在苍穹系统的使用过程中，根据企业管理的要求，经常会遇到针对不同的用户群体进行不同的访问控制的要求。如果需求停留在功能限制层面，则通过简单授权即可解决。但经常会出现对数据范围的限制要求。

例如，对于“销售人员”这个用户角色，一般的控制需求是只能看到自己的数据，而不能看到他人的数据。而对于“销售部门经理”这个角色，一般需求是只能看到所管辖部门的数据而不能看到其它部门的数据。对于集团公司还会有更加复杂的需求，如按照产品线、业务线等进行数据范围限制的要求。此时一般都会涉及到数据规则的配置与使用。

下面是某集团公司销售合同的查看权限的控制需求。客户集团下设置销售公司与事业部，销售公司负责销售产品，事业部负责不同的产品线业务，需要对不同组织结构下的不同人员分配不同的权限。

根据客户诉求，接下来，将分别以“销售人员”、“销售部门经理”、“销售总监”、“分公司总经理”、“A产品事业部负责人”、“B产品事业部负责人”这几个角色来说明数据规则方案的配置方法。

在设置数据规则之前，首先要设置好上述“通用角色”，然后在对应的通用角色的【数据规则】中设置或选择。

用户可以先设置好数据规则后，在此处直接引用，也可以在设置时直接新增数据规则，如下图所示：

设置“通用角色”的数据规则

下面分别说明几个角色的数据规则的设置内容：

销售人员数据规则设置详情

如果所管辖的部门是末级部门且不存在下级部门，此处可以使用“我负责的部门以及下级”也可以使用“我负责的部门”，具体区别请查看后面的注意事项。

• 分公司总经理：只能看到自己分公司的合同。该角色如果是结合销售组织授权，可以不设置数据规则。

  如果为了避免误操作导致权限放大，可以设置数据规则。

  此时，一般要针对销售合同设置数据规则：

  “销售组织.编码”=“我的组织”，而在苍穹系统中不存在“我的组织”，需要单独设置后才能使用。

对于系统不支持的规则内容，可以通过一定的开发工作增加扩展函数来实现，例如系统默认没有用户所属组织的设置。

如果按照苍穹预设系统，只能设置固定值，但如果希望按照组织动态控制某个角色时，就无法实现或者设置多个角色，而通过增加“我的组织”，即可动态获取用户所属的组织，通过使用一个通用角色配合此数据规则实现业务需求。

在对数据安全性有要求的企业中，一般会按照不同的工作岗位、不同的角色设置不同的数据查看范围，对于一些管理细化的企业，即使是相同岗位的人员也会按照不同的分工细化数据查看范围。

例如，同样是采购员岗位，业务需要按照所负责的不同的采购物品或按照所负责的供应商区分查看数据的范围。此时，数据规则就会在业务授权上发挥极大的作用，通过数据规则的设置，即可根据业务的要求进行数据