Smartbi系统目前支持多租户模式。但是可以通过构建机构资源目录以及机构用户组的模式,来创建相对隔离的多机构资源权限体系。示意图如下:
如上图所示。
- 每个相对隔离的机构都有其用户组。并且组中存在一个组管理员,可对本组的用户组、用户和角色进行维护。
- 每个相对隔离的机构都有其资源目录。机构下的用户只能在其资源目录下进行资源的开发、浏览。与其他机构的资源目录互不影响。
2.示例创建
注意:在参考此文档创建示例之前,请先备份知识库。
2.1背景
产品中有一些权限或者角色配置是内置的,因此需要先去除。
设置如下
- 编辑根组,将其“普通角色”勾除
- 找到以下对应的节点,右键选择“资源授权”,删除默认的Everyone权限配置。
需要执行此操作的位置如下:
- 数据连接-数据连接
- 数据准备-自助ETL
- 数据准备-业务主题
- 数据准备-数据集
- 分析展现-分析报表
- 运维设置-常用功能-资源发布
- 运维设置-常用功能-资源发布-电脑主题
- 运维设置-常用功能-资源发布-平板主题
- 运维设置-常用功能-资源发布-手机主题
- 运维设置-模块配置与管理-流程管理
去掉“模块配置与管理”中默认继承的权限。在下述节点上右键选择“资源授权”,并勾除“从父节点继承权限”。
需要执行此操作的位置包含如下:
(1)运维设置-全局资源定义-参数定义
(2)运维设置-全局资源定义-脱敏规则
(3)运维设置-全局资源定义-用户属性
(4)运维设置-全局资源定义-转换规则
(5)运维设置-全局资源定义-宏资源包
(6)运维设置-全局资源定义-值域范围
2.2说明
以上面示意图中的“企划”与“财务”两个机构为例。接下来我们讲述如何配置实现。
2.3在各根节点下方创建机构目录
需要创建的顶级目录有:
- 数据连接-数据连接
- 数据连接-公共空间
- 数据准备-业务主题
- 分析展现-分析报表
- 运维设置-全局资源定义-参数定义
- 运维设置-全局资源定义-脱敏规则
- 运维设置-全局资源定义-用户属性
- 运维设置-全局资源定义-转换规则
- 运维设置-全局资源定义-宏资源包
- 运维设置-全局资源定义-值域范围
- 运维设置-模块配置与管理-流程管理
- 运维设置-模块配置与管理-计划任务-计划
- 运维设置-模块配置与管理-计划任务-任务
这些目录构建好后,后续通过超级管理员授权给对应的组管理员。组管理员即可操作其机构对应的资源目录(包括授权给其机构用户、角色、以及在目录下添加目录、资源等操作)。
2.4在用户管理中创建各机构组
在根组下创建各机构组:
2.5创建并配置各组管理角色
现在我们需要在根组下创建各组的组管理员角色,并使用超级管理员账号为各个组管理员角色分配初始权限。后续将各组的管理员角色赋予各机构组的组管理员账号之后,各机构组的组管理员账号即可进行其机构内的角色、用户、资源的管控。
1.在根组下创建角色“财务组管理员角色”
2.为“财务组管理员角色”,设置操作权限,勾选如下内容:
需要勾选的节点 | |
|---|---|
数据连接 | 全部 |
数据准备 | 业务主题 |
数据集 | |
分析展现 | 全部 |
移动端 | 全部 |
| 运维设置-常用功能 | 资源发布 |
用户管理 | |
| 查看发布资源 | |
运维设置-全局资源定义 | 参数 |
脱敏规则 | |
用户属性 | |
转换规则 | |
宏资源包 | |
值域范围 | |
运维设置-模块配置与管理 | 计划任务 |
| 流程定义 | |
流程监控 | |
| 运维设置-系统迁移与备份 | 资源迁移 |
| 运维设置-系统运维工具 | 清空缓存 |
| 操作日志 | |
3.为“财务组管理员角色”设置资源权限,如下:
目录 | 权限 | 应用到范围选择 | ||
|---|---|---|---|---|
数据连接 | 引用、查看、转授权 | 只有本节点 | ||
数据连接 | 财务 | 引用、查看、编辑/删除、转授权 | 本节点及子节点 | |
数据连接 | 高速缓存库 | 引用、查看、转授权 | 本节点及子节点 | |
数据连接 | 跨库联合数据源 | 引用、查看、转授权 | 本节点及子节点 | |
业务主题 | 引用、查看、转授权 | 只有本节点 | ||
业务主题 | 财务 | 引用、查看、编辑/删除、转授权 | 本节点及子节点 | |
数据集 | 引用、查看、转授权 | 只有本节点 | ||
数据集 | 财务 | 引用、查看、编辑/删除、转授权 | 本节点及子节点 | |
分析报表 | 引用、查看、转授权 | 只有本节点 | ||
分析报表 | 财务 | 引用、查看、编辑/删除、转授权 | 本节点及子节点 | |
公共空间 | 引用、查看、转授权 | 只有本节点 | ||
公共空间 | 财务 | 引用、查看、编辑/删除、转授权 | 本节点及子节点 | |
资源发布 | 引用、查看、转授权 | 只有本节点 | ||
资源发布 | 电脑主题 | 引用、查看、编辑/删除、转授权 | 只有本节点 | |
资源发布 | 平板主题 | 引用、查看、编辑/删除、转授权 | 只有本节点 | |
资源发布 | 手机主题 | 引用、查看、编辑/删除、转授权 | 只有本节点 | |
全局资源定义 | 引用、查看、转授权 | 只有本节点 | ||
全局资源定义 | 参数定义 | 引用、查看、转授权 | 只有本节点 | |
全局资源定义 | 参数定义 | 财务 | 引用、查看、编辑/删除、转授权 | 本节点及子节点 |
全局资源定义 | 脱敏规则 | 引用、查看、转授权 | 只有本节点 | |
全局资源定义 | 脱敏规则 | 财务 | 引用、查看、编辑/删除、转授权 | 本节点及子节点 |
全局资源定义 | 用户属性 | 引用、查看、转授权 | 只有本节点 | |
全局资源定义 | 用户属性 | 财务 | 引用、查看、编辑/删除、转授权 | 本节点及子节点 |
全局资源定义 | 转换规则 | 引用、查看、转授权 | 只有本节点 | |
全局资源定义 | 转换规则 | 财务 | 引用、查看、编辑/删除、转授权 | 本节点及子节点 |
全局资源定义 | 流程管理 | 财务 | 引用、查看、编辑/删除、转授权 | 本节点及子节点 |
全局资源定义 | 宏资源包 | 引用、查看、转授权 | 只有本节点 | |
全局资源定义 | 宏资源包 | 财务 | 引用、查看、编辑/删除、转授权 | 本节点及子节点 |
全局资源定义 | 值域范围 | 引用、查看、转授权 | 只有本节点 | |
全局资源定义 | 值域范围 | 财务 | 引用、查看、编辑/删除、转授权 | 本节点及子节点 |
| 模块配置与管理 | 引用、查看、转授权 | 只有本节点 | ||
| 模块配置与管理 | 流程管理 | 引用、查看、转授权 | 只有本节点 | |
| 模块配置与管理 | 流程管理 | 财务 | 引用、查看、编辑/删除、转授权 | 本节点及子节点 |
计划任务 | 引用、查看、转授权 | 只有本节点 | ||
计划任务 | 任务 | 引用、查看、转授权 | 只有本节点 | |
计划任务 | 任务 | 财务 | 引用、查看、编辑/删除、转授权 | 本节点及子节点 |
计划任务 | 计划 | 引用、查看、转授权 | 只有本节点 | |
计划任务 | 计划 | 财务 | 引用、查看、编辑/删除、转授权 | 本节点及子节点 |
到此处“财务组管理员角色”的权限即可处理完毕。
4.在根组下创建一个“企划组管理员角色”
5.为“企划组管理员角色”,设置操作权限,勾选如下内容:
需要勾选的节点 | |
|---|---|
数据连接 | 全部 |
数据准备 | 业务主题 |
数据集 | |
分析展现 | 全部 |
移动端 | 全部 |
| 运维设置-常用功能 | 资源发布 |
用户管理 | |
| 查看发布资源 | |
运维设置-全局资源定义 | 参数 |
脱敏规则 | |
用户属性 | |
转换规则 | |
宏资源包 | |
值域范围 | |
运维设置-模块配置与管理 | 计划任务 |
| 流程定义 | |
流程监控 | |
| 运维设置-系统迁移与备份 | 资源迁移 |
| 运维设置-系统运维工具 | 清空缓存 |
| 操作日志 | |
6.为“企划组管理员角色”设置资源权限,如下
目录 | 权限 | 应用到范围选择 | ||
|---|---|---|---|---|
数据连接 | 引用、查看、转授权 | 只有本节点 | ||
数据连接 | 财务 | 引用、查看、编辑/删除、转授权 | 本节点及子节点 | |
数据连接 | 高速缓存库 | 引用、查看、转授权 | 本节点及子节点 | |
数据连接 | 跨库联合数据源 | 引用、查看、转授权 | 本节点及子节点 | |
业务主题 | 引用、查看、转授权 | 只有本节点 | ||
业务主题 | 财务 | 引用、查看、编辑/删除、转授权 | 本节点及子节点 | |
数据集 | 引用、查看、转授权 | 只有本节点 | ||
数据集 | 财务 | 引用、查看、编辑/删除、转授权 | 本节点及子节点 | |
分析报表 | 引用、查看、转授权 | 只有本节点 | ||
分析报表 | 财务 | 引用、查看、编辑/删除、转授权 | 本节点及子节点 | |
公共空间 | 引用、查看、转授权 | 只有本节点 | ||
公共空间 | 财务 | 引用、查看、编辑/删除、转授权 | 本节点及子节点 | |
资源发布 | 引用、查看、转授权 | 只有本节点 | ||
资源发布 | 电脑主题 | 引用、查看、编辑/删除、转授权 | 只有本节点 | |
资源发布 | 平板主题 | 引用、查看、编辑/删除、转授权 | 只有本节点 | |
资源发布 | 手机主题 | 引用、查看、编辑/删除、转授权 | 只有本节点 | |
全局资源定义 | 引用、查看、转授权 | 只有本节点 | ||
全局资源定义 | 参数定义 | 引用、查看、转授权 | 只有本节点 | |
全局资源定义 | 参数定义 | 企划 | 引用、查看、编辑/删除、转授权 | 本节点及子节点 |
全局资源定义 | 脱敏规则 | 引用、查看、转授权 | 只有本节点 | |
全局资源定义 | 脱敏规则 | 企划 | 引用、查看、编辑/删除、转授权 | 本节点及子节点 |
全局资源定义 | 用户属性 | 引用、查看、转授权 | 只有本节点 | |
全局资源定义 | 用户属性 | 企划 | 引用、查看、编辑/删除、转授权 | 本节点及子节点 |
全局资源定义 | 转换规则 | 引用、查看、转授权 | 只有本节点 | |
全局资源定义 | 转换规则 | 企划 | 引用、查看、编辑/删除、转授权 | 本节点及子节点 |
全局资源定义 | 宏资源包 | 引用、查看、转授权 | 只有本节点 | |
全局资源定义 | 宏资源包 | 企划 | 引用、查看、编辑/删除、转授权 | 本节点及子节点 |
全局资源定义 | 值域范围 | 引用、查看、转授权 | 只有本节点 | |
全局资源定义 | 值域范围 | 企划 | 引用、查看、编辑/删除、转授权 | 本节点及子节点 |
| 模块配置与管理 | 引用、查看、转授权 | 只有本节点 | ||
| 模块配置与管理 | 流程管理 | 引用、查看、转授权 | 只有本节点 | |
| 模块配置与管理 | 流程管理 | 企划 | 引用、查看、编辑/删除、转授权 | 本节点及子节点 |
计划任务 | 引用、查看、转授权 | 只有本节点 | ||
计划任务 | 任务 | 引用、查看、转授权 | 只有本节点 | |
计划任务 | 任务 | 企划 | 引用、查看、编辑/删除、转授权 | 本节点及子节点 |
计划任务 | 计划 | 引用、查看、转授权 | 只有本节点 | |
计划任务 | 计划 | 企划 | 引用、查看、编辑/删除、转授权 | 本节点及子节点 |
到此 “企划组管理员角色”也已配置完成。
其实“财务组管理员角色”与“企划组管理员角色”的逻辑是一致的。赋予同样的操作权限;在配置资源权限时,主要讲“财务”对应的目录的权限授予“财务组管理员角色”,将“企划”对应的目录的权限授予“企划组管理员角色”
2.6创建各机构的组管理员并赋予角色
1.使用admin用户 在“财务”组下创建一个用户,并授予其“财务组管理员角色”。若已存在用户,也可以直接将“财务组管理员角色”授予该用户。该用户即成为“财务”机构的组管理员。
2.同理,使用admin用户 在“企划”组下创建一个用户,并授予其“企划组管理员角色”。若已存在用户,也可以直接将“企划组管理员角色”授予该用户。该用户即成为“企划”机构的组管理员。
2.7配置完毕
上述配置完成之后,组管理员即可登录系统。创建其机构中的用户、角色、用户组等。并将其对应的资源目录根据实际场景进行授权。
3.风险点
- 由于用户是各机构进行管理,且产品中是不支持同名用户的。因此可能出现创建用户报“用户已存在”的错误。比如企划机构组中已经存在用户“张三”,此时财务组管理员想要在财务机构下创建另一个“张三”是无法成功的,只能创建“张三1”。
- 顶级目录只有查看权限,所以在保存资源到这些目录时会报错。只能选择对应的目录之后再进行保存。
如下:财务组的开发人员创建数据源,想要保存在“数据连接”节点下会报错
只能先选择“财务”目录,然后保存
- 如果用户和机构是通过同步用户的方式进行添加维护的,而不是此文档中的新建的方式。那么需要注意如下几点:
(1)在同步时,需要构建好机构。比如同步前在第三方系统中财务的原始组织架构如下(顶级机构默认有3个):
那么同步到Smartbi时,需要在同步的过程张处理成如下的机构:
(2)如果用户已经同步过来,那么可以先确定同步过来的哪些用户为“组管理员”,然后由超级管理员创建好组管理员角色并分配角色给对应的用户
(3)设置好组管理员后,需要由组管理员对其用户进行管理。创建对应的角色、设置权限等并赋予对应的用户。
(4)使用此文档中的方案时,用户同步的逻辑除了第一次同步时允许在同步过程中给用户设置角色以外,后续的同步不允许再通过同步的逻辑给用户设置角色。否则会将组管理员所做的授权等覆盖掉。
