角色管理
一个角色,就相当于一个权限包。管理员给每个成员创建帐号时,都需要选择成员的角色。我们支持根据需求自定义角色,并赋予他不同的权限。 例如管理员角色,可以设置系统的基础信息,分析师角色仅可使用、查看系统。
角色分为两种类型:
- 系统角色:由系统提前预置的角色,包括:管理员,分析师,开发者和普通用户等。系统角色的权限点是系统提前预置的。系统角色不可以删除和修改绑定的权限点。管理员 有所有的权限,普通用户 的权限较小。
- 自定义角色:由用户自己创建的角色,可以修改绑定的权限点和删除。
多角色授权模型
神策产品均支持 多角色权限授权 模型,按需组合分发不同角色来快捷满足不同的授权需求。当一个成员被授予了多个角色时,该成员所用的权限是多个角色授权的最大集合。
需要注意的是,针对脱敏事件属性,在一个角色中针对某属性进行脱敏后,与另一个角色同时授权给成员后,该属性仍脱敏。
举个例子:
小周被赋予了 A 和 B 两个角色,那么当小周登录神策平台后,可以看见的数据范围是全部用户的全部数据,同时属性A进行脱敏。可以使用的功能范围是查看和管理概览。即使 B 角色中仅授权可使用部分用户的全部数据,那么也会应为多角色权限按照并集进行最大集合权限的授权而使 B 角色对于小周的限制是无效的。
| 角色 | 授权模块 | 权限配置 |
|---|---|---|
| A | 数据范围 |
可查看全部用户的全部数据,针对属性A脱敏 |
| 功能范围 | 查看概览 | |
| B | 数据范围 | 可查看部分用户的全部数据;其中部分用户的条件为 常驻地区 等于 北京 |
| 功能范围 | 查看和管理概览 |
为了让权限分配者可以更加有效的管理每个成员的权限,并且在授权后快捷的验证每个成员是否正确,我们提供了 个人资料页 来汇总此信息,支持有 成员管理权限 的成员可以直接查看到每个成员的角色分配情况,以及最终授权结果和每个模块的授权来源。
新建角色
神策支持根据业务需求自定义角色。点击 新建角色,填写角色名称、说明、配置数据权限与功能权限。
数据权限
定义用户可使用事件表和用户表中的哪些数据。通过灵活的组合可以全面满足企业的各种场景。若安装神策数界平台,则为实体权限。
|
方案 |
说明 |
|---|---|
| 可使用全部事件和全部事件属性 | 事件表中的所有数据,均可用来分析和查询 |
| 可使用部分事件和部分事件属性 | 仅可查看指定条件下的事件,且仅能看到部分事件属性 |
| 不可使用事件表数据 | 无法访问事件表 |
| 可使用全部用户和全部用户属性 | 用户表中的所有数据,均可用来分析和查询 |
| 可使用部分用户和部分用户属性 | 仅可查看指定条件下的用户,且仅能看到部分用户属性 |
| 不可使用事用户表数据 | 无法访问用户表 |
指定脱敏信息
在角色管理中,可以对每个角色配置对应的脱敏用户属性。可有效地在不影响分析的前提下,进行重要信息的脱敏。
仅可对非 BOOL 和 DATETIME 类型的属性进行脱敏设置。分为两种:
- 脱敏显示:在用户列表、行为序列,以及分析模型(不包括自定义查询)和概览中将脱敏显示该属性值,导出文件中同样会脱敏显示。脱敏属性在分析中可正常统计,可作为分组条件,但不支持作为筛选条件。如果书签或概览中存在脱敏属性作为筛选条件,将无法正常查询。
脱敏内容将以中间打码方式展示,具体显示根据信息长度而有所区别,最多显示首尾各 2 个字符的信息,如果脱敏后值重复,还会在尾部拼接“_”和“数字”,例如手机号码 18999999988 和 18999998888 脱敏后将被显示为 18****88_1和18****88_2;如果长度为1,则展示*_数字。” - 禁止分组与筛选:在分析模型中不可使用此信息进行数据的分组查看,也不可使用此信息在筛选条件中进行查询。在对所有分析模型和自定义查询均生效。
两种方式二选一。如果既不想用户查看到此属性对应的具体信息,也不希望在分析模型中使用,那么可前往 可用事件属性 和 可用用户属性 的配置用进行完整的禁用配置。
注意:如果某一成员同时被授予没有脱敏显示的角色和没有脱敏显示的角色,最后在系统中会是脱敏显示的结果。
成员管理-实现权限分级下放
在成员管理和角色管理中,我们提供了以下四个权限配置。适用于成员与部门较多的企业,希望授权部门管理员来维护自己部门内的成员信息。并且希望避免以为成员管理权限的下放而引起,其他功能和数据权限的管控不严。
| 权限名称 | 范围 | 提示 |
|---|---|---|
| 创建用户 | 允许创建账号或邀请新的平台账号进入当前项目 | 授权后,该角色用户可以创建、批量创建成员、邀请平台成员。 |
| 管理用户
|
全部成员 |
可查看 全部成员 信息,并允许编辑授权成员的基本信息、停用账号、删除账号等操作。 |
|
自定义授权 |
可查看指定 职务 的成员,并允许编辑授权成员的基本信息、停用账号、删除账号等操作。 如果同时拥有 创建账号 权限,那么会在 创建成员、邀请平台成员 时,只能选择所指定的 职务。 同样,在成员列表中,该角色只能查看到指定 职务 的成员信息。 |
|
| 分级授权 |
可查看与自己有相同账号属性(如职务)的成员信息,并允许编辑授权成员的基本信息,停用账号,删除账号等操作。 如果同时拥有 创建账号 权限,那么会在 创建成员、邀请平台成员 时要求只能选择自己拥有的账号属性:职务或自定义账号属性 同样,在成员列表中,该角色只能查看到与自己有相同账号属性的成员信息。 这种情况,通常建议客户导入组织结构/部门/岗位等自定义账号属性,即可做到每个部门的管理员仅管理自己部门下的账号。 |
|
| 管理角色 | 全部角色 | 可 查看 所有角色基本信息和绑定功能点、 新建 角色, 编辑 、 复制 和 删除 全部角色的基本信息和绑定功能点 |
| 自己拥有的或自己创建的角色 | 新建 、 编辑 和 复制 角色时,只可以选择自己拥有的权限点;并且只能删除自己有的或者自己创建的角色。 | |
| 可分配角色 |
全部角色 |
分配角色时可以选择全部角色 |
| 指定具体的角色 |
可以只授权当前角色,在成员管理给某个成员分配的角色中,仅使用 指定的具体角色项 。 这种情况下,通常建议企业最高管理员,提前将所有所需角色配置完备,从而让部门管理直接使用已创建好的角色即可。 |
|
| 自己拥有的或者自己创建的角色 |
可以只授权自己拥有的或者自己创建的角色,在成员管理给某个成员分配的角色中,仅可选择自己拥有的或者自己创建的角色。 |
授权对象
将角色授予账号的过程称之为授权;目前支持两种授权维度,一种为按照账号授权,一种为按照账号属性授权(系统已有的为职务)。按照账号进行授权时,选中的账号均具有该角色内的权限。按照账号属性进行授权时(例如职务),则该职务下的账号均具有该角色内的权限。