配置角色授权
角色授权用于控制一类用户可以使用哪些功能,以及可以查看或编辑哪些资源。适合为财务、运营、销售、数据管理员等不同人群配置不同权限。
进入授权管理
- 在左侧导航点击“管理”。
- 进入“用户管理”。
- 打开“授权管理”。
- 在左侧角色列表中选择目标角色。
页面左侧展示所有角色。实操中可以看到内置角色“管理员”“数据分析师”,也可以看到用户新建的自定义角色,例如“财务人员”。
新建角色
在“所有角色”标题右侧点击小圆圈加号,可以打开“新建角色”抽屉。
抽屉包含以下字段:
| 字段 | 是否必填 | 说明 |
|---|---|---|
| 角色名称 | 必填 | 建议使用业务人群名称,例如“财务人员”“运营分析师”。 |
| 描述 | 可选 | 说明该角色适用人群、权限范围和注意事项。 |
底部操作按钮包括:
- 取消
- 保存并新建下一个
- 保存
保存后,角色会出现在左侧角色列表中。
编辑角色
选择自定义角色后,点击“编辑”进入编辑态。
实操确认,自定义角色“财务人员”可以编辑。内置角色可能受系统限制,编辑按钮可能不可用或受限。
编辑态包含:
- 取消
- 保存
- 功能 & 操作权限
- 数据权限
如果修改后尝试离开页面,系统会提示“修改内容未保存”。确认无误后再保存,避免误改角色权限。
功能 & 操作权限
“功能 & 操作权限”以权限树形式展示模块权限。
实操中可见的权限节点包括:
- 答案构建器
- 数据源
- 审计日志
- 设置
- 账号管理
- 授权管理
- 知识
- 表
- 分析域管理
- 索引管理
- 指标
- 全量下载
- 反馈
- 模型配置
功能权限主要决定用户是否能看到或操作某个模块。例如,不希望业务分析用户修改模型配置或管理账号时,应避免授予相关功能权限。
其中,“全量下载”需要单独评估。它控制用户是否可以使用下载全量数据的能力,涉及数据导出和隐私治理。对于只查看看板或只使用聚合结果的用户,通常不需要授予全量下载。
数据权限
“数据权限”按资源类型分别配置访问范围。
实操中可配置的资源类型包括:
| 资源类型 | 说明 |
|---|---|
| 答案构建器 | 控制答案构建器资源的可见和编辑范围。 |
| 数据源 | 控制数据源资源的可见和编辑范围。 |
| 知识 | 控制知识资源的可见和编辑范围。 |
| 表 | 控制表资源的可见和编辑范围。 |
| 文件 | 控制文件资源的可见和编辑范围。 |
| 指标 | 控制指标资源的可见和编辑范围。 |
每类资源都有“全部数据”选项。勾选后,表示将该资源类型配置为全部数据范围。实际可用性还需要结合用户所属角色、分析域成员关系和资源是否已加入分析域一起验证。
勾选“全部数据”后,页面会出现动作下拉。实操确认动作选项包括:
- 可查看
- 可编辑
含义如下:
| 动作 | 适用场景 |
|---|---|
| 可查看 | 用户可以使用或查看资源,但不应修改资源配置。 |
| 可编辑 | 用户可以修改资源配置,适合管理员或域维护人员。 |
推荐角色设计
管理员
管理员适合负责系统配置、模型配置、用户和权限管理的人员。
建议具备:
- 账号管理。
- 授权管理。
- 审计日志查看。
- 分析域管理。
- 表、知识、指标、答案构建器的编辑权限。
域维护人员
域维护人员负责维护某个业务域的数据和问答效果。
建议具备:
- 分析域管理。
- 表、知识、指标、答案构建器的编辑权限。
- 审计日志查看权限可按组织要求决定。
不建议默认授予:
- 账号管理。
- 授权管理。
- 模型配置。
业务分析用户
业务分析用户主要使用问答和查看结果。
建议具备:
- 目标分析域访问权限。
- 表、文件、知识、指标、答案构建器的查看权限。
不建议授予:
- 编辑指标。
- 编辑答案构建器。
- 分析域管理。
- 授权管理。
- 模型配置。
与分析域权限的区别
角色授权和分析域权限不是一回事。
| 配置 | 解决的问题 |
|---|---|
| 角色授权 | 用户拥有哪些系统功能和资源访问级别。 |
| 分析域权限 | 用户能否进入某个具体分析域。 |
用户拥有角色,不代表一定能进入某个分析域;用户加入分析域,也不代表能编辑域内所有资源。上线前需要同时检查两者。
验证建议
配置角色后,建议用测试账号验证:
- 是否能看到预期菜单。
- 是否不能看到不应访问的管理入口。
- 是否能进入目标分析域。
- 是否能使用目标资源回答问题。
- 是否不能编辑只应查看的资源。
- 是否不能使用未授权的全量下载能力。
- 是否能在审计日志中看到关键操作记录。