Superset 用户权限管理原理

在企业生产环境中,用户权限管理是非常重要的一个环节,涉及数据安全管控。Superset 实现了基于角色的访问控制(Role Based Access Control, RBAC), 这是一种非常流行和高效的访问控制机制。RBAC 可以将复杂的安全权限规则抽象为简单的角色概念, 通过为用户分配角色实现其对数据和对象的控制。

RBAC的基本原理

RBAC(Role-Based Access Control)是一种基于角色的访问控制机制。其基本思想是:

  1. 将权限分配给角色, 而不是直接分配给用户。一个角色包含一组权限。
  2. 将用户与角色进行关联, 一个用户可以被分配一个或多个角色。
  3. 用户通过所拥有的角色间接获得权限。
RBAC有以下基本规则:
  1. 分离职责: 创建角色时按职责进行分离, 如普通用户角色、管理员角色等。
  2. 最少权限: 每个角色分配的权限应该是其工作职责所需要的最少权限。
  3. 不可传递的角色继承: 如果角色A继承角色B, 则A拥有B的所有权限, 但B不拥有A的权限。
  4. 角色指定: 用户只能通过被分配的角色获得权限, 不能直接获得权限。
  5. 相关的角色和权限: 将权限按职责进行分组并赋予角色可以简化管理。

RBAC通过上述规则实现了权限与角色的解耦, 使用户、权限、角色三者之间建立了清晰的关联关系。这使得权限的授权管理变得非常灵活与简单。通过为用户分配适当的角色, 就可以实现对其访问权限的控制, 这是RBAC流行于各大系统的基本原因。

Superset就采用了RBAC实现细粒度数据访问控制,通过创建不同的角色并分配相关权限,再将角色赋予用户或用户组, 可以实现对数据、查询、仪表盘等的安全管理。

Superset 管理用户和权限

Superset可以有效地管理用户, 主要包含以下功能:

  • 创建用户

可以在Superset的“用户管理”页面点击“+ 新建用户”按钮创建一个新的用户。需要输入用户名、密码、确认密码、邮箱等信息。

  • 修改用户信息

在“用户管理”页面选择一个用户,点击“编辑”按钮可以修改其信息,包括用户名、密码、邮箱、是否激活状态等。

  • 删除用户

在“用户管理”页面选择一个用户,点击“删除”按钮可以彻底删除该用户。删除后,该用户的一切访问权限、内容均会被删除。

  • 用户组管理
    可以在Superset里创建用户组,将多个用户放在同一个用户组里统一管理。在“用户组管理”页面可以创建、修改和删除用户组。

  • 权限管理
    Superset采用角色权限管理的模式。有两种角色类型:

    • 预定义角色:提供一组预定义好的角色,如Alpha、Gamma、Delta等,包含不同的权限组。
    • 自定义角色:可以创建自定义角色,选择相应的权限粒度进行分配,如数据访问、SQL表创建、仪表盘创建权限等。

将创建好的角色分配给用户或用户组,即可控制其对应的数据集和功能访问权限。

  • Auditing日志记录
    Superset会记录详细的用户交互日志,如登录日志、SQLexecuted日志、Dashboard访问日志等。这些日志可以追溯数据和功能的访问记录,用于权限管理判断和数据安全审查。

Auditing 日志的查询示例,可以在 SQL Lab 中执行

SELECT * FROM logs 
WHERE 
    user_id=(SELECT id FROM ab_user WHERE username='gamma')
    AND schema_name='examples'
    AND dttm 
        BETWEEN DATE_SUB(NOW(), INTERVAL 3 DAY) AND NOW()

综上,Superset提供比较全面而细致的用户管理功能。通过控制用户、用户组和权限,可以实现对数据、SQL查询和仪表盘等的安全访问管理。这是Superset作为企业BI平台广泛应用的重要条件。

如果你需要自定义一些用户权限,可以参考我的下一篇~ 如果对Superset的使用想要深入交流,也欢迎你来connect。

国内的公司使用 Superset 的越来越多了,很多开发遇到问题的也都主动找到我。我都非常乐意分享我对Superset的实践 威信: pabi2020。一方面可以了解大家关注什么问题,另一方面我可以继续整理和输出。

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,772评论 6 477
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,458评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,610评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,640评论 1 276
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,657评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,590评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,962评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,631评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,870评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,611评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,704评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,386评论 4 319
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,969评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,944评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,179评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 44,742评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,440评论 2 342

推荐阅读更多精彩内容