可用范围和通讯录范围
应用的「可用范围」定义了哪些人可以访问本应用,「通讯录范围」定义了本应用可以获取到的部门数据和用户数据的范围。
大部分业务场景下,应用可用范围跟通讯录范围是一致的,比如项目管理系统。但也有特殊场景,比如在一些人力资源类业务,应用的可用范围和通讯录范围很可能不一致:
- 通讯录范围是全员——应用有整个组织架构的权限
- 应用可用范围只限制在人力部门——只有人力部门的人员可以使用该应用
部门和用户的字段级权限
- 「通讯录范围」只控制了应用获取部门和用户数据的行权限,并未控制具体能获取哪些字段(列权限)。为了加强通讯录的安全管控,飞书低代码平台增加了针对应用的「部门」和「用户」的字段级授权。
- 企业管理员可以在【管理后台 —> 工作台 —>应用审核】菜单下,找到「设置审核规则」的入口,在这里为整个企业的所有应用设置使用「部门」和「用户」这两个对象时,哪些字段需要经过人工审核才可使用。
- 例如,有些企业的员工手机号在企业内不是公开信息,应用开发者需要申请才可获得。
以下分别列出管理员视角下的审核设置和操作,以及开发者视角下的字段申请操作。
企业管理员视角 - 设置审核规则
- 企业管理员在管理后台设置字段审核规则
系统初始设置是用户的「手机号」「入职时间」等字段、部门的「负责人」和「上级部门」等字段需要由应用的开发者为应用申请权限后才可查看。企业管理员可根据企业自身的管理需要调整这些字段设置。
250px|700px|reset
250px|700px|reset
- 管理员收到应用开发者的申请后,进行审批。
250px|700px|reset
250px|700px|reset
开发者视角 - 申请字段权限
- 在用户/部门对象上选择更多字段。
250px|700px|reset
- 在发布时再次确认要申请的字段,提交申请。
250px|700px|reset
- 等待管理员审批。
飞书开放平台的应用权限
前面「创建应用」部分提到,飞书低代码平台的企业自建应用等同于飞书开放平台的企业自建应用,故应用所需的机器人权限、接口权限等同样需要经过开放平台的应用发版和审核流程。
但飞书低代码平台的开发者无需跳转到飞书开放平台申请权限,而是直接在应用发布的第三步「完善权限申请」中,查看到无代码搭建应用时所需的权限。低代码(比如函数)中用到的权限点位,目前系统还无法自动识别,需要开发者手动添加。
开发者搭建时用的到飞书能力
- 通过机器人发消息
250px|700px|reset
发布时系统自动识别需要的飞书权限
- 开启机器人能力
- 机器人发消息的权限
250px|700px|reset
低代码用到的权限点需手动添加
250px|700px|reset
这些权限将在应用发布时,自动对接飞书开放平台上的权限审核流程,跟开放平台上的其他企业自建应用一样,走企业管理员设定好的应用审核流程。
企业可以根据自身情况,对应用发布审核进行或松或严的规则设置。
应用首次发布会涉及较多的权限点位申请,但在后续升级迭代中,若无新增的需审权限点,大部分情况下发布可一健生效。
250px|700px|reset
