# 成员与权限管理
通常在一个项目内,需不同职能角色的成员共同参与,实现数据分析价值的最大化。项目管理员可添加成员至项目,并为其分配灵活、定制化的功能和数据权限,对成员在TE中的旅程进行很好的管控。
TE通过【项目角色】控制成员在项目中的功能权限,通过【数据权限】控制成员在项目中的数据权限。
本章节主要包括以下内容:
# 一、项目成员管理
# 1.1 添加成员
项目Owner、管理员或超管 进入[项目管理],从左侧导航中选择[成员管理],进入成员管理页面。
可通过三种方式添加项目成员:
① 创建新成员
- 账号名不超过50个字符,支持数字、大小写字母、上下划线,以及.@()等特殊字符
② 添加已有成员
- 若待添加的成员已在系统中其他项目中存在,可选择“添加已有成员”。从系统中已存账号中选择待添加的成员账号,分配项目角色和数据权限后,点击确定添加即可
③ 导入成员
- 超管可以直接从系统中的其他项目中批量导入成员,该操作将同时将项目下的成员与角色一并导入。其他项目的项目Owner不支持通过本方式添加,如果需要将其他项目的项目Owner导出为本项目的Owner,可以到【系统管理-接入详情】中调整项目Owner。
完成添加后,成员即可登录查看该项目。
# 1.2 创建成员组
在TE日常使用中,如进行看板共享等操作时,若按成员进行共享,为多个看板设置共享将变成一份繁琐的工作,且当项目内新增成员时,需不断为新增成员变更看板的共享状态。
成员组即为解决该类场景问题。可以将相同职能的成员添加到一个成员组,如产品组、运营组等,可快速面向组内成员创建共享。当项目中新增成员时,仅需将该成员加入已创建的成员组,该成员即可查看共享给成员组的项目资产。
- 一个成员可属于多个成员组
- 成员组仅能在项目中创建,暂无系统级成员组
- 成员组的项目创建上限为 50 个
创建完成后,在看板共享时,即可选择以成员组添加共享。共享后,成员组中的成员都可以看到该看板。
# 1.3 管理项目内的成员
# 1.3.1 项目Owner与项目管理员
每个项目可配置一位项目Owner,管理项目内的公共资产、成员权限与更多项目级设置,其权限高于项目管理员且权限明细不可变更。
| 角色 | 资产管理 | 成员管理 |
|---|---|---|
| 项目Owner | 管理全部 分群 、标签、 指标 ;查看全部 看板 、 报表 | 新增、编辑、移除除超管外的成员 |
| 管理员 | 管理自建 分群 、标签、 指标 ,可以有但默认没有 权限 管理他人创建的分群、标签、指标;查看自建和被分享的 看板 、 报表 | 新增、编辑、移除超管、项目Owner、管理员外的成员 |
项目Owner可以在两种情况下被指派和修改:1)创建项目时指派和2)由项目创建人或超管在【系统管理-接入详情】中修改。如果不指派项目Owner,则项目Owner为空,将由公司超管兼任。公司超管有项目Owner的一切权限,不论该项目是否存在项目Owner。
项目Owner可以在【项目管理-成员管理】中编辑项目管理员的角色、成员显示名,并可以新增或移除管理员。管理员拥有对项目内基于分析师和普通成员创建的成员的管理权限,但同项目的管理员不可以互相编辑。
# 1.3.2 在系统管理中进行成员管理
TE超管或系统管理员可进入[系统管理]→[权限管理],查看系统中的全部成员、成员所属项目等信息,并进行管理操作。包括成员项目详情、重置密码、冻结成员和删除成员操作。
- 成员项目详情:可查看成员所属项目,在项目下的角色和数据权限信息
- 重置密码:可为忘记密码的成员重置登录密码
- 冻结成员:需暂停某成员的访问时使用,冻结后,该成员将无法登录TE系统;可为已冻结成员进行解冻操作
- 删除成员:从系统中将成员删除。可选择直接删除成员,或转交数据资产后进行删除
# 1.3.3 在项目管理中进行成员管理
TE超管、项目Owner和项目管理员可进入[项目管理]→[成员管理],查看项目中的全部成员及权限信息,并进行成员管理操作。
| 角色 | 操作 |
|---|---|
| TE 超管 | 修改成员显示名、项目权限,重置成员密码,将成员从项目中移除 |
| 项目Owner | 修改超管以下成员的显示名、项目角色、数据权限,将非超管的成员从项目中移除 |
| 项目管理员 | 修改管理员以下成员的项目角色和数据权限、将管理员以下的成员从项目中移除 |
提示
移除成员时,为保证项目数据不丢失,请将该成员的资产移交给项目中其他成员后再移除。
# 二、项目角色管理
角色是[功能操作权限]的集合,功能操作权限控制成员可使用的TE功能模块。如仅“TE超管”角色可访问[系统管理]中的功能;仅“TE超管”、“项目超管”和项目“管理员”可进行[项目管理]功能模块的配置。
TE预置了超管、项目Owner、管理员、分析师、普通成员五种角色类型,并支持用户根据使用情况自定义角色,为系统使用者分配合适的功能权限。
一个用户在单个项目中只能对应一个角色。
# 2.1 预置角色
TE系统默认预置超管、项目Owner、管理员、分析师、普通成员五种角色类型:
| 角色 | 角色描述 |
|---|---|
| TE 超管 | 具有全部功能权限 |
| 项目Owner | 具有项目内的全部功能权限、公共资产和成员的管理权限 |
| 项目 管理员 | 具有项目级的全部功能权限 、部分公共资产的管理权限 |
| 分析师 | 具有项目基础模型分析、看板使用等功能的权限 、部分项目配置权限 |
| 普通成员 | 仅具有看板等功能的查看与使用权限 |
各预置角色的功能明细,超管和管理员成员可在[系统管理]或[项目管理]中点击角色名称查看。
# 2.2 自定义角色
TE超管可选择在[系统管理]→[权限管理]→[系统角色管理]中创建系统级角色,创建后,该角色可在系统中的任意项目中使用。
项目管理员或TE超管可在[项目管理]→[角色管理]中创建项目级角色,创建后,该角色仅在当前项目中使用。
系统级角色创建上限数为20,每个项目的项目级角色创建上限数为30。
# 2.2.1 创建角色
点击创建角色,进入角色创建页面,可选择基于“分析师”、“普通成员”、“项目管理员”自定义角色:
基于普通成员:可在普通成员默认权限的基础上,赋予角色分析模型使用和看板新建/编辑等功能权限
基于分析师:可在分析师默认权限的基础上,赋予角色创建分群/标签、使用预警管理、埋点管理等高阶功能的使用权限,以及进行项目分析主体配置、日期标注等管理事项。
基于项目管理员:在项目管理员默认权限的基础上,可赋予角色对他人创建的分群、标签、指标等资产进行管理的权限。
创建完成后,即可在项目添加成员时为成员分配该角色。
# 2.2.2 管理角色
在[角色管理]页面的左侧角色列表中,可查看当前项目可使用的全部角色,带有图标的角色为本项目的自定义角色,可由管理员进行编辑。若删除已创建的自定义角色,所有该角色下的用户将被分配到创建该角色基于的系统预置角色。
# 三、数据权限管理
数据权限控制成员可在项目中访问的数据,可为分析师和普通成员以及其他自定义角色分配不同的数据权限。
数据权限的配置包括以下三部分:
- 可见设置:设置事件、事件属性或用户属性是否可见
- 数据范围:基于属性规则过滤可用数据范围,只能访问符合筛选条件的数据
- 数据脱敏:对下钻到事件或用户列表、用户行为序列中的敏感属性进行脱敏展示
# 3.1 创建数据权限
(1)可见设置
可设置可见事件、事件属性或用户属性;只有选中的事件或属性才能在分析中使用或查看其分析结果,包括:
- 个人发起查询,可选择分析的事件或属性
- 他人共享的查询,是否可以正常查看(若查询使用了不可见的事件或属性,将提示无查看权限)
在设置栏左侧,可设置新增事件或属性是否默认可见。默认为“新增事件(或属性)默认可见”,即在设置可见权限后对入库的新事件或属性默认具备查看权限。
若需控制新增事件或属性的可见性,可关闭该状态。关闭后,该数据权限下的用户对项目内新增事件或属性默认不可使用。
(2)数据范围
可选择基于事件属性或用户属性限制成员在项目中可访问的数据范围。设置后,成员仅可访问符合筛选条件的数据范围,包括:
- 个人发起查询,计算结果的数据范围
- 查看他人共享的查询,计算结果的数据范围
根据设置属性的不同,数据范围生效规则如下:
| 筛选属性 | 数据范围 | 举例 |
|---|---|---|
| 事件属性 | 只能访问符合筛选条件的事件数据 | 如筛选事件属性[服务器ID=1],即只能访问服务器ID为1的事件数据 |
| 用户属性 | 只能访问符合筛选条件的用户及其事件数据 | 如筛选用户属性[来源渠道=华为应用商城],即只能访问来自华为应用商城的用户及这部分用户产生的事件数据 |
设置数据范围后,同一张看板或报表,针对不同数据权限的成员,将根据数据范围的不同展示不同的计算结果。为保证项目内成员清晰获知数据计算口径,可在【个人中心】→【项目权限】中查看账号的数据权限和功能权限配置。
(3)数据脱敏
可选择需要脱敏的事件属性和用户属性字段。脱敏字段仅作用于明细信息,包括下钻列表(包括事件列表和用户列表)、用户行为序列。被设置的脱敏字段,将以特殊字符(*)进行无效化处理。
完成创建后,即可在【成员管理】中为管理员以下的成员分配相应的数据权限。
# 3.2 管理数据权限
创建完成后,可在数据权限列表中查看项目中已创建的数据权限信息。
- 鼠标hover至“数据内容”栏,可查看数据权限的设置内容概览
- 可对已创建的数据权限进行编辑、另存为和删除操作。删除时,若存在成员属于该数据权限,可选择将成员转移至其他数据权限
# 3.3 数据范围的应用说明
在分析模型中,成员将按照配置的数据权限使用数据或查看计算结果。在以下功能模块,通过属性筛选进行的[数据范围]限制的作用规则有所不同,特作说明:
(1)标签
TE标签使用用户行为数据,通过灵活的配置探索用户特征。创建的标签可以在分析模型中再次进行筛选或分组分析。
为保证标签对不同成员的可用性,并考虑大部分场景下需由用户完整的行为数据计算用户的标签特征。若由具有部分数据权限的成员创建标签,在创建时仍按照[全部数据]计算标签结果。但具有部分数据权限的成员进入标签列表查看标签详情时,仍将只能查看具备数据权限的部分用户的标签详情。
- 举例说明:
成员a在项目A的数据权限为[只能访问来源渠道为华为应用商城的用户数据],若成员a具备创建标签的数据权限,在成员a创建标签时,将按照全量数据计算标签值,但成员a在查看标签明细、或在看板中查看标签数据时,只能查看来源渠道为华为应用商城的用户对应的标签数据及明细。
提示
除结果分群外的其他用户分群(条件分群、ID分群)的权限逻辑同用户标签
(2)预警
在预警配置中,创建者需根据指标表现特征创建预警触发规则,因此预警数据的计算范围需与用户在分析模型中查询数据范围保持一致,以便创建者设置合适的预警规则;此外,项目下所有已创建的预警在预警管理模块统一维护,可查看项目下他人创建的预警及预警条件。即需要保证不同成员对预警条件的理解是一致的。
因此由具有部分数据权限的成员创建预警时,将自动带入数据范围条件,以保证数据计算范围的一致性和不同成员对预警触发条件的认识的统一。
(3)SQL查询
一般情况下,SQL查询的计算逻辑同事件分析等其他分析模型,即创建者仅可根据具备数据权限的字段创建SQL报表,报表查看者根据自己的数据权限访问SQL报表的计算结果。
在跨项目查询保存报表时,可设置查看者是否需具备查询所涉及的所有项目的项目权限,默认为开启。可选择关闭。举例说明开启/关闭时的权限变化:
若某跨项目查询报表涉及到项目A和项目B,被共享成员a仅具备项目A的项目权限(即成员a的账号并未加入到项目B中)。若开启“需具备查询所涉及的所有项目权限”,成员a将无法权限查看该报表;若关闭该选项,成员a可查看该报表,且因成员a不属于项目B,无法获取其数据权限配置,将默认按项目B的“全部数据”计算并展示数据结果。
# 3.4 最佳实践
场景1:可见设置
如用户属性中上报了如成本、归因等字段,项目中某成员对该类属性并无查看权限。可创建数据权限,在可见设置中将该部分属性设置为不可见,将创建好的数据权限指定给该成员即可。
场景2:数据范围
对于涉及到联运的业务,如通过多个第三方进行游戏发行;若希望渠道A的发行方,仅可以查看渠道A下的用户数据。可创建数据权限,设置用户筛选,如筛选(来源渠道=A)并将该数据权限指定给发行方成员,即可实现数据隔离。
场景3: 数据范围
对于某新进成员,管理员希望逐渐开放其数据使用权限,如仅希望开放最近30天的数据使用权限,可设置事件筛选(事件时间相对当前日期在-30天到0天之间),即可实现数据查询范围的控制。
