角色与权限
1、功能权限、数据权限与角色
在讨论授权之前,我们首先需要明确以下几个概念:
功能权限: 功能权限是指,你在系统中能干什么,不能干什么。举例,你在花漾中 “能够创建浏览器分身”,那么,“能够创建浏览器分身”就是一个功能权限。
数据权限: 数据权限指,针对某个业务对象是否拥有权限。举例,花漾中最重要的业务对象就是浏览器分身与手机,当把某个浏览器分身授予给用户 A ,代表用户 A 能够看到这笔数据。
角色: 花漾中的角色是指功能权限的载体。举例,用户 A 承担了某个角色,代表用户 A 默认拥有此角色所具备的功能权限。
2、系统默认角色
一个团队默认包含4种角色,分别是:超级管理员(也称之为超管)、 BOSS、 经理、 员工。
超级管理员:团队的创建者默认就是超级管理员,该角色只能由一人承担,但允许转让。超级管理员负责整个团队的管理职责,自动拥有整个团队的全部功能权限与数据权限。
BOSS:BOSS 默认拥有整个团队“几乎”全部的功能权限与数据权限,与超级管理员相比,BOSS 不能解散团队、不能转让团队,团队内允许有多个成员承担 BOSS 角色。
经理:经理默认开启的功能权限较为有限,经理具有管理自己所在组织单元的能力,如能够管理自己所在组织单元(不含下级部门)的员工,可对与自己同级的员工进行授权,或将自己有权限看到的浏览器分身/手机等数据授权给自己所在组织单元的员工等。
员工:员工被归属部门的经理所管理,默认只拥有非常有限的功能权限。
3、系统功能权限
团队默认拥有“分身管理”、“IP管理”等十多个功能模块共计四十多项功能权限的组合,您可以在“团队”主页签中查看系统各个角色默认拥有的功能权限分布及相应的权限项说明:
《系统默认角色权限分布》
针对不同的角色,默认承担的功能权限各有不同,其中:
3.1 绿色标识的 “已开启”:代表该角色已拥有此权限。举例,超管 默认拥有所有的功能权限
3.2 橙色标识的 “已开启”:代表该角色已拥有此权限,但可以手动将其关闭,反之亦然,如下图所示:
《开启/关闭经理的某个权限项》
3.3 蓝色标识的 “未开启”:代表该角色并未拥有此权限,但可以手动将其打开,反之亦然,如下图所示:
《开启/关闭员工的某个权限项》
4、功能权限的授予/剥夺
对用户进行功能权限的授予/剥夺有以下几种办法:
4.1 更改用户的角色
最简单粗暴的做法是,直接更改用户的角色,如下图所示:
《在用户详情页面中更改用户的角色》
显然,用户的角色发生变化了,其拥有的功能权限自然也发生变化了。
4.2 对用户承担的角色的功能权限进行调整
方法二是对用户承担的角色进行功能权限的调整,以 “经理” 角色为例,可以手动开启或者关闭某项功能权限,显然,这种调整会影响到当前团队所有承担此角色的用户:
《对角色的功能权限进行调整》
4.3 对用户现有的功能权限进行强制调整
方法三是在用户现有功能权限的基础上进行微调,可以强制开启或关闭某项功能权限,显然,这种调整只会影响当前用户:
《在用户详情页面中强制开启/关闭某项功能权限》
以上三种调整用户功能权限的方法有着不同的使用场景,请您根据具体需求自行选择。
5、对浏览器分身进行授权
花漾中最重要的业务对象就是浏览器分身,默认情况下,超管与BOSS可以看到当前团队内的所有分身,但经理与员工,则必须对其进行明确的分身授权他们才能够看到。
对浏览器分身进行授权分为两种方法,分别是:对用户进行授权 或者 对组织单元进行授权。
5.1 把浏览器分身授权给用户
在分身详情页面,可以把分身授权给指定的用户:
《把浏览器分身授权给指定用户》
5.2 把浏览器分身授权给组织单元
在分身详情页面,还可以把分身授权给指定的组织单元:
《把浏览器分身授权给指定的组织单元》
这里需要提醒您的是:
- 把分身授权给组织单元是一种动态授权,换言之,隶属于该组织单元的用户都能够自动获得此分身的授权
- 组织单元授权只对本部门有效,不包含对下级部门的级联授权
- 把某个用户从组织单元中移除时,该用户原本由于组织单元获得的数据权限会被自动解除
- 可同时对用户与组织单元授权,只要有一项满足即认为该用户拥有此权限
5.3 对浏览器分身进行批量授权
在分身列表页面中选中分身,可以对分身进行批量授权:
《对浏览器分身进行批量授权》
批量授权时可以指定是否“清除分身已有的用户与组织单元授权关系”,如果勾选了,则会清空选中的浏览器分身旧有的授权关系。
6、对手机进行授权
6.1 把手机授权给用户或组织单元
在手机的属性中,可以对手机进行授权,“超管/BOSS” 能够访问当前团队所有已连接的手机,而 “经理/员工” 则只允许访问被明确授权的手机:
《对手机进行授权》
6.2 对手机进行批量授权
您也可以同时选中多部手机,对其进行批量授权:
《对选中的多部手机进行批量授权》
7、对团队云盘进行授权
这里需要提醒您的是,团队云盘中的一级文件夹也是一种数据资源,换言之,像对待浏览器分身一样,可以对团队云盘中的一级文件夹进行授权。当对某个用户(或某个组织单元)授予团队云盘中的某个一级文件夹时,该用户(或该组织单元下的所有用户)便可以访问此一级文件夹下的所有文件,即便该用户并没有 “可查看并管理团队云盘” 此功能权限。
关于团队云盘的授权,更进一步信息请阅读 云盘的权限设置 一文。
8、关于角色“经理”
经理是一个很特殊的角色,如前文所述:经理具有管理自己所在组织单元的能力,如能够查看自己所在组织单元(注意:不含下级部门)的员工,可将自己有权限访问的浏览器分身/手机等数据资源授权给自己所在组织单元的员工等。 这句话比较晦涩,下面为大家举个具体的使用场景。
- 我们希望经理能够自行创建浏览器分身,并能够访问自己创建的浏览器分身
- 经理能够将他创建的浏览器分身授权给经理所在组织单元的员工,从而完成组织单元的闭环管理
为了达成上述目标,首先,我们需要修订该经理的功能权限,让其拥有和分身管理相关的全部权限,如下图所示:
《修订某经理的功能权限》
权限修订完成后,我们以经理的身份登录花漾,可以看到,该经理确实可以创建浏览器分身了:
《修订权限后的经理可以创建浏览器分身》
创建完浏览器分身后,该经理不仅可以访问刚刚由他本人创建的浏览器分身,还可以将此分身授权给经理所在组织单元的员工:
《经理可对所在组织单元的员工进行数据授权》
当然,这里有一个疑问:经理只能够给他所在组织单元的员工进行授权,但无法对下级组织单元的员工进行授权。如果您希望达成上述目标,有一个小技巧分享给您,可以将经理同时纳入到不同的组织单元,这样经理就可以对其所在的所有组织单元的员工进行数据授权。
《将经理放置到多个组织单元》
最后再补充一句:经理创建的浏览器分身,超管与BOSS都可以查看并管理;但超管与BOSS创建的浏览器分身,如果没有显式授权给该经理,经理则无权访问。
