为了数据系统的安全，我们通常希望每个用户只能看到自己所属组织的数据。

比如某银行希望广州分行的用户登录系统在打开报表时只能看到广州分行的数据，而北京分行的用户登录系统只能看到北京分行的数据。下面以观远BI的大数据分析工具为例，谈谈报表数据权限体系的构建和报表平台的权限管理。

在报表平台系统中，我们可以通过报表平台权限管理功能实现不同区域的用户登录观远BI后，才能看到自己所属区域和子区域的数据。有两种类型的数据权限设置：

一是通过数据源的更多操作选项来设置数据权限。目前支持关系型数据源、业务主题、多维数据源的数据权限。

一是数据权限不生效，需要在SQL语句中手动添加，在where语句中直接添加过滤条件。例如，关系参数、SQL 数据集、原生 SQL 数据集等。

要为各种资源设置数据权限，您应该设置它们所依赖的资源。例如，即席查询的数据来自业务主题，则应为业务主题设置数据权限。

观远BI拥有完善的安全管理体系，可以控制用户功能权限、数据访问权限、资源访问权限。支持按用户、用户组、角色管理；支持多套应用系统共享同一套用户管理系统；支持多级用户管理系统。权限分类如下：

观远BI上报平台权限管理的操作权限：

操作权限主要是从上层划分用户权限，决定系统的哪些功能可以被授权用户使用，可以进行哪些操作。

比如管理员可以查看和设置数据源、用户等信息，普通用户只有查看报表的权限，IT人员有设计开发报表的权限。

定义：

操作权限是指观远BI的功能模块权限和具体操作权限，如是否允许使用功能入口、按钮等。

功能组成：

操作权限主要包括功能入口和按钮两部分。

函数入口：

功能入口包括“界面主菜单”或“系统主菜单”以及更多操作中的“新建分析>透视分析”或“即席查询”等功能入口。

按钮：

在每个具体功能页面中，一般都有一个工具栏，里面包含很多操作按钮，每个按钮代表不同具体功能的操作，显示区域如下图所示：

观远BI上报平台权限管理的资源权限：

资源权限是对平台特定资源的控制，可以限制授权用户使用特定的报表或特定的图形资源。允许查看；或者有些报表只能领导看，普通员工不能看等等。

定义

观远BI 平台中的每一份报表和数据集都被视为平台的一个资源，资源的权限主要是指是否拥有查看、编辑和重新授权观远BI@的资源的权限> 平台。

资源分类

观远BI平台的资源分类主要包括：数据连接、业务主题、数据集等，按照“资源授权”下的资源树进行分类。详细分类如下图所示：

观远BI报表平台权限管理的数据权限

在系统中，我们可以使用数据权限功能，让不同地域的用户登录观远BI，只能看到自己所属地域和子地域的数据。比如北京分公司和广州分公司只能看到分公司自己的数据。数据，总公司可以看到所有分公司的数据和总公司的数据等等。

定义

数据权限在记录级别对用户进行授权，从而限制用户可以访问和不能访问的数据。

授权对象

授权对象主要包括：角色、用户组和用户。用户是最终的授权者，所有的权限最终都会体现在用户身上；

授权对象之间有一定的关系。从用户的角度来看，一个用户可以有多个角色，同时属于多个用户组，一个用户组也可以有多个角色，所以角色和用户组的权限最终都会传递给用户。

如何授权

权限授权的过程是对被授权对象赋予不同类型的权限，最后将权限传递给操作用户。权限授权有多种方式，最终用户的权限是所有权限的联合。

观远BI上报平台权限管理的操作授权

通过角色管理功能，可以编辑角色操作权限。操作页面如下：

观远BI上报平台权限管理的资源授权

统一授权

统一授权是指将资源分配给角色，角色统一管理可访问的资源。通过角色管理功能，通过检查相应的资源，然后指定授权。操作页面如下：

单一授权

为满足用户的特殊需求或临时需求，平台提供对单个资源的授权，单个资源可以授权给一个用户或一个用户组。操作页面如下：

观远BI上报平台权限管理的数据授权

数据授权的原理是在生成 SQL 语句时为响应添加过滤条件。要为各种资源设置数据权限，您应该设置它们所依赖的资源。例如，如果 ad hoc 查询源自业务主题，则应设置业务主题的数据。权限设置。另外，我们在数据权限设置中经常会用到各种系统功能和用户属性。有两种类型的数据权限设置：

1）一种是在“数据连接资源目录区”的“数据源”的更多操作中设置数据权限，或者在“业务”的表树目录区的业务主题的更多操作中设置数据权限主题接口”设置数据权限，目前主要包括关系型数据源、业务主题、多维数据源。

2）另一种是在SQL语句中手动添加的，包括关系参数、SQL/native SQL数据集。