观远问数 Agent 角色权限配置指南：让一线业务人员安全触达数据

大家好，我是观远数据的产品 VP。随着 AI + BI 场景持续落地，越来越多企业开始把观远问数 Agent（即 ChatBI）开放给一线业务人员使用，让督导、店长、销售、区域负责人等角色也能通过自然语言直接问数。

但与此同时，企业最担心的问题也很明确：开放得越广，数据安全如何保障？ 不同区域的人会不会看到不该看的数据？敏感字段会不会通过问数方式被暴露？

答案在于，观远问数 Agent 并不是脱离观远 BI 独立运行的一套能力，而是建立在既有权限体系之上的智能问数入口。换句话说，企业在观远 BI 中已经配置好的权限体系，会直接继承到问数 Agent 中。

本文将围绕底层逻辑、配置方法和典型场景，系统说明如何通过角色权限配置，让一线业务人员安全触达数据。

一、先理解底座：问数 Agent 继承的是观远 BI 的权限体系

问数 Agent 不是“法外之地”。它的回答结果，受到底层数据权限、资源权限和功能权限的共同约束。

1. 基于角色的访问控制（RBAC）

观远 BI 采用基于角色的访问控制（RBAC）模型。企业通常不是给“人”逐一授权，而是先定义角色，再把权限赋予角色，以便规模化管理。常见控制维度包括：

• 功能权限：用户能否使用特定模块或操作；
• 资源权限：用户能访问哪些主题、数据集、业务域；
• 数据权限：用户在同一资源内具体能看见哪些数据。

2. 数据权限的核心：行权限、列权限、数据脱敏

对问数 Agent 来说，最关键的是数据权限配置。企业可结合三类能力使用：

• 行权限：控制用户能看哪一部分数据。例如华东区督导只能看到华东区门店数据；即使他问“全国销售排名”，系统返回的也只是其权限范围内的数据。
• 列权限：控制哪些字段对某角色不可见。例如普通店长无法查看成本价、毛利额等字段。
• 数据脱敏：对手机号、身份证号、住址等敏感信息进行掩码处理，在保留分析能力的同时保护隐私。

二、配置方法：四步搭建安全的问数环境

步：先定义角色，而不是直接给人授权

建议企业按业务场景抽象用户角色，例如：

• 决策层（CXO、总监）
• 区域管理层（大区经理、城市经理）
• 一线执行层（店长、督导、销售）
• 数据分析师或知识管理员

先定义角色，后配置权限，能避免后续管理混乱。

第二步：在数据集层提前设防

问数 Agent 的回答依据，本质上还是数据集与语义层。因此，权限配置必须前置到数据集层。

企业可以在数据准备阶段，对数据集配置：

• 行权限，例如基于门店编码、区域编码、部门编码做过滤；
• 列权限，例如屏蔽成本、毛利等字段；
• 数据安全模板，以便在多个数据集间复用权限规则。

如果有大批量数据集需要同样规则，也可以通过模板化方式统一配置，提高治理效率。

第三步：在语义层构建可控的问数范围

除了数据集本身，问数 Agent 还依赖语义层和主题配置。建议企业把核心指标统一纳入指标中心进行管理，再基于经过权限处理的数据集或业务域，为不同角色配置可访问的问数范围。

根据官方权限管理说明，ChatBI 运营管理后台支持至少两类常见权限：

• 所有者权限：可在运营管理后台查看并修改当前主题相关配置，同时也能在问数前台对该主题提问；
• 使用者权限：可在问数前台对该主题提问，但不具备后台配置能力。

这意味着企业既可以控制“谁能问”，也可以控制“谁能管理问数主题”。

第四步：通过审计追踪持续优化权限策略

安全管理不仅要防，还要审。对于问数 Agent，企业应关注：

• 谁在什么时候问了什么问题；
• 系统返回了什么结果；
• 是否触发敏感数据或异常访问行为。

通过审计日志，管理员可以持续优化角色划分和权限边界。

三、两个典型场景

场景 1：零售连锁——“店长只能看自己的店”

在连锁零售场景中，企业通常希望每位店长都能通过 ChatBI 在移动端查看经营数据，但又必须严格限制跨门店访问。

可行的配置方式是：

1. 基于门店编码配置行权限，让店长只看到本店数据；
2. 基于角色配置列权限，屏蔽成本、利润等敏感字段；
3. 将可问主题授权给“使用者”，而把主题维护权限仅保留给总部管理员或分析师。

这样，店长可以安全地问“今天卖得最好的商品是什么”，但无法绕过权限看到其他门店或敏感经营数据。

场景 2：制造集团——“不同事业部数据互相隔离”

对于多事业部集团，常见诉求是不同业务条线共用统一 BI 平台，但数据彼此隔离。例如汽车事业部与家电事业部既要统一管理，又不能互相查看细节数据。

此时可结合事业部维度的行权限、金额字段的列权限或脱敏策略，再将各自业务域分别授权给对应角色。这样，不同事业部都能使用自己的问数 Agent 或主题，但底层数据严格隔离。

FAQ：企业最关心的四个问题

Q1：问数 Agent 会不会绕过底层权限，直接查数据库？

不会。问数 Agent 的查询建立在观远 BI 的语义层与数据集之上，返回结果会先经过权限过滤，遵循底层既有权限规则。

Q2：配置行/列权限后，会不会明显影响响应速度？

企业通常更关心“安全”和“速度”能否兼得。实际落地中，只要底层模型与权限设计合理，问数体验仍可保持较高效率，不需要在速度和安全之间二选一。

Q3：如果业务人员故意“套”数据怎么办？

权限体系本身就是道防线。如果用户没有访问工资表或其他敏感数据的权限，即使换不同问法也无法得到结果。同时，企业还可以结合敏感词策略和审计日志，进一步降低风险。

Q4：已有 BI 权限体系，升级到问数 Agent 要重做吗？

通常不需要。既有用户体系、RBAC 角色以及数据权限配置都可以复用。企业更需要做的是梳理：哪些主题适合开放给谁、谁仅能使用、谁可以管理。

结语

企业推进 AI 普惠时，最大的挑战往往不是技术本身，而是如何在“更广泛地用数据”和“更严格地控数据”之间找到平衡。观远问数 Agent 的价值，并不是让企业牺牲安全去换效率，而是在继承观远 BI 权限体系的基础上，让更多一线角色也能安全、便捷地获取数据洞察。

只要角色划分清晰、数据集权限前置、主题授权边界明确，再配合审计追踪，企业完全可以在保证安全合规的前提下，把问数能力真正下沉到业务一线。