角色权限
概述
本文旨在为用户提供清晰、详细的权限管理说明,帮助用户理解系统中的权限管理。 通过阅读以下内容,用户可以快速掌握如何根据业务需求合理分配角色权限,实现对系统资源的有效管控。
角色定义
系统中内置了租户管理员、平台管理员、数据管理员、数据工程师以及数据分析师5个角色,不同角色的说明以及职责如下:
| 角色 | 指定方式 | 职责说明 |
|---|---|---|
| 租户管理员 | 由admin账户指定,每个租户只有一个 | 负责特定租户的管理,有租户内的全部权限租户管理员可以指定其他角色。 |
| 平台管理员 | 由租户管理员指定,可以配置多个 | 负责租户内的用户管理、角色管理等事项平台管理员可以指定数据管理员、数据工程师和数据分析师 |
| 数据管理员 | 由租户管理员/平台管理员指定 | 负责租户内的数据管理,例如安全管理、投影管理以及元数据管理等 |
| 数据工程师 | 由租户管理员/平台管理员指定 | 负责数据集成、数据整合、数据加速等 |
| 数据分析师 | 由租户管理员/平台管理员指定 | 负责数据整合、数据分析等 |
权限说明
系统中的权限包含菜单权限、资产权限、对象权限以及行级权限。
菜单权限
菜单权限是指用户是否有菜单的可见权限,不同的角色有不同的菜单权限。
| 一级菜单 | 租户管理员 | 平台管理员 | 数据管理员 | 数据工程师 | 数据分析师 |
|---|---|---|---|---|---|
| 首页 | √ | √ | √ | √ | √ |
| 目录 | √ | √ | √ | √ | √ |
| 数据整合 | √ | √ | √ | √ | √ |
| 数据交换 | √ | √ | √ | √ | √ |
| 用户管理 | √ | √ | × | × | × |
| 安全管理 | √ | √ | √ | √ | × |
| 质量管理 | √ | √ | √ | × | × |
| 投影管理 | √ | √ | √ | × | × |
| 元数据管理 | √ | √ | √ | × | × |
| 控制中心 | × | × | × | × | × |
租户管理员、平台管理员以及数据管理员可查看每个菜单下的所有记录,数据工程师和数据分析师可查看的范围如下所示:
| 菜单 | 数据工程师 | 数据分析师 |
|---|---|---|
| 目录 | 展示可见范围内+有权限的 | 展示可见范围内+有权限的 |
| 工作薄 | 只展示自己的 | 只展示自己的 |
| 视图 | 只展示有权限的 | 只展示有权限的 |
| 投影 | 展示有管理或使用权限的pds、vds对应的投影 | 展示有管理或使用权限的pds、vds对应的投影 |
| 查询记录 | 只展示自己的 | 只展示自己的 |
| 数据源 | 只展示有权限的 | 只展示有权限的 |
| 数据导出 | 展示有管理或使用权限的pds、vds对应的导出任务 | 展示有管理或使用权限的pds、vds对应的导出任务 |
| 数据服务 | 只展示有权限的 | 只展示有权限的 |
| 安全管理 | 只展示自己的 | × |
资产权限
资产权限是指用户是否有「目录」下资产的查看权限,不同的角色有不同的资产权限。
租户管理员、平台管理员以及数据管理员可查看「目录」下的所有资产,数据工程师和数据分析师可查看的资产范围可以按照如下流程进行配置。
- 操作流程:
第一步:选择「角色」菜单,点击「配置资产可见范围」。
第二步:选择可见的资产范围,支持按照类目、标签、数据空间以及数据源自定义范围。
对象权限
说明
对象权限是指用户是否拥有对对象进行管理、新建以及使用的权限。此类权限的授予,由对象的负责人以及具备相应管理权限的用户负责配置。
| 模块 | 对象 | 管理权限 | 新建权限 | 使用权限 |
|---|---|---|---|---|
| 视图 | 数据空间 | 删除、添加授权 | 新建文件夹 | 查询 |
| 文件夹 | 添加授权 | 新建视图 | 查询 | |
| 逻辑视图 | 下载、编辑、同步元数据、查询编辑表描述、标签、类目、属性编辑字段更新设置添加授权管理投影管理导出任务管理质量校验 | 查询、下载 | ||
| 数据源 | 数据源 | 编辑、删除、同步元数据 | 查询 | |
| 文件夹 | 编辑、删除、添加授权 | 查询 | ||
| 基础视图 | 下载、编辑、同步元数据、查询编辑表描述、标签、类目、属性编辑字段更新设置添加授权管理投影管理导出任务管理质量校验 | 查询 、下载 | ||
| 数据服务 | 目录 | 编辑、删除、修改名称、授权 | 新建数据服务 | 查询 |
| 数据服务 | 编辑、发布、下线、测试、删除修改描述、添加授权 | 查询 |
示例
- 场景:给「用户 air218」授予「视图 "demo_01"."schema"."zhaohangTest"」的管理权限
- 操作:
第一步:找到「视图 "demo_01"."schema"."zhaohangTest"」,点击添加授权
第二步:选择用户,点击下一步
第三步:配置管理权限
行级权限
行级权限是指用户是否有数据行级别的访问权限。用户可以针对有管理权限的视图配置行级权限。
- 操作流程:
第一步:选择「行级权限策略」菜单,点击「新建行级权限策略」
第二步:选择面向的用户、需要管控的视图以及过滤条件。
过滤条件支持以下变量
| 变量名称 | 描述 | 示例 | 说明 |
|---|---|---|---|
| user.name | 用户名 | 字段名 = ${user.name} | 例如:username = ${user.name}在查询时,不同用户展示不同数据。 |
| user.group | 用户组(全部) | 字段名 = ${user.group} | 例如:user_group = ${user.group}查询时,用户在不同组下展示不同数据。 |
| user.group[0] | 用户组(第一个) | 字段名 =${user.group[0]} | 例如:group = ${user.group[0]}查询时,根据用户所属的第一个组展示数据 |
| user.role | 用户角色 | 字段名 = ${user.roleId} | 例如:role_id = ${user.role}查询时,根据用户对应的角色ID做行级过滤。 |