一句话介绍
飞书低代码平台提供了一套基于角色(RBAC)和属性(ABAC)权限模型,支持功能权限和数据权限管理,具备灵活强大的权限配置能力。
基本概念
角色:即用户扮演的角色,可以将角色赋予多个用户,也可以将多个角色赋予一个用户。角色的配置,本质是权限组授权给用户的过程。
功能权限:控制用户在飞书低代码平台搭建的应用内可用的功能,如增删改查对象和字段、浏览页面,执行流程,调用函数。
数据权限:控制用户在飞书低代码平台搭建的应用内可访问的数据,可细化控制用户对某条数据的读写权限。
250px|700px|reset
预置角色
版本说明:
- 功能上线后新创建的应用,会在创建应用时自动生成以上两个预置角色
- 在功能上线前创建的应用,触发应用新版本发布时(点击「去发布」按钮),系统将自动生成以上两个预置角色(若应用中存在子对象,暂不支持自动生成预置角色)
当应用创建成功,「权限>>角色权限」会自动为应用预置了两个角色,方便大家快速配置:
- 「全局只读角色」:能访问应用中全部页面、查看全部的数据,但没有执行任何流程、操作任何数据的权限。
- 「全部权限角色」:拥有应用内最大的权限,即能访问应用内所有页面、发起所有流程并操作全部的数据。
250px|700px|reset
配置规则
- 默认为「启用状」态,不可被切换为「停用」状态,启用按钮成置灰状态。
- 不可以编辑权限配置、基础信息
- 不可以删除预置角色
- 可以创建角色副本
- 点击「设置成员」即可为预置角色进行成员范围,详情请看:「设置成员 / 修改「角色」」
预置角色权限说明
配置步骤
(一)配置角色权限
可以为单个用户添加 n 个角色。当用户拥有多个角色时,该用户在系统内拥有的实际权限是各角色包含权限的并集。
- 「新建」角色
- 进入「权限管理」>「角色权限」
- 点击「+ 新建」按钮,然后在弹窗中填写创建的角色的基础信息
- 在弹窗中点击「确定」,页面自动跳转到该角色的配置页面
- 配置「页面权限」
- 勾选该角色需要的页面权限
250px|700px|reset
- 新增页面:默认无权限
- 可配置为「默认对新增页面有权限」,即当发布新的页面时,该角色则自动拥有当前页面的权限,不需要再次配置。
- 配置方式:点击「修改配置」,即可设置该角色对新建的页面,设置是否默认开启查看权限,如视频所示:
250px|700px|reset
- 配置「函数调用权限」
只有允许「前端 SDK 调用」的函数才需进行权限设置
250px|700px|reset
- 新增函数:默认无权限
- 可配置为「默认对新增函数有权限」
- 配置方式:点击「修改配置」,即可设置该角色对新建的函数,设置是否默认开启查看权限,如下图所示:
250px|700px|reset
- 配置「函数调用权限」
只有允许「前端 SDK 调用」的函数才需进行权限设置
250px|700px|reset
- 新增函数:默认无权限
- 可配置为「默认对新增函数有权限」
- 配置方式:点击「修改配置」,即可设置该角色对新建的函数,设置是否默认开启查看权限,如下图所示:
250px|700px|reset
- 配置「对象和数据集权限」
对该角色配置对象和数据集的权限,其中对象可精细控制「查看、编辑、新增、删除」4 类权限,同时可为每个对象或数据集配置对应的「字段权限」和「记录权限」
250px|700px|reset
- 新增对象和数据集权限:默认无权限
- 可配置为「默认对新增对象和数据集权限有权限」:默认有全部权限、默认有查看权限
版本说明
- 功能上线前:对象中新增了一个字段,所有角色均默认对该字段无权限,若需开启权限需要逐一手动配置开启
- 功能上线后:
- 对象中新增了一个字段,所有角色均默认对该字段有权限,若需关闭权限需要逐一手动配置关闭
- 若某角色不需要默认对某对象的新增字段默认开启权限,可前往该角色指定对象的字段权限配置进行修改
- 配置方式:点击「修改配置」,即可设置该角色对新建的对象和数据集权限,设置是否默认开启查看权限:
250px|700px|reset
- 配置「字段权限」:可配置单个字段的查看与编辑权限,默认开启全部字段权限
250px|700px|reset
- 新增字段默认有全部权限,点击「修改配置」,可以设置该角色对当前对象中新建的字段是否默认开启权限。
250px|700px|reset
- 快速配置「记录权限」:此处仅展示与当前角色关联的记录权限规则,若想查看全部记录权限规则,可前往「记录权限」进行查询
250px|700px|reset
- 添加「角色成员」
配置哪些用户拥有该角色的功能,根据预设规则选择角色成员范围:
- 全部用户:应用可用范围内的全部用户,即无需指定用户,只要在应用可用范围内的用户都可以拥有该角色的权限,一般适用于快速配置应用的通用权限。
250px|700px|reset
250px|700px|reset
- 部分用户:根据角色需求,直接指定成员/部门,或者按照自定义规则指定成员。适用于不同权限需要的角色配置。
如需为线上环境指定用户,可在该角色发布后,在应用管理中操作。
250px|700px|reset
- 指定成员 / 部门:开发后台只支持配置「开发环境」的指定成员,「线上环境」的配置需要版本发布后在应用管理中配置,无需发版即可生效
- 「开发环境」:直接搜索成员名字或部门名字去指定。若选择一个部门,该部门及其所有子部门的成员将添加为角色成员
250px|700px|reset
- 「线上环境」:进入「应用管理 >> 应用权限 >> 角色权限」,添加指定成员/部门,无需发版即可生效
250px|700px|reset
- 按规则指定成员:开发后台支持同时配置「开发环境」和「线上环境」,线上规则需要发版后才可生效
250px|700px|reset
- 「提交」
配置完成后记得点击「提交」按钮,角色创建完成,且默认开启启用。
250px|700px|reset
- 设置成员 / 修改「角色」
- 点击「编辑」,进入角色编辑页面,可对角色权限进行修改
- 点击「设置成员」,可以快速添加角色中的成员
250px|700px|reset
- 「启用 / 停用」角色
创建成功的角色默认为「启用」状态,可以停用不需要的角色
- 注意:停用后,被授予该角色的用户将失去对应权限,仅与角色关联的「记录权限」规则将被删除
250px|700px|reset
- 编辑基础信息 / 删除角色
点击后面的「缩略按钮」
- 可修改该角色基本信息
- 可删除该角色,删除前需要先停用该角色
250px|700px|reset
(二)配置用户的「记录权限」
功能说明
- 通过「记录权限」,可以为单个数据模型添加 n 条记录权限规则
- 当用户就单个数据模型命中多条记录权限规则时,该用户对该数据模型拥有的实际数据权限取各记录权限规则的并集。
- 「记录权限」配置页面中,左侧数据导航按照「对象」、「数据集」分组,点击对应数据后,右侧可直接查看并操作对应的权限规则。
250px|700px|reset
配置步骤
- 「添加规则」:进入对应的数据「对象」或「数据集」,点击「添加规则」按钮,即可在弹窗中进行规则配置。
250px|700px|reset
- 新增「记录权限规则」
- 「授权的用户」
- 全部用户:默认所有使用应用的用户
- 指定角色成员:选择在「角色权限」中设置的「角色」
- 指定用户:添加单个/多个人员
- 在开发后台只支持配置「开发环境」的指定用户
250px|700px|reset
- 线上环境的指定用户,可在记录权限规则发布后,在「应用管理」中操作。
250px|700px|reset
- 自定义:根据条件规则重新配置用户范围
- 「可对记录进行的操作」
- 支持「查看、编辑、删除、查看操作日志」
- 注意:此处的操作权限,与角色权限中对「对象和数据集权限」取交集
- 「可 查看/编辑 的记录范围」
- 全部记录:对该对象/数据集中所有数据有查看/编辑权限
- 包含本人的记录:选择对象/数据集中关联用户的关联字段,通过该字段过滤出包含本人的记录有哪些,去限制只可查看/编辑包含本人的记录。
- 包含本人或下属的记录:同上「包含本人的记录」,增加可查看/编辑下属记录,下属以通讯录中的配置为准,适合给部门领导配置权限
- 自定义:根据条件规则自定义配置限制范围
- 以「项目信息 - 对象」为例,添加「项目负责人-角色」的「记录权限规则」:
添加新规则 | 250px|700px|reset |
编辑已有规则 | 250px|700px|reset |
- 点击「确定」:配置完成后点击确定,记录权限规则配置完成
250px|700px|reset
- 删除「记录权限规则」:
- 在列表页面,可点击规则对应的「删除」按钮,即可直接删除不需要的记录权限规则
- 注意:删除后,用户将失去对应的记录权限,且该规则将无法恢复,需谨慎删除。
250px|700px|reset
(三)「快速配置」说明
- 「推荐开启」配置说明
在配置角色权限时,我们会看到「推荐开启」四个字,同时会看到有不同颜色的圆点角标,具体说明如下:
- 橙点标记:根据页面权限推荐开启的权限,会被标记上橙色。
- 绿点标记:被推荐开启的权限在开启后,橙点标记会变成绿点标记。
- 推荐开启:这是飞书低代码平台 会根据我们上一步的权限设置,自动识别并推荐开启相关联的下一步权限,实现快速配置。点击「配置」后,即可在弹窗中勾选下一步相关联且需要配置的权限
- 配置示例如下:
250px|700px|reset
- 在「角色权限」中快速配置「记录权限」
- 在「角色权限」>>「对象和数据权限」页面,可点击数据对应后面的「记录权限」编辑按钮,可直接对该数据配置对该角色成员生效的记录权限
- 配置示例如下:
250px|700px|reset
案例实操
如何为不同用户配置权限,点击跳转查看:
无权限引导页设置
- 无权限引导页:当用户访问应用,遇到无权限页面时,在页面上将显示设置的引导信息,用户可根据引导信息去申请开通相关权限。
- 设置入口:权限管理 >> 权限设置,如下图所示
- 设置说明:
- 支持开发者设置在「无权限引导页」中显示详细无权限信息
- 支持开发者设置在「无权限引导页」中显示的联系人
- 具体设置方式,见下图:
注意:设置完成后,需要发布应用后,才能够对线上版本生效。
250px|700px|reset
常见问题
Q:不发版应用,是否可以添加用户线上应用权限
A:可以,支持管理员可在「应用管理 >> 应用权限 >> 访问授权管理 」中,直接配置线上环境的用户权限,配置完成后,权限直接生效,无需发版:
注意:
- 直接在线上添加权限的用户,需要保证该用户在应用「可用范围」之内。
- 可用范围配置步骤请查看:《发布新版本 - 可用范围》
250px|700px|reset
- 「角色」和「记录权限规则」需要在「开发后台」配置完成且「发布」后,才可在「应用管理 >> 应用权限 >> 访问授权管理 」中进行线上配置。
- 角色权限:可通过指定用户的方式将用户添加为角色成员
250px|700px|reset
- 记录权限:针对「授权的用户」为「指定用户」类型的记录权限规则,可指定授权的用户
250px|700px|reset
250px|700px|reset
- 权限查询:在应用管理页面可直接进行权限查询
00:00
/
00:00
Audio/video is not supported
Please TryRefresh
Play
Fullscreen
Click and hold to drag
如何查看「应用管理」修改授权的日志
A:进入「应用管理 >> 审计日志 >> 全部日志 」,即可查看在「应用管理」中修改角色成员的审计日志和修改记录权限规则的「授权的用户」的审计日志
250px|700px|reset
