功能权限
功能权限概述
功能权限用于控制用户对平台各功能模块(如仪表板、数据大屏、轻应用等)的访问与操作能力,包括查看、编辑、授权、导出等权限类型。
在观远 BI 中,功能权限的配置载体是「角色」,用户通过「账号类型」与「自定义角色」获得功能权限,所有功能权限均受账号类型的权限上限约束。
管理员可通过「管理中心 > 用户管理 > 角色」进入角色权限配置页面,此处的「角色」是平台功能角色(如数据处理者、大屏制作者等),并非业务岗位角色(如人事、财务等)。如需对角色相关权限进行批量管理,推荐为特定角色创建对应的用户组。
角色分类
账号类型
账号类型为用户必填配置项,共分为三种,每种账号类型均包含默认权限与权限上限(即可获得的最大权限范围)。
管理员
管理员拥有最高权限,可以创建用户、用户组, 也对该企业环境里所有页面、卡片、数据集等资源拥有和所有者一样的权限,可以进行任何操作。
业务管理员
业务管理员是管理员的一种细分类型,用于控制管理员在管理中心的功能范围。通过将部分管理员设置为业务管理员,并配置其可操作的管理中心功能模块,可以实现总部集权和下级分权的平衡,避免业务管理员越权操作高级功能(如企业配置、运维管理等)。业务管理员如何配置可参考 业务管理员。
普通用户
普通用户可以创建页面、卡片和数据集,且对自己所有的页面、卡片、数据集有编辑、删除等所有权限。
- 如果是非自己所有且被授权访问的页面、卡片,普通用户拥有和只读用户一样的权限。
- 如果是非自己所有且被授权使用的数据集,普通用户可以用数据集创建卡片,但无法修改数据集的相关信息。
只读用户
只读用户对被授权的页面、卡片只有浏览访问权限,但是没有编辑、删除等相关权限;同时也没有数据集相关的操作入口。
自定义角色
作为系统管理员,您还可以根据自己公司的需要,自定义角色并分配功能权限,如报表设计师、页面设计师等。
自定义角色可配置各模块的:
- 「查看」权限:用户可以看到该功能入口,且在该功能中看到有访问者/使用者权限的资源。
- 「编辑」权限:在「查看」基础上,可新建资源,并对有所有者权限的资源进行编辑。
- 「授权」权限:在「查看」基础上,可对有所有者权限的资源进行权限管理,分享给其他人。
- 「导出」权限:在「查看」基础上,可导出有权限的资源。
说明:自定义角色可以配置超出某些账号类型权限上限的权限,但最终是否生效取决于账号类型的权限上限。
组管理员
组管理员管理用户组,与功能权限控制逻辑不同。当系统开启了组管理员的启用时,「成员」这里便可以看到组管理员的成员清单,以及每个组管理员的管理用户组。想进一步了解组管理员相关内容,可查看 组管理员。
权限生效机制
生效规则
用户最终可用的功能权限,按照以下规则计算:
最终可用权限 =(账号角色默认权限 + 自定义角色权限)受限于 账号角色权限上限
系统会先合并所有角色权限,再根据账号类型的权限上限进行限制。
简单理解
- 账号类型决定你能拥有的最大权限范围(天花板)
- 账号类型和自定义角色共同决定你实际获得的具体权限
- 即使自定义角色给了很高权限,也不能突破账号类型的上限
配置入口
- 查看/修改账号类型权限:管理中心 > 用户管理 > 角色 > 选择账号类型(管理员/普通用户/只读用户)> 角色权限
- 查看/修改自定义角色:管理中心 > 用户管理 > 角色 > 选择自定义角色 > 角色权限
- 给用户分配角色:管理中心 > 用户管理 > 用户 > 选择用户 > 编辑 > 账号类型/自定义角色
示例说明
用户小张为「只读用户」,默认拥有仪表板、数据大屏、幻灯片、组合报表的查看权限,通过自定义角色获得了轻应用、自定义地图的查看权限和仪表板的编辑权限。
由于只读用户权限上限为:除管理员中心外,各功能模块的查看权限,因此通过自定义角色获取的仪表板编辑权限不会生效,小张只能拥有仪表板、数据大屏、幻灯片、组合报表、轻应用、自定义地图的查看权限。
权限生效检查清单:
| 检查项 | 检查位置 | 预期结果 |
|---|---|---|
| 用户账号类型 | 用户详情页 | 确认是管理员/普通用户/只读用户 |
| 账号类型权限上限 | 角色 > 账号类型 | 查看该账号类型的最大权限范围 |
| 用户关联的自定义角色 | 用户详情页 | 确认用户关联了哪些自定义角色 |
| 自定义角色权限 | 角色 > 自定义角色 | 查看角色具体权限配置 |
| 最终生效权限 | 实际使用验证 | 测试用户能否执行目标操作 |
配置示例:零售企业功能权限配置
场景背景
某连锁零售企业拥有总部(经营分析部、数字化部门等)、区域经理、门店店长等多种角色;同时,各区域设有区域业务管理员,负责本区域的用户和资源管理。
企业希望实现:
- 总部管理员:拥有所有功能模块的读写权限,负责全局配置与运维。
- 总部数据分析师:负责报表与大屏设计。
- 区域业务管理员:管理本区域用户和资源(如添加用户、分配资源权限),但不能访问企业配置、运维管理等高级功能。
- 区域经理:可查看并导出本区域经营数据。
- 门店店长:仅查看本店经营情况,严格限制误操作风险。
权限设计思路
| 角色 | 账号类型 | 业务管理员 | 自定义角色 | 目标权限效果 |
|---|---|---|---|---|
| 总部管理员 | 管理员 | 否(全局管理员) | 无 | 所有功能模块读写权限,可管理全部用户与资源 |
| 区域业务管理员 | 管理员 | 是(业务管理员) | 无 | 管理本区域用户和资源,无法访问企业配置、运维管理等模块 |
| 总部数据分析师 | 普通用户 | 不适用 | 报表设计师角色 | 可创建、编辑仪表板和数据大屏 |
| 区域经理 | 只读用户 | 不适用 | 区域导出角色 | 可查看并导出仪表板 |
| 门店店长 | 只读用户 | 不适用 | 门店查看角色 | 仅查看相关页面 |
操作步骤
设置区域业务管理员
- 总部管理员在「管理中心 > 用户管理 > 权限规则」中开启「业务管理员」开关。
- 点击「添加」,从管理员成员中添加需要担任区域业务管理员的用户(如「华东区管理员」)。
- 点击「编辑」,为该业务管理员配置管理中心功能权限。例如,仅保留「用户管理」、「资源管理」等模块的查看与编辑权限,取消「企业配置」、「运维管理」等高级模块的权限。
- 保存后,该用户即成为仅可管理用户和资源的业务管理员。
配置总部数据分析师、区域经理和门店店长的权限
以区域经理操作为例,由于区域经理账号类型为只读用户,只具备仪表板查看的权限,因此导出权限需要通过自定义角色来获取。
创建区域导出角色
-
在「管理中心 > 用户管理 > 角色」页面,点击「新建角色」,输入「区域导出角色」后点击「确定」,即可创建完成角色创建。
-
在新建的区域导出角色详情页,点击右上角「编辑」,勾选仪表板的编辑与导出权限。
为用户分配权限
单个用户配置
在相应用户的详情页面,选择「账号类型」为「只读用户」并添加「区域导出角色」。
用户组批量配置
单个用户配置权限适合于新增用户配置,如果是为大量已有用户分配权限的话,推荐使用用户组批量分配权限。
配置前请先确保所有区域经理均已分配只读用户的权限。
- 创建一个区域经理用户组。
- 为该用户组添加区域导出角色。
- 为用户组添加成员,将所有属于区域经理的用户添加至该用户组。
常见问题
-
Q:用户类型为普通用户,数据集给了所有者权限为什么还是没有编辑权限?
A:需要去「管理中心 > 用户管理 > 角色 > 普通用户」的「角色权限」页签,查看是否已为普通用户开启数据集编辑权限。
