飞书智能伙伴Aily的角色权限配置

🌟

通过为终端用户授权不同角色，开发者可以定义该用户在应用运行时能访问和操作哪些数据。

哪些终端用户可以访问应用

终端用户可访问应用的前提，是用户在应用的可用范围内；可通过以下 3 种方式可将用户添加到可用范围：

开发者在首次发布时设置应用的可用范围，经过发布审批后生效。被指定的用户及部门成员可在任何渠道访问该应用

终端用户可主动申请使用应用，经过审批后该用户将被添加到应用可用范围。申请通过的用户可在任何渠道访问该应用

250px|700px|reset

机器人所在群聊中的终端用户，在机器人所在群中有权限与机器人对话。

用户仅可在机器人所在群中与机器人对话，无法单聊或打开应用

若群聊时涉及到使用用户的 User Access Token，也需要将用户添加到应用可用范围内才能走通

250px|700px|reset

哪些终端用户可以使用应用的哪些功能

添加到可用范围的终端用户，还需要被授权「终端用户角色」，才可以使用应用中的具体功能。

终端用户角色

「终端用户角色」是一组权限的集合，决定了应用运行时，终端用户能访问和操作哪些资源、执行哪些技能。比如：

技能：用户可以唤起或指定哪些技能

权限类型	示意	操作
技能权限	250px\|700px\|reset	支持设置是否开启技能的使用权限，关闭后该角色成员将无法唤起或指定该技能若技能 B 在技能 A 中被引用，将只针对技能 A 鉴权不对技能 B 鉴权默认所有角色对所有技能有使用权限支持设置对新增技能是否默认开启权限开启后，版本发布后新启用的技能将默认对该角色开启权限

资源：

使用“数据更新”技能时，能否对数据表进行新增和编辑的操作，以及具体能编辑哪些字段

使用“数据分析”技能时，能查看哪些记录或字段

使用“知识问答”技能时，当问答结果来源于数据表时，能获取来源于哪些记录或字段的信息

目前权限管控的资源主要是「数据表」、「分析表」、「知识库中的本地文件」：

权限类型	示意	操作
数据表、分析表、知识库（本地文件）	250px\|700px\|reset 250px\|700px\|reset	支持设置数据表的查看、编辑、新增和删除权限支持设置分析表是否开启查看权限支持设置对知识库中的本地文件是否开启查看权限仅管控知识库中的本地文件，知识库中其他知识权限控制如下：数据表或分析表知识受源数据在角色中配置的权限控制，如需访问需开启对应的数据表和分析表权限飞书文档、飞书知识库、飞书服务台知识受下列知识源系统本身的权限控制，如需访问需在源文件中添加网站知识任何角色可以访问支持设置对新增资源是否默认开启权限开启后，版本发布后新增的数据和知识将默认对该角色开启权限
数据表或分析表的字段权限	250px\|700px\|reset 250px\|700px\|reset	开启数据表或分析表权限后，将默认开启全部可查看或编辑的字段权限如需自定义字段权限，可通过字段权限弹窗进行设置支持设置对新增字段是否默认开启权限开启后，版本发布后该数据表或分析表中新增的字段将默认对该角色开启权限
数据表或分析表的记录权限（行权限）	250px\|700px\|reset	开启数据表或分析表权限后，将默认开启全部记录的对应操作权限：如数据表开启查看和编辑权限，将默认开启全部记录的查看和编辑权限如需自定义记录权限，可通过记录权限弹窗进行设置：最多支持添加 3 条记录权限规则，以实现对不同记录有不同操作权限效果，如实现「对全部记录可查看，但只能编辑本人创建的记录」效果

系统预置的「终端用户角色」

应用在创建时，预置了 2 个能满足最基本要求的终端用户角色（后续将根据用户需求持续补充预置角色），无需开发者创建即可供应用管理员和运维人员在运维后台进行使用。

角色名称	角色说明
全部权限角色	拥有应用内最大权限，可使用所有技能、操作“自定义数据表”中的全部记录、查看“系统数据表”和“分析表”中的全部记录
全局只读角色	可使用所有技能，但仅拥有应用内全部资源的查看权限，包括“系统数据表”、“自定义数据表”和“分析表”

250px|700px|reset

为用户分配「终端用户角色」

应用管理员和运维人员可在应用管理后台的「终端用户角色授权」里给用户分配终端用户角色：

示意

操作

250px|700px|reset

支持 2 种授权方式：

全部用户：即应用可用范围中的全部用户

部分用户：包含 4 种授权方式，命中任一授权方式的用户都将被授予该角色对应的权限

指定成员：

直接指定用户

指定部门

选择一个部门后，该部门及其所有子部门的成员都将添加为角色成员

指定飞书群成员：

仅可选择当前应用机器人所在的群

按规则添加成员：

可通过 condition 配置要授权的用户范围

终端用户的「默认角色设置」

运维人员和管理员可以设置应用默认的终端用户角色，应用可用范围内或应用机器人所在群中的用户将被默认被分配该角色，从而确保可用范围内或应用机器人所在群中的用户可用该应用。应用首次发布时，可配置应用的默认角色：

开发者可在「用户管理-角色权限配置」查看和修改默认角色配置：

250px|700px|reset

常用的记录权限（行权限）授权方式

固定值方式授权

选择数据表或分析表要进行记录权限控制的字段，并设置固定的值（如“销售区域“字段等于“华东大区”）。适用于权限控制较为简单的场景

250px|700px|reset

250px|700px|reset

动态值方式授权

选择数据表或分析表要进行记录权限控制的字段，并设定其读取用户属性中的某一属性字段的值（如“销售区域“字段等于用户“所属销售区域”）。适用于受控的用户较多，权限复杂需要统一管理的场景

数据表或分析表中包含「用户类型」字段

250px|700px|reset

数据表或分析表中某字段与「用户」属性有关

250px|700px|reset

若左右值字段类型不一致时，可通过类型转换的公式进行转换后设置授权规则

250px|700px|reset

无权限的表现和处理方式

1. 终端用户不在应用的可用范围内的表现：

250px\|700px\|reset	250px\|700px\|reset
飞书机器人	Aily 平台

授权方式：可通过前述 3 种方式将用户添加到应用可用范围中

2. 终端用户没有技能的使用权限

250px\|700px\|reset	250px\|700px\|reset	250px\|700px\|reset
意图识别命中无权限技能，告知用户没有该技能权限	发送帮助时，仅可返回有权限技能	对话应用中指定技能时，仅可指定无权限技能

授权方式：将用户添加到有权限的角色中或给用户所属角色添加对应技能的权限

3. 终端用户没有数据的查看或操作权限

资源	权限配置	无权限效果
数据表	没有字段的编辑权限 250px\|700px\|reset	告知用户缺少字段的编辑权限 250px\|700px\|reset
数据表		没有记录的编辑权限 250px\|700px\|reset	无权限记录过滤 250px\|700px\|reset
分析表	没有字段的查看权限 250px\|700px\|reset	告知用户缺少字段的权限 250px\|700px\|reset
分析表		没有记录权限 250px\|700px\|reset	无权限记录过滤 250px\|700px\|reset

授权方式：将用户添加到有权限的角色中或给用户所属角色添加对应数据操作的权限

资源	权限配置	无权限效果
数据表	没有字段的编辑权限 250px\|700px\|reset	告知用户缺少字段的编辑权限 250px\|700px\|reset
数据表		没有记录的编辑权限 250px\|700px\|reset	无权限记录过滤 250px\|700px\|reset
分析表	没有字段的查看权限 250px\|700px\|reset	告知用户缺少字段的权限 250px\|700px\|reset
分析表		没有记录权限 250px\|700px\|reset	无权限记录过滤 250px\|700px\|reset

飞书智能伙伴Aily的角色权限配置

先进团队，先用飞书