Phạm vi quản lý đa cấp (Permission Scope): trưởng/phó đơn vị chỉ thấy dữ liệu đơn vị mình

Gói: Enterprise · Ứng dụng: Quản trị (manage) → Nhân viên (employee) · Vai trò: Admin, Quản lý đơn vị, Nhân viên · Tài khoản demo: owner/admin (cấu hình), trưởng phòng (xem giới hạn)

Doanh nghiệp nhiều phòng ban cần đảm bảo trưởng/phó bộ phận chỉ thấy nhân sự và báo cáo của đơn vị mình (chống rò rỉ dữ liệu chéo). Noova dùng Permission Scope Engine + Người quản lý đơn vị (4 loại Trưởng/Phó/Quyền QL/Uỷ quyền) với ManagerScopeResolver giới hạn dữ liệu theo đơn vị phụ trách ở cổng Nhân viên và báo cáo.

🎬 Video hướng dẫn

Xem trọn bộ: Playlist Hướng dẫn sử dụng Noova

Mục tiêu

Hiểu cơ cấu tổ chức nhiều cấp và xác định các đơn vị độc lập.
Đặt phạm vi dữ liệu (Permission Scope) cho vai trò Trưởng đơn vị = "Đơn vị của mình".
Gán người quản lý đơn vị 4 loại (Trưởng/Phó/Quyền QL/Uỷ quyền) + phạm vi (Đơn vị + cấp con).
Kiểm chứng: trưởng/phó phòng đăng nhập chỉ thấy nhân sự đơn vị mình; báo cáo cũng giới hạn theo phạm vi.

Điều kiện & dữ liệu mẫu

Tổ chức Enterprise bật Permission Scope Engine + module Tổ chức.
Cơ cấu: Công ty TNHH ABC Việt Nam (507 NV) → các phòng, trong đó Phòng Kinh doanh (đơn vị A, 113 NV) và Phòng Marketing (đơn vị B).
Đã gán: Trưởng Nguyễn Công Tú (PRIMARY) + Phó Vũ Hoàng Lan (DEPUTY) cho Phòng Kinh doanh, phạm vi Đơn vị + cấp con.

Các bước

Bước 1 — [Quản trị] Cơ cấu tổ chức nhiều cấp

Vào Tổ chức → Đơn vị (/manage/organization/structure): cây cơ cấu từ Công ty TNHH ABC Việt Nam xuống các phòng, kèm cột Người đứng đầu / Đơn vị con / Nhân sự. Xác định hai đơn vị độc lập: Phòng Kinh doanh ➊ (đơn vị A) và Phòng Marketing ➋ (đơn vị B) — quản lý A không được thấy dữ liệu B.

Cơ cấu tổ chức — đơn vị A & B

Bước 2 — [Quản trị] Đặt phạm vi dữ liệu cho vai trò "Trưởng đơn vị"

Vào Tài khoản → Phân quyền vai trò, mở vai trò Trưởng đơn vị (/manage/account/role-permission/permissions/department_head): ma trận 45 module với quyền chi tiết; dùng Permission Scope Engine đặt Phạm vi áp dụng cho từng module = "Đơn vị của mình" (UNIT) cho Nhân sự / Đơn vị / Ghi danh / Báo cáo (và "Chỉ của mình" cho nội dung tự tạo). Đây là tầng quyết định mức dữ liệu mà vai trò được nhìn.

Phân quyền + Permission Scope cho Trưởng đơn vị

Bước 3 — [Quản trị] Gán người quản lý đơn vị (4 loại)

Mở Phòng Kinh doanh (/manage/organization/units/<id>) → tab Quản lý: danh sách Người quản lý đơn vị với loại (Trưởng/Phó/Quyền QL/Uỷ quyền) và phạm vi (Đơn vị / Đơn vị + cấp con). Ở đây: Nguyễn Công Tú — Trưởng (+Con) ➋ và Vũ Hoàng Lan — Phó (+Con) ➊ (phó duyệt thay khi trưởng vắng). Nút Thêm để gán quản lý mới. ManagerScopeResolver dựa trên chính danh sách này để giới hạn dữ liệu.

Tab Quản lý — Trưởng & Phó đơn vị

Bước 4 — [Nhân viên] Trưởng phòng chỉ thấy đội ngũ đơn vị mình

Trưởng phòng A (đăng nhập Nguyễn Công Tú) vào Tổ chức → Đội ngũ của tôi (/org/team): thống kê Tổng nhân sự ➋ chỉ 113 (Phòng Kinh doanh + cấp con) — không phải 507 của toàn công ty; danh tính ➊ hiển thị Trưởng phòng Kinh doanh. Đây là bằng chứng phạm vi hoạt động: cùng trang nhưng dữ liệu bị giới hạn theo đơn vị.

Đội ngũ của tôi — chỉ 113 NV đơn vị A

Bước 5 — [Nhân viên] Danh sách nhân sự giới hạn theo phạm vi

Tab Danh sách (113) liệt kê nhân sự: cột Phòng ban toàn bộ là "Phòng Kinh doanh" ➋ — không xuất hiện nhân sự Phòng Marketing. Bộ lọc đơn vị cũng chỉ trong nhánh A. (So sánh: owner/admin thấy toàn bộ 507 NV mọi phòng.)

Danh sách nhân sự — chỉ Phòng Kinh doanh

Bước 6 — [Nhân viên] Phó phòng (Deputy) thấy cùng phạm vi khi trưởng vắng

Phó phòng Vũ Hoàng Lan (DEPUTY) đăng nhập cổng Nhân viên, mở Đội ngũ của tôi → thấy đúng cùng phạm vi đơn vị A như trưởng phòng (113 NV Phòng Kinh doanh) — minh hoạ uỷ quyền tạm thời khi trưởng vắng. (Loại Uỷ quyền/DELEGATED chỉ cấp quyền hành chính, không mở rộng phạm vi dữ liệu — resolver loại DELEGATED khỏi scope.)

Bước 7 — [Quản trị/Manage] Báo cáo giới hạn theo phạm vi

Với báo cáo khoá học (Dashboard khoá → nhúng iframe classroom): admin thấy toàn tổ chức (so sánh A vs B), nhưng quản lý A xem cùng báo cáo lại bị LmsReportScopeResolver giới hạn — chỉ học viên đơn vị mình, không lộ Marketing; xuất CSV cũng chỉ phạm vi A. (Cơ chế báo cáo & xuất xem thêm Hành trình 16 và Hành trình 24.)

Bước 8 — [Quản trị] Kiểm toán truy cập

Admin xem nhật ký hành động (user_action_logs) xác nhận quản lý A bị giới hạn phạm vi, không rò rỉ dữ liệu chéo đơn vị. (Scope-audit hiện là service/method phía quản trị, dùng màn nhật ký chung để đối chiếu.)

Kết quả & cách kiểm chứng

Vai trò Trưởng đơn vị có Permission Scope = Đơn vị của mình; đơn vị có Trưởng + Phó với phạm vi Đơn vị + cấp con.
Trưởng/phó phòng A đăng nhập chỉ thấy 113 NV Phòng Kinh doanh (không thấy 507 toàn công ty, không thấy Marketing).
Báo cáo giới hạn theo phạm vi (quản lý chỉ thấy dữ liệu đơn vị mình), admin thấy toàn bộ.
Nhật ký kiểm toán xác nhận không rò rỉ chéo đơn vị.

Liên kết tham khảo

Hướng dẫn chi tiết liên quan:

Vai trò và phân quyền
Chính sách truy cập
Đơn vị và phòng ban
Đơn vị - chi tiết
Nền tảng tổ chức/vai trò/phân quyền: Hành trình 1.
Báo cáo theo phạm vi (Report Builder): Hành trình 24.
Permission Scope Engine, 4 loại quản lý: xem mục Tham khảo.

Phạm vi quản lý đa cấp (Permission Scope): trưởng/phó đơn vị chỉ thấy dữ liệu đơn vị mình ​

🎬 Video hướng dẫn ​

Mục tiêu ​

Điều kiện & dữ liệu mẫu ​

Các bước ​

Bước 1 — [Quản trị] Cơ cấu tổ chức nhiều cấp ​

Bước 2 — [Quản trị] Đặt phạm vi dữ liệu cho vai trò "Trưởng đơn vị" ​

Bước 3 — [Quản trị] Gán người quản lý đơn vị (4 loại) ​

Bước 4 — [Nhân viên] Trưởng phòng chỉ thấy đội ngũ đơn vị mình ​

Bước 5 — [Nhân viên] Danh sách nhân sự giới hạn theo phạm vi ​

Bước 6 — [Nhân viên] Phó phòng (Deputy) thấy cùng phạm vi khi trưởng vắng ​

Bước 7 — [Quản trị/Manage] Báo cáo giới hạn theo phạm vi ​

Bước 8 — [Quản trị] Kiểm toán truy cập ​

Kết quả & cách kiểm chứng ​

Liên kết tham khảo ​