1.背景需求

某連鎖酒店集團使用.NET開發(fā)了一套報表分析平臺，隨著管理及業(yè)務(wù)發(fā)展的需要，原平臺開發(fā)報表的難度較大、易用性低和數(shù)據(jù)權(quán)限管理較弱，現(xiàn)管理層級上需增加大區(qū)總監(jiān)角色及其它數(shù)據(jù)權(quán)限控制，原平臺權(quán)限體系修改工作量巨大，為了增強報表分析平臺的易維護(hù)性和易開發(fā)性，集團高層決定廢棄原系統(tǒng)，引入Smartbi作為其報表分析平臺。

其中，權(quán)限管理想要達(dá)到的效果是酒店經(jīng)理、店長、大區(qū)總監(jiān)、經(jīng)營總監(jiān)和集團總部人員等不同角色的人員看到不同的數(shù)據(jù)和報表。

2.權(quán)限設(shè)計

Smartbi 具有非常完善的安全管理體系，它可以控制用戶操作功能權(quán)限、數(shù)據(jù)訪問權(quán)限、資源訪問權(quán)限。支持按用戶、用戶組、角色進(jìn)行管理；支持多套應(yīng)用系統(tǒng)共用同一套用戶管理系統(tǒng)；支持多級用戶管理體系。權(quán)限控制的粒度非常細(xì)，最小可控制到報表按鈕，數(shù)據(jù)字段等權(quán)限。

不同人員查看不同的報表和數(shù)據(jù)對應(yīng)的是Smartbi系統(tǒng)中的資源權(quán)限和數(shù)據(jù)權(quán)限控制，所以使用Smartbi進(jìn)行開發(fā)和管理是非常容易實現(xiàn)的。

新建用戶

新建角色

將角色授權(quán)給相應(yīng)的用戶，對應(yīng)關(guān)系如下

2.1.資源權(quán)限

編輯分店角色，打開資源授權(quán)管理頁面：

將F_分店報表授權(quán)給分店角色：

使用店長用戶登錄Smartbi系統(tǒng)后，店長會獲取到分店角色的權(quán)限，效果如下，店長只能看到已授權(quán)的F_分店報表

類似的編輯大區(qū)總監(jiān)角色和集團管理角色，授權(quán)后的效果如下： 大區(qū)總監(jiān)角色，所能看到的報表比分店角色多

集團管理角色，所能看到的報表是最多的

2.2.數(shù)據(jù)權(quán)限

以其中一個報表為例，有以下5個參數(shù)：分店類型，區(qū)域，省份，城市，分店，參數(shù)之間相互關(guān)聯(lián)，分店的值由前4個參數(shù)決定，城市的值由前3個參數(shù)決定，省份的值由前2個參數(shù)決定，區(qū)域的值由分店類型決定。

1.分店信息表Store_info

2.建立用戶和分店的權(quán)限控制表User_store：

3.建立用戶屬性

系統(tǒng)自帶函數(shù)CurrentUserName的作用是獲取當(dāng)前登錄用戶的名稱

新建用戶屬性的作用是當(dāng)用戶登錄系統(tǒng)后即可獲取當(dāng)前用戶所能查看哪幾家酒店數(shù)據(jù)

4.由權(quán)限控制表User_store和用戶分店屬性建立參數(shù)

a)分店類型參數(shù)由用戶分店屬性決定

b)區(qū)域參數(shù)由用戶分店屬性和分店類型參數(shù)決定

c)省份參數(shù)由用戶分店屬性、分店類型和區(qū)域參數(shù)決定

d)城市參數(shù)由用戶分店屬性、分店類型、區(qū)域和省份參數(shù)決定

e)分店參數(shù)由用戶分店屬性、分店類型、區(qū)域、省份和城市決定

3.案例實際效果

實際用戶：分店角色用戶4000人、總監(jiān)角色用戶200人和集團管理角色用戶15人，只需簡單操作授權(quán)即完成權(quán)限管理。除此之外，用戶還可隨意根據(jù)自身需求增加角色，如按部門管理，極大的增加了權(quán)限管理的自由度和可擴展性。

店長用戶登錄后的效果如下，只能查看到北京大成店的數(shù)據(jù)。

大區(qū)總監(jiān)用戶登錄后的效果如下，只能查看到深圳寶安新安地鐵站店，深圳東門湖貝地鐵站店和深圳蛇口工業(yè)七路四海公園店這3個酒店的數(shù)據(jù)。

最終集團總部人員登錄后的效果如下，可以查看6家已經(jīng)授權(quán)的酒店數(shù)據(jù)。

4.Smartbi權(quán)限體系

Smartbi 具有完善的安全管理體系，它可以控制用戶功能權(quán)限、數(shù)據(jù)訪問權(quán)限、資源訪問權(quán)限。支持按用戶、用戶組、角色進(jìn)行管理；支持多套應(yīng)用系統(tǒng)共用同一套用戶管理系統(tǒng)；支持多級用戶管理體系。權(quán)限分類如下。

操作權(quán)限主要是從更高層面對用戶權(quán)限進(jìn)行劃分，決定被授權(quán)用戶可以使用系統(tǒng)的哪些功能，可以執(zhí)行哪些操作。如：管理員可以查看并設(shè)置數(shù)據(jù)源、用戶等信息，普通用戶只有查看報表的權(quán)限，IT人員有設(shè)計和開發(fā)報表的權(quán)限等等；其原理是在生成sql語句時添加響應(yīng)的過濾條件，對于各類資源設(shè)置數(shù)據(jù)權(quán)限，應(yīng)該是對其依賴的資源進(jìn)行設(shè)置，比如組合分析如來源于業(yè)務(wù)主題，則應(yīng)該對其業(yè)務(wù)主題進(jìn)行數(shù)據(jù)權(quán)限設(shè)置。

資源權(quán)限是對平臺具體資源的控制，可以限制被授權(quán)用戶到具體的某一張報表或某一個圖形資源，如：創(chuàng)建的某張報表只允許本部門的所有人查看，本部門以外的人不允許看到；或者某些報表只能被被領(lǐng)導(dǎo)查看，普通員工不允許查看等等。

在系統(tǒng)中，我們可以利用數(shù)據(jù)權(quán)限功能實現(xiàn)不同區(qū)域的用戶登錄 Smartbi 后只能看到其所屬區(qū)域及子區(qū)域的數(shù)據(jù)，如：北京分行和廣州分行只能看到本分行自己的數(shù)據(jù)，而總行可以看到所有分行的數(shù)據(jù)和總行數(shù)據(jù)等等。

相關(guān)聯(lián)的，這些權(quán)限的授予對象為角色、用戶及用戶組，關(guān)系如下：

用戶為最終的授權(quán)者，所有的權(quán)限最終會體現(xiàn)在用戶身上；授權(quán)對象之間存在著一定關(guān)系，從用戶角度分析看，一個用戶可以有多個角色，可以同時屬于多個用戶組，并且一個用戶組也可以有多個角色，如此角色和用戶組的權(quán)限最終都將傳遞到用戶上面。