行级权限
该功能仅旗舰版支持。
概述
行级权限用来控制用户对标签数据的访问权限,当某个用户被设置了行级权限后,只能查看在权限规则内设置的标签数据。
示例,以上是某张客户表,包括客户ID、姓名、性别、年龄、客户类型、近30天消费金额、近30天购买次数这7个标签,客户类型有“直销客户”和“代销客户”2个标签值。
假设负责直销和代销的部门之间存在竞争关系,不能互相查看对方的客户数据。此时就需要设置行级权限,负责直销的用户只能查看“直销客户”的数据,负责代销的用户只能查看“代销客户”的数据。
设置行级权限
入口: 进入“标签中心-授权与安全-行级权限”菜单,点击右上角的新增权限标识按钮,创建权限标识(行级权限规则) 设置行级权限包括两个步骤,一是设置权限规则,二是关联用户。
设置固定行级权限
步骤一:设置权限规则
- 权限标识名称:输入权限标识名称,用来识别行级权限
- 设置方式:包括【固定值】【动态值】2种
设置方式选择【固定值】时,可选择固定的标签、标签值,设置用户查看的数据范围
例如:设置“购买渠道(标签)=天猫(标签值)”将该“行级权限规则”分配给负责天猫渠道的工作人员,则他们在访问数据时,只会看到渠道为“天猫”的数据。
根据用户属性动态赋权
设置方式选择【动态值】时,可选择标签、用户属性,根据用户属性动态设置用户查看的数据范围
例如:在银行的业务中,客户经理在访问标签大宽表时只能查询到自己管理的客户数据。如果用“固定值”设置行级权限,有几个客户经理就要创建对应数量的“行级权限规则”,每个“行级权限规则”只能查看一个客户经理管理的客户数据。而更简便的方法是根据用户属性设置动态行级权限,设置一条“行级权限规则”即可。
设置“所属客户经理(标签)=用户姓名(用户属性)”,将该“行级权限规则”分配给所有用户,则每个用户访问标签数据时会根据该用户属性筛选数据,只能看到自己管理的客户数据。
步骤二:关联用户
可以按单个用户、用户组、角色的方式添加适用成员,行级权限将对所选成员生效。
添加成员属性:基于已选指定人设置用户属性,即行级权限规则生效的用户可根据用户属性实现动态匹配。
例如:设置支行管理人员可以查看支行的数据,而是否管理人员属于用户的属性,只要指定人处添加所有支行人员,设置成员属性“是否管理岗(用户属性)=是(属性值)”,即可筛选出支行内的管理人员,并针对这部分人员生效行级权限。
查看适用成员:根据指定人和成员属性匹配到的用户,即行级权限最终生效的用户。
若选完指定人后又配了成员属性,行级权限最终生效的用户并不是添加的指定人,而是在指定人的基础上根据成员属性进行筛选;点击查看适用成员,可以查看行级权限最终生效的用户。
1.行级权限不对管理员生效,包括租户所有者、租户管理员、项目所有者、项目管理员
2.当某个用户关联了多个行级权限,权限规则之间为“且”的关系对用户生效
权限开启/关闭
行级权限中的开启/关闭按钮控制行级权限是否生效,开启时,行级权限生效,会按照设置的规则对特定用户控制标签的访问权限;关闭时,行级权限不生效。另外,权限标识创建后默认是打开状态。
控制范围
行级权限对查询标签大宽表的页面进行权限控制,包括标签圈群、群组交并差、群组详情的实例列表、群组画像、显著性分析、对比分析、实体画像、个体画像查询与数据导出,以下内容不受行级权限控制:
- 标签创建/编辑时不受行级权限控制,因为此时查询的是数据源表(主表、辅表或关系表)
- API查询时不受行级权限控制,可以通过设置输出维度的方式初步控制可访问的数据