但这个只是功能权限即平台、平台的客户、客户的客户乃至客户的客户的客户如何授权这个可以通过“权限-角色-岗位”三级结构来实现。

但这个只是功能权限如何在数据权限上进行区分和约束呢比较极端的做法是在岗位设置上设定数据访问权限但这会带来一个问题即每个岗位几乎要等同于权限需要拆分得很细这会给管理员带来巨大的配置工作负担。

所以比较巧妙的办法是把数据权限的控制拆分成宏观和微观并且做解耦处理。

行级数据权限控制

宏观数据权限控制也可以称作行级数据权限控制即管控到每一条数据记录的可访问范围。

这个可以通过在“角色”这个实体上进行定义即可即包括

本人本人即下属本部门指定个人指定部门全部

如果是“指定个人”和“指定部门”只要设置具体的个人集合或者部门集合即可限制该角色可访问的数据范围。

如果是对“本人及下属”相对麻烦点。

因为个人和个人之间的汇报关系比较难设定。

而大型组织中常常会存在部门负责人和部门分管领导的管理结构特别是OA审批中经常会出现“发起人部门领导审批”和“发起人部门分管领导审批”这类设置比较难以在组织结构和角色上进行实现。

如果直接在用户基础上设立“直属上级”又会带来另一个不好的结果即如果领导调离会需要修改一大批下属的“直属上级”一旦修改不及时就可能导致审批权限的混乱。

比较好的解决办法是把上下级关系建立在部门岗位基础上由岗位形成上下级关系而个人可以设定多个岗位则人与人之间的上下级关系自然而然建立同时又避免了因为上级岗位变动带来的不必要的大面积变更。

列级数据权限控制

微观数据权限控制也可以称作列级数据权限控制即管控到每种业务数据的字段的可访问范围。

这个控制相对比较复杂成本也比较高。

如果建立在权限基础上会导致权限需要拆分得很细。

如果建立在角色基础上又会对角色的大颗粒度造成破坏。

而且一旦把列级数据权限和行级数据权限纠结在一起很容易形成渔网效应失去应有的灵活性和适应性。

所以比较好的解决办法是把列级数据权限和行级数据权限解耦即可以对列级数据权限单独管理有需要做列级数据权限管理的业务数据才动态添加。

而且列级数据权限控制最好控制到岗位这个级别。

如下图

再回归到最初的议题如果对于Saas系统存在多租户甚至租户有客户的情况下如何对不同类型的客户的权限进行区隔或者是否可以进行区隔并且部分下放权限设置的权限呢

设想下一个成功的Saas系统用户少则几万多则千万如果这么多的用户的权限管理都归于平台管理员一身本身就是巨大的成本。

所以下放权限管理功能是毋庸置疑的。

但怎么下放呢

首先权限这级应该是收归平台层管理的角色这级部分也可以归平台层管理主要是多数租户可以共用的角色。

但租户和客户管理员应该被授予角色创建的权限这样才可能适应不同组织的特点设计不同的角色。

其次角色应该有权属的概念即A租户创建的角色和B租户创建的角色是不可以共用的A租户创建的角色原则上也不适用于A租户的客户。

其次对于权限应该设定适合的角色类型。

这样各级管理员在创建用户角色时将只能在限定的权限范围内去做角色的权限授权很难想象你客户的管理员可以在创建角色时看到你平台所有的菜单权限OMG。

最后光有权限和角色还不够非常有必要增加“岗位”的概念。

这个岗位虽然只对应一个角色但同时需要明确所属部门或组织这样角色才可能得到最大程度的复用。

现实生活中不同部门的相同职位的管理人员既有相似的工作职能也可能有不同的工作职能所以光通过角色去设置可能导致不必要的冲突。

只要我们把角色、岗位之类的权限设置也看成一种数据并且纳入数据权限控制的范畴那么多租户的权限区隔就很容易实现了。

结束语

结合以上拙文供遇到相同问题并且在思考解决办法的同行参考。

赠人玫瑰手有余香欢迎不吝赐教或者技术交流。