盘古低代码数据权限介绍
更新日期:2025/03/06 fengxd
数据权限是一种安全管理策略,用于控制用户对产品中数据的访问和操作权限。通过合理设置数据权限,可以确保数据的安全性、完整性和合规性,防止未经授权的数据访问和操作。
盘古数据权限结构:
盘古数据权限的分配,是使用盘古权限中心的权限体系,可将权限直接绑定至角色和用户,同时对目标角色绑定的岗位、部门基础角色权限,默认角色权限等角色关联配置生效。
盘古数据权限的生效,是基于用户当前正在访问的业务对象,及该业务对象上所配置的策略进行数据过滤,系统中业务对象的定义由盘古数据建模中心的模型管理和实现。如用户访问的业务对象未配置任何策略,则不进行数据过滤。
盘古数据权限由租户数据权限、维度数据权限、部门数据权限、规则数据权限及敏感数据数据权限(列权限)五部分组成,适用于不同的规则体系。
租户数据权限:
在SaaS(软件即服务)产品中,不同租户的数据需要严格隔离。通过数据权限设置,可以确保每个租户只能访问和操作自己的数据,避免数据泄露和混淆
维度数据权限:
对于行级数据的权限管控,往往存在诸如品类、物料组、区域等维度的数据权限需求,系统提供数据维度的自定义维护功能,以及在角色管理\人员处添加维度数据权限功能;用户只能查看和处理拥有的数据维度权限内的数据。
部门数据权限:
一类数据通常需要设置数据归属部门上级组织对数据有读写权限,或设置部门范围内公开权限等。
规则数据权限:
对于一些特殊的权限场景,提供基于规则的权限控制功能,用户可以通过类sql方式,或者各种条件组合的方式定义权限规则;在角色管理处添加该角色适用的数据规则;用户只能查看和处理拥有的数据规则权限内的数据。
敏感数据数据权限:
对于一些敏感字段,例如价格、金额、成本等信息,部分用户并不具有这些数据的查看权限,故提供特殊数据权限管控功能,用来显示或隐藏或脱敏特殊字段。
基于以上配置,盘古权限将基于以下流程判断:
应用场景
- 多租户环境(租户数据权限)
- 在SaaS(软件即服务)产品中,不同租户的数据需要严格隔离。通过数据权限设置,可以确保每个租户只能访问和操作自己的数据,避免数据泄露和混淆。
- 区域化、分类化数据管理(维度数据权限)
- 在具有区域化特性的产品中,如销售订单、物流管理等,需要根据区域来设置数据权限。例如,某个区域的运维人员只能查看和操作该区域内的订单、服务或物流数据。
- 具有不同的业务分类的业务中,如销售订单,需要根据产品分类(冰箱、洗衣机等)来设置数据权限。如,同一个门店中,A直销员负责销售冰箱,B直销员负责销售家用空调。
- 内部管理(部门数据权限)
- 财务部门:财务总监可以查看所有财务数据,而各城市或部门的财务人员只能查看自己负责范围内的财务数据。
- 销售部门:销售经理可以查看整个团队的销售数据,而销售人员只能查看自己的销售数据或小组数据。
- 敏感数据保护(敏感数据数据权限)
- 对于包含个人隐私、商业机密等敏感信息的数据集,例如价格、金额、成本等信息,需要严格控制访问权限。只有经过授权的用户才能访问这些数据,以确保数据的安全性和合规性。
- 特殊规则权限保护(规则数据权限)
- 对于特殊人员的可见进行数据控制场景,如审计员A只能看到注册日期是2023年1月1日以前,并且年龄满18岁的客户数据。
通过这些精细化的权限设置,企业可以有效地降低内部泄露风险,同时确保员工专注于本职工作,提升工作效率