用户和权限
使用场景:空间管理员管理本空间下的用户信息和用户权限。
使用角色:空间管理员。
功能描述:平台支持对用户进行新建、修改、删除、重置密码、冻结、权限管理等操作。
新建用户
进入系统管理 > 用户和权限界面,点击页面上方的 “新建用户” 按钮,出现弹窗后按照弹窗页面信息填写相关信息后 “保存” 按钮即可新建用户。
- 新建用户保存后,由于需耗时在后台进行授权,此时用户状态为“激活中”,期间该用户不可登录,且禁止对用户进行任何操作,操作按钮均禁用
权限管理
进入系统管理 > 用户和权限界面,点击目标用户操作栏的“权限管理”按钮,或勾选多个用户后点击“批量分配权限”按钮,即可对单个或多个用户进行授权,授权类型包括:系统权限(即页面、功能按钮权限),业务权限(即数据权限,暂仅支持数据表),资源权限(即其他平台资源权限,含数据源、主机、队列)。
批量分配权限时,会先清空所选用户的所有权限后,再按当前配置重新赋权。
系统权限
点击权限管理默认权限类型为“系统权限”,按需给用户进行对相应页面的功能按钮勾选授权,各按钮控制范围可查看其描述。
- 授权对象为各末级菜单及其功能按钮,若拥有对应权限后,上级菜单自动展示。如拥有“数据源管理”相关权限,则上级菜单“资源管理”同步显示;
- “查看”权限为基础权限,控制左侧菜单的显示,若拥有界面除查看之外的任意功能权限,则平台自动勾选查看权限,以保证能够正常查看并进入界面,以操作其他有权限的功能按钮。
业务权限
若已开启业务权限管控,点击权限管理可切换权限类型为“业务权限”,则可对当前空间所有数据表资源进行业务授权,包括:读写、只读、列级读(需勾选字段),三种权限互斥,即只可选择一种。
读写:可在“数据表管理”修改、删除读写授权数据表,并可在数据开发等模块查询、写入数据;
影响域:不影响对读写授权表的任何操作与使用只读:不可在“数据表管理”修改、删除只读授权数据表,仅可在数据开发等模块查询只读授权表全部列数据;
影响域:- 数据开发-库表导入、API导入、脚本导入,只读授权表不可作为目标表写入数据
- 数据开发-SQL加工,可查询只读授权表数据,无法插入、更新、删除数据
- 数据开发-数据质检、数据导出,可选择只读授权表进行质检、导出
- 数据开发-实时同步&数据信道,只读授权表不可作为目标表写入数据
- 数据开发-数据指标&数据标签,只读授权表可作为指标、标签加工所在表
- 数据开发-数据服务,只读授权表可作为服务来源表
- 数据分析-数据探查&AI探查,只读授权表仅可执行select语句
- 数据分析-业务卡片&业务面板,只读授权表可分析、预览数据
列级读:不可在“数据表管理”修改、删除列级读授权数据表,仅可在数据开发等模块查询列级读授权表的授权列数据
影响域:- 数据开发-库表导入、API导入、脚本导入,列级读授权表不可作为目标表写入数据
- 数据开发-SQL加工,可查询列级读授权表的授权列数据,无法插入、更新、删除数据
- 数据开发-数据质检、数据导出,列级读授权表不可选择该表进行质检、导出,
- 数据开发-实时同步&数据信道,列级读授权表不可作为目标表写入数据
- 数据开发-数据指标&数据标签,列级读授权表可作为指标、标签加工所在表,但仅可选择授权列加工
- 数据开发-数据服务,列级读授权表不可作为服务来源表
- 数据分析-数据探查&AI探查,列级读授权表仅可执行select语句查询授权列
- 数据分析-业务卡片&业务面板,列级读授权表可分析该表授权列数据,但不可预览
- 数据表业务权限授权后,无权限数据表依然可在“数据表管理”页面可见,但无权限进行相关操作;
- 无数据表对应业务权限,在数据加工作业内使用该表时无法保存,权限校验不通过;在数据指标、标签、服务等功能选取数据表、字段时自动过滤无对应权限数据表、字段;
- 新建数据表时,责任人和空间管理员自动获取该表的读写权限;若修改责任人,新责任人同样获取该表读写权限,原责任人权限不变,需手动移除;
- 取消已授权数据表业务权限时,除对当前数据表的相关操作权限丧失,已使用该表的数据加工作业、数据指标、标签、服务等资源也可能因无权限而报错,需手动同步处理;
- 业务权限>系统权限,如拥有数据表删除的系统权限,但依然不可删除无业务权限的数据表。
资源权限
若已开启资源权限管控,点击权限管理可切换权限类型为“资源权限”,则可对当前空间所有数据源、主机、队列,三类资源进行资源授权,仅可授予“可使用”权限。 资源授权后影响域如下:
数据源:限制数据开发模块对于数据源的选择使用,不可对无资源权限数据源的原始数据进行集成、加工。
- 库表导入:来源库,无资源权限数据源过滤不可见
- 库表导出:目标库,无资源权限数据源过滤不可见
- API导入:来源API,无资源权限API数据源过滤不可见
- 信道作业:来源topic,无资源权限Kafka数据源的topic过滤不可见;外部目标库,无资源权限数据源过滤不可见(同理,新建topic时也过滤无资源权限的Kafka数据源)
- 实时同步:来源库,无业务权限数据源过滤不可见
主机:限制数据开发模块对于主机的选择使用,不可在无资源权限的主机上执行脚本。
- SHELL脚本:主机连接,无资源权限主机过滤不可见
队列:限制数据开发模块对于队列的选择使用,不可通过无资源权限的队列运行作业。
- 数据加工-调度配置:运行队列,无资源权限队列过滤不可见
- 指标加工-调度配置:运行队列,无资源权限队列过滤不可见
- 标签加工-调度配置:运行队列,无资源权限队列过滤不可见
- 质检作业-调度配置:运行队列,无资源权限队列过滤不可见
- 资源权限授权后,无权限资源依然可在对应页面列表可见,且其维护操作不受资源权限管控,即无资源权限的资源,拥有对应系统权限后就可进行修改、删除等操作;
- 回收数据源、主机资源授权时,若存在资源关联作业正在运行,需二次确认是否立即终止对应作业任务,以避免越权开发;回收队列授权时,不会终止作业,但运行中作业任务会自动切换至默认队列。
用户管理
重置密码
查询到目标用户相关信息后,点击操作列中的 “重置密码” 链接,出现重置密码弹窗后在弹窗内填写新登录密码,然后点击下方 “保存” 按钮即可。
冻结
查询到目标用户相关信息后,点击操作列中的 “冻结” 链接,出现弹框后点击 “确定” 二次确认即可。冻结后的用户无法登录平台,需解冻后方可重新登录。
解冻
查询到已冻结目标用户相关信息后,点击操作列中的 “解冻” 链接,出现弹框后点击 “确定” 二次确认即可。
修改
查询到目标用户相关信息后,点击操作列中的 “修改” 链接,出现修改用户信息弹窗后按需求修改内容,然后点击下方 “保存” 按钮即可。
删除
查询到目标用户相关信息后,点击操作列中的 “删除” 链接,出现弹框后点击 “确定” 二次确认后即可删除当前用户信息。
- 若用户作为某些资产的责任人,则无法直接删除,需先将责任人变更为其他用户后方可删除;
- 用户被删除后,将连带关闭数据开放的数据库账号,关闭所有消费权限;
- 空间管理员无法进行删除操作。