了解数据授权的工作原理
数据授权将分配给成员或成员组,用以管理哪些用户能够访问这些信息。
数据授权是在层或行中创建的,每个连续的层可以按用户和组细化对数据的访问权限。数据授权的每一行都定义一个数据交叉点,选定用户对该数据将具有“读取”或“无”访问权限。创建数据授权时,您需选择成员函数来定义要包括的一组成员。请参阅“选择成员函数”。
创建数据授权的关键在于:了解影响行的处理方式的规则,并了解数据授权之间的冲突将如何解决。行顺序决定了授权的生效权限。数据授权内的各行按顺序进行计算,即:先从第一层或基层开始,然后使用每一附加行细化这些权限,直到建立最终的生效权限为止。
我们一起来看看下面这个简单的示例。将假设以下条件成立:
-
"Scenario"(方案)维的 "Default Access"(默认访问权限)已设置为 "None"(无),因此我们根据该基准设置各个权限。
-
"Accounting Manager"(会计经理)也是 "Accounting Group"(会计组)的一部分。
这些行按从上到下的顺序读取,各行的结果最终将得出针对选定数据的生效权限。有关处理数据授权的详细信息,请参阅“数据授权处理和冲突解决规则”。
计算结果将返回以下生效权限:
-
"Accounting Group"(会计组)有权访问 "Actual"(实际)和 "Plan"(计划)
-
"Accounting Manager"(会计经理)有权访问 "Actual"(实际)、"Plan"(计划)和 "Forecast"(预测)。
注:
在数据授权的第一行中,"Actual"(实际)和 "Plan"(计划)在一行中使用,因为它们具有相同的标准。或者,您可以改为创建两行;但是,对成员进行组合可以最大程度地减少数据授权中的行数。
创建数据授权之后,建议对数据授权进行验证。“验证”操作将检查数据授权,确定数据授权中使用的成员名称是否仍然有效。例如,如果从维中删除了为某个数据授权选择的成员,则该数据授权将会失效。如果数据授权无效,则数据授权将显示一个警报图标,且数据授权内将显示数据交叉点行。请打开数据授权查看受影响的模型,并予以纠正。
注意:
“验证”操作不会自动更改任何数据授权。
验证数据授权之后,在数据授权的 "Access"(访问权限)屏幕上审核分配的权限。选择每个单独的用户或组,然后验证数据授权是否反映了所需的限制。如果创建了多个数据授权,可能会存在冲突的行。在后台解决多个相互矛盾或冲突的数据授权可能不会产生您所期望的最终结果,因此您可能需要细化数据授权以确保正确的访问权限。
最佳实践建议:
-
为数据授权的第一行授予最广泛的规则(应用于基层中的大多数人),然后添加例外行以降低访问权限。
-
尝试以尽可能少的步骤创建安全模型,从而简化维护工作。
有关在 Narrative Reporting 中创建数据授权时应用的规则和逻辑的详细信息,请参阅“数据授权处理和冲突解决规则”。