最终用户乙能看到的数据为:

3.5 行列权限生效范围

注意:产品对于行列权限规则配置中未提及的用户,提供了行列权限生效范围设置,默认关闭,即未被行列权限规则命中的用户无法查看任何数据。数据集管理者可根据需要自行切换。

行权限

  • 适用成员以外的用户不可查看任何行数据

  • 适用成员以外的成员不受行权限控制,可查看所有行数据

3.6 列权限

  • 适用成员可见该列,适用成员以外的用户不可见

  • 适用成员不可见该列,适用成员以外的用户可见

3.7 权限模拟验证

完成数据权限配置后,支持数据集管理员模拟用户身份,查看对应用户能够看到数据集里的什么数据,来验证数据权限,避免错配。 点击「权限模拟验证」

输入待验证用户,也就是需要模拟查看其数据权限范围的用户,点击「开始验证」

随后将会以验证用户的身份进入该数据集的可视化界面,可以通过配置图表,检验该用户可查看的数据范围

验证后,点击「退出验证」,即可回到数据权限界面。如果验证当前用户查看范围有问题,可以检查数据权限配置并调整。验证各个身份用户的权限范围无误后,就能安心进行图表、仪表盘发布了。

3.8 行列权限备注

从V2.54.0版本开始,如果客户同时使用了DataLeap,那么 DataLeap 的行列权限也会同时在 DataWind 中生效,DataWind接入了DataLeap的数据后,会显示哪些字段和哪些行没有权限。此能力还依赖产品底座版本,如果是低版本的底座,还需额外部署 DataLeap 的组件,具体情况请联系客户客户成功经理进行了解。

4. 最佳实践

详见数据权限最佳实践