不同行业、不同体量的公司，在面对公司架构多样化、复杂的业务需求和严格的法规合规性要求时，建立清晰的权限管理流程绝非易事但又至关重要。

一般面临的问题有以下几种：

① 如何处理大量员工的角色配置，避免权限混乱。

② 随着公司规模和业务的变化，不断变化的权限需求会增加管理和维护成本，需要不断调整权限以适应组织结构和人员变动。

③ 出于安全性考虑，需要确保敏感数据只能被授权人员访问，以避免数据泄露和安全风险。

④ 出于用户体验考虑，需要避免权限设置对用户工作效率造成负面影响。

本次将以金融机构为例，结合有数BI产品介绍一种权限配置思路，以帮助金融机构更好地管理、使用其业务数据和保护敏感信息。

例如，该机构包含4个子公司，11个一级部门，大量员工涉及多个业务线，为避免权限混乱，经调研沟通双方共同认为引用组织架构进行权限配置的方式并不是最优解。

机构中的用户角色多种多样，如高层管理人员、数据分析师、业务人员等，不同用户对BI系统的需求和使用权限也有所不同，为每个人单独配置权限成本太高。

该机构要求：

① 各部门、各业务线的数据做到安全隔离与管控，管理权限下放至各个业务部门负责人；

② 各角色用户的权限管理要清晰简易；

③ 针对跨部门的特殊业务场景，能够支持管理人员主动授权和用户申请相应报告权限，同时审批流程要安全高效；

④ 能够监控数据访问情况，操作详情记录，优化权限管理体系；

⑤ 能够针对客户敏感信息进行脱敏处理。

总之，基于该机构的业务特点和要求，可以参考以下流程进行权限配置。

3.1 根据目标进行项目划分

考虑到该机构的子公司与一级部门同级，为确保权限管理流程能够针对不同业务实体进行有效管理，可划分十五个独立项目。

3.2 制作权限矩阵

最熟悉用户业务需求和使用场景的一定是用户本人，为方便收集权限需求来给他们配置合适的权限，权限管理负责人可以根据金融机构各子公司、一级部门的实际业务情况，分别制作各二级部门的权限矩阵表。详细列出不同业务数据权限需求，包括对数据的访问、编辑、导出等权限，由各部门自行勾选所需权限。

进行初步权限矩阵设计时，需先考虑如何实现以下要求：

① 数据访问权限：要求根据用户角色的需求，设置不同的数据访问权限。例如，高层管理人员可能需要查看全局数据，而业务人员可能只需要查看与自己业务相关的数据。

② 数据操作权限：要求对数据操作权限进行细致划分，如数据连接、数据建模、报告导出、编辑报告等。

在该案例场景中：

① 超级管理员（admin）账号为域主，高层管理人员需要查看全局数据，设置为域管理员；

② 各一级部门/子公司负责人为各项目的项目管理员，拥有对应项目中的所有权限；

③ 各二级部门负责人为系统自定义管理员，拥有所属部门资源的所有权限；

④ 各二级部门中的业务人员按照业务实际需要划分为自定义编辑角色与自定义阅览角色，拥有指定资源部分权限；

⑤ 负责接入数据的IT人员为自定义编辑角色，只对其开放数据连接、数据准备、数据模型功能相关的权限。

以该金融机构中的金融资讯子公司项目为例，可以制作以下权限矩阵（这里只展示以业务发展部门为例的权限矩阵例图，正式使用时应根据实际情况设计多个部门的权限矩阵内容），各二级/三级部门负责人按实际情况填报权限。

注意

① 数据连接、数据准备、数据建模的工作统一由IT部门负责，其他部门仅有数据源以外其他模块的部分使用权限，因此单个数据源模块的权限分配给相对固定的用户，管控相对简单，在此不过多赘述；

② 权限矩阵中功能模块对应实际业务会使用到的模块，权限同理，其他权限默认关闭，如需用到可再额外申请；

3.3 初步审查和确认

权限配置工作负责人对各部门填写提交的权限矩阵进行审查和确认，确保权限的分配符合公司的实际情况和安全要求，同时符合金融监管机构的合规要求。

3.4 角色定义

根据权限矩阵确定所需创建的角色，例如业务发展-市场营销人员角色、业务发展-市场调查员角色等对应拥有独特权限集的角色，以满足金融行业特定的业务需求。

3.5 权限分配

3.5.1 域管理员、项目管理员分配

注册域的人员为域主（一般为admin账号），先创建前面设计好的15个项目，将需要使用有数BI的员工账号添加至域中以及对应的项目中，可采用批量添加或单个添加的方式。

接着根据之前的权限设计，点击编辑给对应用户设置域管理员角色和项目管理员角色。（域管理员权限仅次于域主，需谨慎设置。在此案例场景中，项目管理员为各项目对应的一级部门/子公司的负责人）。

3.5.2 角色管理-权限管理

域主/域管理员/项目管理员（一般是权限管理人员使用admin账号进行操作）根据填写的权限矩阵和所设计的角色，在有数BI项目中心-权限管理-角色管理页面，创建各个部门的角色文件夹，做部门资源的隔离。

然后创建各个角色，将数据权限分配给各个角色，确保不同部门的角色能够按照其职责范围访问必要的数据资源、使用必要的产品功能。

3.5.3 角色管理-配置

该功能权限只对项目管理员及自定义管理角色开启，可以赋予用户/用户组/角色对应权限以及数据权限。

在此案例场景中，该业务发展经理则可以管理业务发展部门人员的权限。

3.5.4 角色管理-成员

该功能可以将用户与对应角色做绑定，进行授权。例如该案例场景中，业务发展部门的业务分析师有以下两位成员，就可以将他们添加业务分析师角色中。

这样做的优点在于人员职权变更或离职时，只需添加/移除角色下的成员就可完成权限的赋予/移除。

在添加成员时，可根据实际业务情况设置有效期：

3.6 行列权限配置

完成用户角色的配置后，权限配置工作的负责人就会考虑数据安全权限的配置，想要确保敏感数据的安全性，需要对特定数据进行加密处理，并设置具体到用户粒度的访问权限。

在有数BI中，可以通过使用数据权限管理中的行列权限来进行更细致的数据隔离，确保不同部门和不同业务线之间的数据不流出，以及有效约束专人数据专人访问的情况。

例如在该案例中：

① 通过使用行权限中的动态值设置方式，使得市场营销人员只能看到自己的业绩

设置方式：当数据源表中的人员工号与有数BI用户属性中的USER_ID作为判断依据内容相同时，才拥有对应的数据权限；可根据使用情况勾选开启下方的“模型中包含上述权限涉及的所有表（业绩数据汇总数据连接下的业绩数据汇总表、成交订单明细表）时权限生效（复杂报表暂不受影响）”。

保存后，将市场营销人员或对应用户组添加至成员中

实现效果对比如下图所示

② 可以使用列权限对敏感数据进行数据脱敏操作，例如客户的银行卡号、身份证号等数据

设置方式：给数据源表中的敏感数据字段选择合适的数据脱敏方式进行脱敏处理，可根据实际使用情况勾选该权限影响的操作。

保存后，将对应的用户/用户组添加至成员中：

实现效果对比如下图所示：

3.7 特殊情况授予/申请权限

当用户因业务情况需要访问某个本来无权限（例如跨部门、跨业务）的资源时，就需要相应管理人员主动授予权限，或用户发起权限申请。

3.7.1 授予权限

需要使用权限管理-资源权限管理功能，找到对应的资源，添加用户并赋予相应的权限：

3.7.2 申请权限

当然用户也可以主动发起权限申请，完成审批后即可拥有权限。资源权限审批通常适用于组织内部或跨部门的资源访问管理，审批流程有助于确保资源仅被授权人员访问（支持资源权限审批的模块：报告、数据填报、数据模型和数据门户）。

① 审批流配置

在项目中心-审批管理中，选择需要设置审批的类型和产品模块，然后“开启审批之旅”或配置审批流程；

下图为在该案例背景下，能够实现不同的审批信息经不同流程路径审批的审批流程：

流转条件实现效果为：当用户申请访问人力部门报告时，由人力部门负责人进行审批；当用户申请访问客户服务部门报告时，由客户服务部门负责人进行审批；当用户申请访问财务部门报告时，由财务部门负责人进行审批。

接着配置用户任务：指定审批类型、审批指定人、多人审批方式、通知方式等信息。

在流程配置完成并开启后，审批规则即在当前项目范围内生效。

② 用户申请权限方法

找到需要申请的报告页面，点击“申请权限”，填写申请原因，勾选权限类型，即可完成申请。

③ 审批操作

负责人会收到审批申请通知，进行审批，通过后，该用户便会拥有相应权限。

3.8测试和验证

在权限实施后，要进行反复测试和验证，以确保每个角色能够按照预期的方式访问数据资源，保证未经授权的访问没有发生。

3.9监控和维护

最后，监控和评估权限配置效果是确保BI系统安全和准确运行的关键。因此需要建立监控机制、定期评估审查和更新权限，以确保权限分配与实际需求保持一致，并且能够实时应对员工角色变动或者公司业务变化，及时发现并解决潜在问题，同时保持符合行业监管要求。

3.9.1 监控数据访问统计

在项目中心-数据统计-访问统计页面，可查看各数据源制作的报告、复杂报表的访问统计情况和各用户对它们的操作行为记录（可导出）。

3.9.2 维护管理角色权限变更

① 员工离职资源交接

域管理中支持报告、模型等资源的创建人交接。当员工离职时可将交接人创建的资源转给接收人（支持多人）。

操作方法：域管理员或域主进入平台管理-资源交接-新建任务页面，搜索选择资源交出方，可看到该用户在各项目中创建的资源类型数量汇总，可分项目指定接收人或批量设置接收人。

② 用户转岗/职位变更

只需将其原有资源交接完成，并在原有角色中移除，添加至新岗位对应的角色中即可。

总之，随着行业的不断发展和数据需求的持续变化，无论是案例中的金融机构还是其他行业的公司都需要不断调整和优化其权限配置策略，以适应新的挑战和需求，正因如此，建立清晰可维护的权限管理流程显得更为重要。

在有数BI系统中进行权限配置是一个综合性的任务，需要综合考虑多个因素。 通过明确目标进行项目划分、分析用户角色和需求制作权限矩阵、对权限矩阵进行审查和确认、根据权限矩阵确定所需定义角色、在有数BI中进行角色权限分配与管理、配置行列权限进行更细致的数据隔离、特殊情况下跨部门业务数据的授权/申请权限、权限管理体系的测试和验证、使用过程中的监控和维护步骤，可以确保数据在有数BI系统中使用时的安全性，为多种业务的开展提供有力的支持。

如有其他更高效的权限管理办法，欢迎留言讨论~