Cognos 对于细粒度权限控制的解决办法

对于一些敏感数据对于权限的控制是要求很严格的，不同级别或者不同部门的员工一张报表看到的数据是完全不一样的。在Cognos中可以在Frankwork,Transfomer或者Report中对这些数据进行控制。

 

下面的例子是讲解了在Report中根据访问者账户权限数据进行控制，非常的方便。

 

比如，在员工人数按照部门分布报表中，我们希望限制每个经理只能看到汇报给他的员工人数，而不希望他看到其他经理下的员工人数。完成数据级别的访问安全性设置，我们需要以下两个步骤：

 

步骤 1. 设计用户相关性的数据存储结构

由于访问安全控制是基于数据仓库中的数据级别的，因此，在数据仓库的模型设计中就要考虑到登录用户的相关性问题，需要在数据仓库的星型模型中体现出来。

本例中的数据仓库模型设计为：

图 16. 数据模型

其中，Employee 为事实表，Department 和 Location 为维度表。在 Department 维度表中添加 ManagerID 标识该部门的经理 ID，此 ID 也是登录 Cognos 服务器的用户 ID，即为企业目录服务器中的用户登录 ID。

如果能在报告中取到用户登录 ID 的值，再作为报告中查询项中过滤器的取值，便可以对数据进行访问过滤的设置。

步骤 2. 制作报表时将用户的登录 id 作为过滤器的取值

在报表中需要对数据进行过滤的查询项中添加过滤器。在过滤器中利用 Cognos 系统定义的宏 #sq($account.personalInfo.userName)# 来代替用户登录系统的 id 值作为过滤器的取值。这样，每个用户登录到系统打开报表时，该过滤器的取值就随着登录用户的变化而变化，从而实现了报表中数据的访问安全控制。

本例中可以在报表的数据项中设置如下内容的过滤器，这样就限制了登录用户只能看到汇报给他的员工信息：

 

 [Department].ManagerID = #sq($account.personalInfo.userName)# 

图 17. 在 Report Studio 中为数据添加过滤器

 

非常方便吧。