NC系统数据权限配置避坑指南:手把手教你搞定元数据过滤与授权规则
NC系统数据权限配置避坑指南:手把手教你搞定元数据过滤与授权规则
当业务部门提出"销售经理需要查看华东区域客户数据但屏蔽竞争对手信息"这类需求时,数据权限配置就成为了NC系统管理员的关键任务。不同于简单的功能权限分配,数据权限管理需要精确控制用户能看到哪些业务数据、不能看到哪些敏感信息,这直接关系到企业数据安全与业务流程顺畅度。
1. 数据权限配置的核心逻辑
数据权限的本质是通过规则引擎对数据库查询进行动态过滤。当用户执行查询操作时,系统会自动在SQL语句中追加WHERE条件,实现数据可见性的精准控制。理解这个底层机制,才能避免"为什么设置了规则却不见效"这类问题。
典型配置流程:
- 确定权限维度(按组织、客户分类、项目阶段等)
- 设置过滤条件(等于、包含、介于等运算符)
- 指定生效范围(用户组/角色/个人)
- 配置冲突处理策略(取并集/交集)
注意:NC系统中"元数据过滤管理"和"数据权限节点"是两种不同的控制层级。前者控制字段级显示,后者控制记录级访问。
2. 元数据过滤的实战技巧
在【系统管理→元数据过滤管理】节点,管理员常遇到三个典型问题:
2.1 字段启用失效排查
当勾选了字段却未生效时,按此顺序检查:
- 确认场景选择正确(数据权限/报表查询等)
- 检查字段的"是否启用"状态实际已保存
- 清除浏览器缓存后重新登录验证
- 查看数据库表
pub_metadata_filter确认配置已持久化
字段启用对照表:
| 现象 | 可能原因 | 解决方案 |
|---|---|---|
| 部分用户看不到字段 | 未分配用户组 | 检查"分配范围"设置 |
| 所有用户看不到字段 | 缓存未更新 | 重启元数据服务 |
| 字段显示但无法查询 | 数据库无此字段 | 验证物理表结构 |
2.2 多条件组合的优先级
当多个过滤规则同时作用于同一数据时,系统默认采用"或"逻辑。如需改为"与"逻辑,需要在ncc.properties中添加:
# 数据权限条件组合方式(AND/OR) data.permission.condition.combine=AND2.3 性能优化建议
对百万级数据表启用过滤时,应当:
- 为过滤字段建立数据库索引
- 避免使用LIKE模糊查询
- 定期清理过期规则(建议每月归档)
3. 授权规则的进阶配置
在【系统管理→数据权限】节点,这些细节决定成败:
3.1 动态参数的使用
通过${}语法引用系统变量,实现动态过滤:
-- 只查看本部门数据 department_id = ${session.orgId} -- 查看自己负责的客户 sales_manager = ${session.userCode}常用动态变量:
| 变量 | 说明 | 示例值 |
|---|---|---|
| ${session.userId} | 当前用户ID | 1001A110000000001 |
| ${session.orgId} | 登录组织ID | 1001Z010000000000001 |
| ${session.roleIds} | 角色ID集合 | [1001D110000000001,1001D110000000002] |
3.2 规则冲突处理
当用户同时属于多个角色时,权限规则可能冲突。NC系统提供两种处理方式:
严格模式(取交集)
- 只有满足所有角色的条件才会显示
- 配置参数:
data.permission.strict=true
宽松模式(取并集)
- 满足任一角色条件即可显示
- 系统默认方式
提示:财务模块建议用严格模式,销售模块可用宽松模式
4. 典型场景解决方案
4.1 跨组织数据共享
需求:华东区总监需要查看华南区部分客户数据
配置步骤:
- 在【组织权限】节点设置组织间关系
- 创建"跨区查看"角色并分配权限
- 配置数据规则:
(region = '华东' OR (region = '华南' AND customer_level IN ('A','B')))
4.2 敏感信息屏蔽
需求:隐藏合同表中的竞争对手相关条款
实现方案:
-- 元数据过滤管理 CASE WHEN customer_type = 'COMPETITOR' THEN '*****' ELSE contract_clause END4.3 临时权限授予
需求:为审计人员开通3个月的全面查询权限
最佳实践:
- 创建临时角色并设置有效期
- 配置数据规则时引用系统日期:
${session.currentDate} BETWEEN TO_DATE('2023-01-01') AND TO_DATE('2023-03-31') - 到期后自动失效
5. 常见问题排查指南
当权限配置未生效时,按此流程诊断:
检查规则是否激活
- 确认规则状态为"启用"
- 检查生效日期范围包含当前日期
验证用户权限继承
-- 查询用户有效权限 SELECT * FROM sm_userrole WHERE userid = '${userId}'查看生成的SQL语句在
ncc.properties中开启调试:log4j.logger.com.yonyou.uap.pub.permission=DEBUG数据库权限验证
- 检查用户是否有表的基础SELECT权限
- 确认视图定义未覆盖过滤条件
性能问题排查清单:
- 规则条件是否使用了索引字段
- 是否存在全表扫描的关键字(如NOT IN)
- 联合查询是否超过5个表
6. 最佳实践与优化建议
经过多个项目验证的有效方案:
权限分层设计:
- 基础权限:通过角色分配(80%需求)
- 特殊权限:通过用户组临时授予(15%需求)
- 例外权限:单独配置用户例外规则(5%需求)
定期维护策略:
- 每季度清理过期规则
- 半年评审一次角色划分
- 重大业务调整时重新评估权限矩阵
性能监控指标:
-- 查询最耗时的权限规则 SELECT rule_name, avg_exec_time FROM nc_perf_monitor ORDER BY avg_exec_time DESC LIMIT 10对于大型集团企业,建议采用"分中心部署"策略:将权限规则按业务板块分发到不同的应用服务器,减轻中央数据库压力。