提问题
提建议
关于组管理员角色分配用户角色权限的问题;
背景:一家集团,存在集团级部门和多个分公司及其下属部门,当前做了一些数据应用,比如员工画像、效率分析,绩效分析,收入产出、损益分析等等应用,其应用管理员均是的职能支撑人员,现在想授权给这些人组管理员角色,用于管理各自的应用。
遇到的问题:应用管理员存在超过自身权限的问题,我在A应用和BI应用的用户组中,其中A应用我是组管理员,即A应用的用户管理是我可以操作的,但是在B应用中,我只是一个普通用户,但是由于我有组管理员角色,我可以对B应用进行用户管理。
需求:解决一个用户拥有组管理员权限后的在无法指定管理的用户组,如何解决这个问题呢?
建议可以参考这个多级管理的Wiki示例:https://wiki.smartbi.com.cn/pages/viewpage.action?pageId=111887104
不行的,问题点在于交叉,例如A负责A应用用户组,B负责B应用用户组,但是A也在B应用的用户组中,然后给A、B组管理员(非内置)角色,结果A越权B应用用户组了。
不是啊,当然是只给A组管理员角色和B组普通角色给这个用户
A.B组的管理角色和普通角色都是要分别去创建,普通角色就是例如可以查看报表或者是查看数据权限这些
你说的是理想情况,假设A是A数据应用的管理员,B是B数据应用的管理员,他们都有对应应用的组管理员权限; 然后他们都有对应数据应用的普通角色;Smartbi系统是资源交叉取并集,结果就是A可以控制B应用用户组的用户权限处理,B可以控制A应用用户组的用户处理。这就很离谱。
使用道具 赞 举报
不是的,不一定是通过过来的用户和用户组,举个例子,集团A部门的某个同事A对A数据应用具备管理权限,B部门的某个同事B对B数据应用具备管理权限;但是两个人都是在这个集团内,两个人都是有组管理员角色,且都对对方的数据应用具备数据查看的权限。交叉后,就会出现越权的问题,A能管理B数据应用,B能管理A数据应用,但这是不应该的。而且即使我创建非组织结构的用户组,创建应用用户组,也是存在这个情况,交叉存在在对方管理的用户组内,由于本身拥有组管理员角色,导致对其他数据应用组能进行控制,这是不对的。 我的想法是能准确控制组管理员角色能准确控制对应的用户组。我本来想,是不是资源授权那里可以实现我这个想法,记过资源授权,仅授权到了用户管理,下面的用户组就没有再分了。
(2) 组管理员。一般一个用户组只有一个组管理员,主要负责对本组用户和下级用户组的用户和权限管理。它只能分配自己权限内的操作权限和资源权限给其用户和用户组。 官方文档是这么定义的,但这是理想情况,如果涉及到多个用户组就不行了,用户组和用户不是一对一的关系,就会出现一个用户组理论上是只有一个组管理员,但是实际上,其他人只要有用户管理的操作权限、用户管理资源,即使这个人不是理论上这个组的管理员照样能干预这个用户组
本版积分规则 发表回复 回帖后跳转到最后一页
有奖调研!体验中心改造建议
免费
