14 апреля / 25
Назначение ролей пользователей в BI-системе: принцип реализации в Modus и неочевидные преимущества
BI-системы перестали быть инструментом только для аналитиков. Сегодня они охватывают всю организацию: от топ-менеджеров до рядовых сотрудников, а иногда данные доступны даже внешним пользователям. Например, ритейлеры делятся аналитикой с поставщиками, а государственные учреждения публикуют статистику для граждан. Однако чем шире доступ, тем острее встают вопросы информационной безопасности.
Раньше эту проблему решали радикально: создавали отдельные BI-контуры или дублировали данные с разными уровнями доступа. Такой подход работал, но усложнял архитектуру и увеличивал затраты на поддержку инфраструктуры. Сегодня достаточно внедрить ролевую модель или RLS — технологию, которая гибко разграничивает доступ в рамках единой системы без дублирования данных.
В этой статье разберём, как работает ролевая модель и как она реализована в Modus BI.
Основная задача ролей — предоставить каждому сотруднику только те инструменты и данные, которые необходимы для работы, и не более.
Когда пользователь входит в систему, происходит не просто проверка логина и пароля. Запускается многоуровневая аутентификация:
Принципы назначения ролей
1. Пользователь – базовый уровень доступа
Для сотрудников, которые работают с готовой аналитикой, но не создают её. Пользователи могут:
2. Аналитик – инструменты для работы с данными
Аналитики имеют все права пользователя, но дополнительно могут:
3. Администратор — полный контроль над системой
Администраторы имеют максимальные права. В дополнение к возможностям роли «Аналитик» они могут:
Помимо ролей, система поддерживает четыре типа профилей, которые дают возможность более тонко настраивать права доступа.
Профили доступа к отчётам — можно разрешить или запретить доступ к конкретным дашбордам. Например, отдел кадров видит отчеты по персоналу, но не по финансам.
Профили доступа к наборам данных — контроль над тем, какие именно сведения может использовать сотрудник. Так, аналитики отдела продаж настраивают визуализации только на основе данных по продажам, финансовые директора - только на основе информации о движении денежных средств и т.д.
Профили RLS (Row Level Security — безопасность на уровне строк) — механизм, который помогает ограничить доступ к определённым записям в рамках одного набора данных для отдельных пользователей или групп. Менеджер по работе с клиентами видит только своих клиентов, а не всю базу. Начальник цеха отслеживает показатели только своего участка.
Профили экспорта данных — настройка форматов, в которых можно выгружать отчёты. Например, можно разрешить экспорт в PDF, но запретить в XLSX.
Связи между пользователями и RLS-объектами можно делать двумя способами. Первый — напрямую привязывать настройки к конкретному пользователю. Второй — использовать групповые роли, чтобы автоматически применять правила ко всем участникам группы.
Один профиль безопасности и набор RLS-правил можно одновременно использовать для разных наборов данных. Это избавляет от необходимости настраивать доступ отдельно для каждого датасета.
Вот как работает управление правами в Modus BI:
Такой набор прав доступа помогает гибко подходить к вопросу назначения ролей и контролю информации, которую могут использовать в своей работе те или иные подразделения.
Вступайте в наше сообщество экспертов и узнавайте об интересных статьях первыми!
Раньше эту проблему решали радикально: создавали отдельные BI-контуры или дублировали данные с разными уровнями доступа. Такой подход работал, но усложнял архитектуру и увеличивал затраты на поддержку инфраструктуры. Сегодня достаточно внедрить ролевую модель или RLS — технологию, которая гибко разграничивает доступ в рамках единой системы без дублирования данных.
В этой статье разберём, как работает ролевая модель и как она реализована в Modus BI.
Что такое роли пользователей и для чего они нужны?
Роли пользователей — это наборы прав и функций, которые определяют, какие действия сотрудник может выполнять в BI-системе. Они упрощают управление доступом, снижают риски утечек данных и ошибок в настройках.Основная задача ролей — предоставить каждому сотруднику только те инструменты и данные, которые необходимы для работы, и не более.
Когда пользователь входит в систему, происходит не просто проверка логина и пароля. Запускается многоуровневая аутентификация:
- Определение базовой роли (пользователь, аналитик, разработчик, администратор, руководитель и т.п.).
- Наложение профильных ограничений (какие отчёты и дашборды доступны).
- Применение контекстных фильтров (например, менеджер из Москвы видит только данные своего региона).
Принципы назначения ролей
- По должности — набор полномочий привязывается к сотрудникам одной должности, например, менеджеры видят одни отчёты, а директора — другие.
- По подразделению — полномочия распределяются по подразделениям: доступ к информации из отдела продаж имеют только работники этого отдела.
- По задачам — временный доступ к данным для закрытия конкретных задач.
- Персональный доступ — индивидуальные настройки для отдельных сотрудников.
- Доступ к функциональным возможностям системы. Пользователь может выполнять в системе определённые типовые действия. Например, создавать новые дашборды или редактировать существующие.
- Защита данных — доступ к конфиденциальной информации (финансы, персональные данные) получают только те, кому это необходимо.
- Снижение количества человеческих ошибок — стандартные роли уменьшают риск случайного открытия доступа не тем сотрудникам.
- Централизованное управление — вместо настройки прав для каждого пользователя администратор управляет группами.
- Соблюдение законов — система помогает выполнять требования Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и других регуляторных норм.
- Гибкость и масштабируемость — можно быстро добавлять новые роли и изменять права без перестройки всей системы.
Ролевая модель доступа в Modus BI
В Modus BI функциональные возможности распределяются через три основные роли.1. Пользователь – базовый уровень доступа
Для сотрудников, которые работают с готовой аналитикой, но не создают её. Пользователи могут:
- просматривать дашборды и отчёты;
- взаимодействовать с данными: применять фильтры, детализировать информацию;
- вносить данные через формы ввода (если это предусмотрено настройками);
- экспортировать отчёты и визуализации в форматах: PDF, XLSX, PNG, JPG.
2. Аналитик – инструменты для работы с данными
Аналитики имеют все права пользователя, но дополнительно могут:
- создавать датасеты (наборы данных);
- разрабатывать новые отчёты и дашборды;
- настраивать визуализации (графики, таблицы, интерактивные элементы);
- загружать данные из Excel и других источников;
- создавать формы для сбора информации.
3. Администратор — полный контроль над системой
Администраторы имеют максимальные права. В дополнение к возможностям роли «Аналитик» они могут:
- подключать новые источники информации (базы данных, CRM или ERP-системы, API, облачные хранилища);
- создавать профили доступа для других пользователей к отчетам и наборам данных;
- менять список пользователей и управлять их правами;
- управлять ключами лицензии;
- настраивать темы интерфейса платформы;
- менять общие настройки системы.
Помимо ролей, система поддерживает четыре типа профилей, которые дают возможность более тонко настраивать права доступа.
Профили доступа к отчётам — можно разрешить или запретить доступ к конкретным дашбордам. Например, отдел кадров видит отчеты по персоналу, но не по финансам.
Профили доступа к наборам данных — контроль над тем, какие именно сведения может использовать сотрудник. Так, аналитики отдела продаж настраивают визуализации только на основе данных по продажам, финансовые директора - только на основе информации о движении денежных средств и т.д.
Профили RLS (Row Level Security — безопасность на уровне строк) — механизм, который помогает ограничить доступ к определённым записям в рамках одного набора данных для отдельных пользователей или групп. Менеджер по работе с клиентами видит только своих клиентов, а не всю базу. Начальник цеха отслеживает показатели только своего участка.
Профили экспорта данных — настройка форматов, в которых можно выгружать отчёты. Например, можно разрешить экспорт в PDF, но запретить в XLSX.
Как назначаются роли и профили в Modus BI
Каждый пользователь настраивается через админ-панель, где можно:- назначить роль (пользователь, аналитик, администратор);
- определить доступ к отчётам, датасетам и форматам экспорта;
- настроить RLS-фильтры.
Связи между пользователями и RLS-объектами можно делать двумя способами. Первый — напрямую привязывать настройки к конкретному пользователю. Второй — использовать групповые роли, чтобы автоматически применять правила ко всем участникам группы.
Один профиль безопасности и набор RLS-правил можно одновременно использовать для разных наборов данных. Это избавляет от необходимости настраивать доступ отдельно для каждого датасета.
Вот как работает управление правами в Modus BI:
| Профили | Пользователь | Аналитик | Администратор |
|
Легенда: ON/OFF - функционал может быть подключен или отключен для указанной роли администратором |
|||
|
Профили доступа к ОТЧЁТАМ
(можно создавать профили по должностям / |
ON/OFF | ON/OFF |
Доступ ко всем отчетам всегда |
|
Возможность использования НАБОРОВ ДАННЫХ
(можно создавать профили по должностям / |
Не управляет наборами данных |
ON/OFF |
Доступ ко всем отчетам всегда |
|
Профили RLS
(можно создавать профили по должностям / |
ON/OFF | ON/OFF |
ON/OFF |
|
Профили ЭКСПОРТА ДАННЫХ
(можно создавать профили по должностям / |
ON/OFF |
ON/OFF |
ON/OFF |
Такой набор прав доступа помогает гибко подходить к вопросу назначения ролей и контролю информации, которую могут использовать в своей работе те или иные подразделения.
Заключение
Ролевая модель — это не только про безопасность. Это инструмент, который ускоряет работу, снижает нагрузку на ИТ-отдел и помогает соблюдать регуляторные требования. Гибкость настройки ролей и профилей помогает адаптировать систему под любые бизнес-процессы, а встроенные инструменты аудита делают управление прозрачным.Вступайте в наше сообщество экспертов и узнавайте об интересных статьях первыми!