在奥维互动地图企业版的管理控制台中增加了权限管理的功能,企业用户的数据都可以存储在企业服务器上,在这里我们统一叫做企业共享云空间,管理员可以在控制台针对不同的文件夹或文件分配给不同的用户不同的访问权,这样提高地图数据安全性的同时也提升了管理颗粒度。
图1
初始安装后,企业服务器上会默认生成2个文件夹share和users(不可删除),share默认的权限是全部企业用户都可以访问,它通常用来存放全体用户公共的数据;users文件夹内存放每个企业用户私有的数据,在创建企业用户的时候,系统自动会为每个用户创建一个文件夹(与注册名同名),每个企业用户只能访问自己的文件夹。管理员可以对以上share和users以及它们的所有子文件夹和文件对象重新设定权限:
- 权限分类
图2
说明:
查 询:是用户访问时是否可见可查询的权限(在本文3.1进行说明);
在线浏览:是否允许在线浏览的权限(在本文3.2节进行说明);
离线浏览:是否允许离线浏览的权限(可以参考在线浏览说明部分);
事件响应:当对象下载到客户端时,是否能响应客户端用户的鼠标点击事件(此权限可以用来控制用户能否查看对象的详细信息,在本文的3.3节进行说明);
收 藏:是否可以添加到收藏夹的权限;
上 传与删除自己的文件:是否可以上传和删除自己文件的权限,该权限仅适用于对文件夹进行授权时(此权限开通后,客户端可以在被授权的文件夹内新建文件夹,上传文件以及删除文件);
管理:所有权限;
2.1 如何界定对象/结点的权限
当用户访问云端文件夹或者云端文件时,系统会检查该用户是否被允许访问该对象。检查的规则包括如下:
- 检查当前对象的父结点(文件夹)是否具备权限,如果不具备,就拒绝访问;
例如: 用户u要离线浏览某个对象a,则系统会检查对象a的父结点是否具备对用户u的离线浏览权限。
- 如果父结点具备访问权限,再检查用户对当前对象是否具备权限,如果不具备,就拒绝访问;
同上例子,系统会检查用户u对于对象a是否具备离线浏览权限。
2.2 在权限匹配时,按照以下规则判断
-
对用户组和用户本身都可以进行权限的授予,权限设置窗口的用户选择框里面,{ }内的是可选用户组,[ ]内的是可选用户,如下图3所示;
-
如果对象的授权规则表为空,则认为允许访问;
-
当授权规则表中有多条规则都可能匹配到时,按照顺序使用第一条针对该用户生效的规则。对象的授权规则表如下图所示,结点亦相同,下图3的授权列表中对用户【all】授予的权限规则顺序优先于其他两条,因此当有这条规则在时,其他两条针对琳和用户组"**电力公司"的权限规则失效;如果想要"琳"这条权限规则生效,需要在权限规则表中将这条规则的位置使用按钮""排列到权限规则"all"的前面,由管理员在管理控制台进行管理。
图3
2.2 拥有者和访问密码
拥有者:如图3、4所示,对分组或文件都会设置一个所有者属性,这个所有者对所在文件夹没有特别的权限,它是与权限设置里的"允许拥有者删除"和"允许任何人删除"权限配合使用的,这时需要判断文件夹或文件的拥有者。
访问密码:是当管理员在控制台为分组/文件设置了访问密码,并选中"使用访问密码" 则当用户在客户端想要打开这个分组/文件时需要输入密码进行访问。
举例:如为对象苍山设置了访问密码,并选中使用访问密码,如下图所示,则客户端的用户想要访问对象苍山时,就必须进行密码验证。
图4
3.1 设置页面入口
企业共享云端管理界面入口,从管理控制台的工具栏,点击, 如下图5所示:
图5
如上图5,设计的思路是,share文件夹用来存放全体用户公共的数据,对每个人可见,而user文件夹用于存放每个企业用户私有的数据,每个企业用户只能访问自己的文件夹。
客户端是在登录企业版之后,从菜单栏"企业共享云端管理"进入管理界面,如下图6:
图6
3.2 新建文件夹
- 管理员在管理控制台的根目录下点击"新建分组",然后输入分组名称,不做任何权限修改,点击"确定"完成新建分组,如下图7所示:
图7
- 所有企业用户到客户端登录都可以在根目录下看到这个文件夹,并且可以进行所有操作,默认此文件夹对所有人放开所有权限,如下图8所示:
图8
3.3 新建"查询"权限
在管理控制台的"企业共享云端管理"页面,选中要设置权限的对象(文件夹或文件),点击属性按钮,可以查看和编辑已设置的规则,点击" "新建规则,或者双击已存在的规则进行权限编辑(选中某条权限规则,然后点击"-"进行删除,使用"↑"或"↓"按钮来移动权限规则在列表里的顺序)。如下图9所示,在"权限设置"窗口中,选择用户,其中【all】是指针对所有用户的,然后为用户"小白"建立一条只有查询权限的使用规则,如下图10所示,编辑完点击确定新建一条规则到分组总公司的属性的权限规则表,再点击确定完成设置。
图9
图10
然后到客户端,用户琳登录企业服务器,打开企业共享云端管理,这时文件夹"总公司"已对琳不可见,如下图11所示。因为文件夹"总公司"的授权规则表中当前只有针对用户小白的查看访问规则,所以其他用户无法看到,如需对其他用户可见必须对该用户授予查看的权限,或者针对所有人【all】添加适用于所有人的访问规则。
图11
3.4 "在线浏览"权限
系统默认给每个用户企业用户新建一个文件夹,默认这个个人文件夹对自己放开所有权限,我们在控制台不做任何操作的前提下打开文件夹users,里面是空的,见下图12:
图12
到客户端用琳登录企业服务器,可以见到users下新建了文件夹"琳"权限是全部放开的,我们可以做任何操作,见下图13:
图13
再回到控制台,为这个文件夹琳,在查询的前提下增加"在线浏览"的权限,如下图14所示,并在文件夹琳中放置标签洱海
图14
到客户端用户琳登录企业服务器后,打开自己的文件夹"usersà琳",选中标签洱海,下载后点击"查看下载"去加载对象洱海后,可以看到标签洱海可以加载到地图上,如下图15所示,但鼠标点击没有任何响应,获取不到标签信息,客户端注销再登录后此文件被自动删除。
图15
注:离线浏览权限与在线浏览相似,开通后可以下载对象,并加载,但用户注销再登录企业服务器后所下载文件不被删除。
3.5 "事件响应"权限
我们在3.5的基础上稍作修改,回到控制台在文件夹"琳"上给用户琳再放开"事件响应"的权限,如下图16所示:
图16
在客户端用户琳登录企业服务器,在文件夹琳下选中对象"洱海",下载成功后到查看已下载数据中,加载对象洱海,可以看到地图跳转到对象洱海,鼠标点击,可以显示对象的属性框,但仅限于显示对象的备注,依然无法获取对象的经纬度等详细信息。这是"事件响应"权限应用的效果,如下图17所示:
图17
3.6 "收藏"权限
在3.5的基础上,我们回到控制台给文件夹琳针对用户琳再添加一条"收藏"权限,这时"离线浏览"权限会自动添加(收藏后即可离线浏览),如下图18所示:
图18
在客户端用户琳登录企业服务器,在文件夹琳下选中对象"洱海",下载成功后到查看已下载数据中,加载对象洱海,可以看到地图跳转到对象洱海,鼠标点击,可以显示对象的属性框,并打开属性框获取对象的经纬度等详细信息,此时可以添加这个标签到收藏夹。
图19
3.7 "上传与删除自己的文件"权限(开通后,客户端可以在此权限约束分组内新建分组和删除对象)
在3.6的基础上,回到控制台为文件夹琳对用户琳再增加一项"上传与删除自己的文件"权限,如下图20所示,同时,我们在此打开文件夹琳里面文件洱海的权限设置页面,发现文件夹琳里面的对象洱海 "上传与删除自己的文件"权限是灰度的无法设置,因为逻辑上已经存在此文件夹下的对象不需要再上传。如下图21:
图21
然后回到客户端,用户琳重新登录企业服务器,到目录琳下,点击"上传"然后在上传对象窗口点击"选择对象"看到可以选择上传的对象包括从收藏夹、附件库、本地文件中等等上传。如下图22所示:
图22
当用户拥有了上传与删除权限时,用户同时可以在自己的分组内新建文件夹和删除文件夹及对象,我们在客户端,回到分组琳,点击新建文件夹,来新建一个自定义名称的文件夹来存放自己上传的文件,如下图23和图24所示:
图23
图24
3.8 "管理"权限
拥有上述所有权限
3.9 当文件设置的权限与他的父结点权限不一致时
以上我们讨论的权限都是针对结点所设置的,如果文件设置的权限与父结点不一致的话,文件的权限可以按照第二章的2.1节进行界定。
例如,文件夹"琳"不具有收藏权限,如下图25所示,而文件夹琳下的文件洱海除了父文件夹具有的权限之外还具有收藏权限时,如下图26所示:
图25
图26
客户端用户琳登录企业服务器后,到文件夹琳下载洱海之后,点击"查看下载"选中洱海,再选择"收藏"时系统提示权限不够,如下图27所示,所以文件的权限首先要看其父结点是否具有这个权限,如果满足再看文件本身是否具有这个权限。
图27