1.背景需求
某連鎖酒店集團使用.NET開發了一套報表分析平臺,隨着管理及業務發展的需要,原平臺開發報表的難度較大、易用性低和數據權限管理較弱,現管理層級上需增加大區總監角色及其它數據權限控制,原平臺權限體系修改工作量巨大,爲了增強報表分析平臺的易維護性和易開發性,集團高層決定廢棄原系統,引入Smartbi作爲其報表分析平臺。
其中,權限管理想要達到的效果是酒店經理、店長、大區總監、經營總監和集團總部人員等不同角色的人員看到不同的數據和報表。2.權限設計
Smartbi 具有非常完善的安全管理體系,它可以控制用戶操作功能權限、數據訪問權限、資源訪問權限。支持按用戶、用戶組、角色進行管理;支持多套應用系統共用同一套用戶管理系統;支持多級用戶管理體系。權限控制的粒度非常細,最小可控制到報表按鈕,數據字段等權限。
不同人員查看不同的報表和數據對應的是Smartbi系統中的資源權限和數據權限控制,所以使用Smartbi進行開發和管理是非常容易實現的。新建用戶
新建角色
將角色授權給相應的用戶,對應關係如下
2.1.資源權限
編輯分店角色,打開資源授權管理頁面:
將F_分店報表授權給分店角色:
使用店長用戶登錄Smartbi系統後,店長會獲取到分店角色的權限,效果如下,店長只能看到已授權的F_分店報表
類似的編輯大區總監角色和集團管理角色,授權後的效果如下:
大區總監角色,所能看到的報表比分店角色多
集團管理角色,所能看到的報表是最多的
2.2.數據權限
以其中一個報表爲例,有以下5個參數:分店類型,區域,省份,城市,分店,參數之間相互關聯,分店的值由前4個參數決定,城市的值由前3個參數決定,省份的值由前2個參數決定,區域的值由分店類型決定。
1.分店信息表Store_info
2.建立用戶和分店的權限控制表User_store:
3.建立用戶屬性
系統自帶函數CurrentUserName的作用是獲取當前登錄用戶的名稱
新建用戶屬性的作用是當用戶登錄系統後即可獲取當前用戶所能查看哪幾家酒店數據
4.由權限控制表User_store和用戶分店屬性建立參數
a)分店類型參數由用戶分店屬性決定
b)區域參數由用戶分店屬性和分店類型參數決定
c)省份參數由用戶分店屬性、分店類型和區域參數決定
d)城市參數由用戶分店屬性、分店類型、區域和省份參數決定
e)分店參數由用戶分店屬性、分店類型、區域、省份和城市決定
3.案例實際效果
實際用戶:分店角色用戶4000人、總監角色用戶200人和集團管理角色用戶15人,只需簡單操作授權即完成權限管理。除此之外,用戶還可隨意根據自身需求增加角色,如按部門管理,極大的增加了權限管理的自由度和可擴展性。
店長用戶登錄後的效果如下,只能查看到北京大成店的數據。
大區總監用戶登錄後的效果如下,只能查看到深圳寶安新安地鐵站店,深圳東門湖貝地鐵站店和深圳蛇口工業七路四海公園店這3個酒店的數據。
最終集團總部人員登錄後的效果如下,可以查看6家已經授權的酒店數據。
4.Smartbi權限體系
Smartbi 具有完善的安全管理體系,它可以控制用戶功能權限、數據訪問權限、資源訪問權限。支持按用戶、用戶組、角色進行管理;支持多套應用系統共用同一套用戶管理系統;支持多級用戶管理體系。權限分類如下。
操作權限主要是從更高層面對用戶權限進行劃分,決定被授權用戶可以使用系統的哪些功能,可以執行哪些操作。如:管理員可以查看並設置數據源、用戶等信息,普通用戶只有查看報表的權限,IT人員有設計和開發報表的權限等等;其原理是在生成sql語句時添加響應的過濾條件,對於各類資源設置數據權限,應該是對其依賴的資源進行設置,比如組合分析如來源於業務主題,則應該對其業務主題進行數據權限設置。
資源權限是對平臺具體資源的控制,可以限制被授權用戶到具體的某一張報表或某一個圖形資源,如:創建的某張報表只允許本部門的所有人查看,本部門以外的人不允許看到;或者某些報表只能被被領導查看,普通員工不允許查看等等。
在系統中,我們可以利用數據權限功能實現不同區域的用戶登錄 Smartbi 後只能看到其所屬區域及子區域的數據,如:北京分行和廣州分行只能看到本分行自己的數據,而總行可以看到所有分行的數據和總行數據等等。相關聯的,這些權限的授予對象爲角色、用戶及用戶組,關係如下:
用戶爲最終的授權者,所有的權限最終會體現在用戶身上;授權對象之間存在着一定關係,從用戶角度分析看,一個用戶可以有多個角色,可以同時屬於多個用戶組,並且一個用戶組也可以有多個角色,如此角色和用戶組的權限最終都將傳遞到用戶上面。