同等許可權下多任職之間資料許可權的例項

有兩種解決方案：

第一種實現難度低，不用跟組織架構掛鉤，相對簡單，但是隻適用於小公司團隊；第二種與組織架構相關，相對複雜。

1. 第一種：將資料許可權與功能許可權區分開並與角色關聯，資料許可權可以將不同模組的資料拆分成不同層級顆粒大小的資料集，與功能許可權一樣，進行勾選選擇即可；
2. 第二種：是透過組織架構的部門界定部門從屬關係，透過崗位界定人員從屬關係【關係到資料範圍】，比如員工在A、B兩個公司任職不同的崗位和角色，透過角色將組織資訊帶出，然後選擇資料範圍和功能許可權，切換組織可以解決不同組織同角色，同許可權不同資料範圍的問題；

一、許可權系統

當使用RBAC（Role Based Access Control）模型進行許可權管理，相關概念包括許可權，角色和使用者。

角色與許可權繫結，即使用者的許可權與其被賦予的角色相關。一個使用者可以擁有多個角色，一個角色也可以被新增給多個使用者，每個角色可以被賦予多個許可權。

以下圖所示的結構為例：使用者1只擁有角色1的許可權，即對資源1進行操作1；而由於使用者3擁有3個角色全部的許可權，因此該使用者可以對資源1和資源2分別進行操作1和操作2。

角色與許可權繫結唯一例外是當用戶為某資源的建立者時，其對此資源的許可權與該使用者繫結，與角色無關。

例如：使用者1擁有角色1，許可權為可對資源1進行操作1與2，若該使用者建立了資源2則擁有了對該資源的許可權，而角色1並沒有許可權對資源2進行操作。

除非在許可權管理中進行修改， 使用者最終的許可權為其所有擁有角色許可權與資源建立者許可權的並集。

二、許可權分類

許可權可分為資源許可權、操作許可權和資料許可權三類，可透過角色管理實現對資源許可權和操作許可權的分配與管理，資料許可權則由資料行級許可權管理實現。

1. 資源許可權：資源包括選單級別的許可權，如訂單列表、收付款單表、庫存管理表等；
2. 操作許可權：操作許可權包括對訂單資料的新增、編輯、檢視、刪除等，對統計報表的新增、編輯、複製、檢視、匯出；
3. 資料許可權：資料許可權即行級許可權控制，在同一個選單列表中，資料許可權不同的使用者能夠看到的資料也不一樣，例如：小明只能看到小明自己的訂單資料，東北地區的使用者只能看到東北資料。

三、角色管理

例如可以將角色分成三類：

1. 系統角色

系統角色由系統給出，只存放於根目錄。

系統角色包括：系統管理員、二級管理員、業務員、跟單員、經理、美妝等，各角色的許可權如下表所示的進行設定。

2. 系統管理員將使用者賦予二級管理員

1）方法一

在使用者管理頁面，新增使用者、編輯使用者的操作中，賦予二級管理員，此時也可將一級角色美妝同時賦予。

2）方法二

在二級管理員介面，直接新增使用者。

二級管理員的專案中心中可建立角色，新增使用者和賦予許可權，駕駛艙、郵件、抽取、分享和回收站等欄目下，二級管理員只能看到和自己相關的記錄。

一級角色只能由專案管理員建立，該角色可對出現駕駛艙、報告、大屏、資料來源4個模組有編輯許可權，該角色可對使用者賦予資源許可權和操作許可權。

一級角色列表在一級分類下，可存放於資料夾中。

3. 有數建議一級角色擁有以下許可權

1）報告

• 公共資料夾的新增、匯出、分享、定時郵件
• 私人資料夾的新增、匯出、分享、定時郵件
• 某些資料夾或報告的檢視、匯出、複製、編輯、分享、定時郵件

2）大屏

3）資料模型

4）資料連線

• 某些資料連線的檢視，必須要有檢視許可權，獲得資料連線的列表，才能新建自定義SQL和新建資料模型
• 某些資料連線的自定義SQL

4. 專案管理員建立一級角色

新增角色：點選角色管理頁面的+按鈕可新增角色，輸入角色名稱，選擇角色型別為一級角色、新增描述及確認儲存位。

本文由@山人小道 原創釋出於人人都是產品經理，未經許可，禁止轉載。

題圖來自Unsplash，基於CC0協議