权限模型一览

巴克励步

概述

Baklib 权限按 组织 → 知识库 → 应用 三级叠加。同一自然人可在不同层级担任不同角色;前台能否访问 还受 访问控制 规则约束。本篇提供速查表;逐步操作见各章链接。

三级权限对照

层级 配置入口 决定什么 手册
组织 /admin/members/admin/groups/admin/roles 能否进入 组织工作台、组织后台菜单 组织用户与组织架构
知识库 知识库 设置 → 成员 能否编辑某 知识库空间 的文档 知识库设置
应用 应用后台 用户/成员权限 能否进入某 应用后台、担任何种 应用角色 成员与权限管理

身份类型(应用级)

应用 用户/成员权限 页顶说明:
类型 能进应用后台 能访问前台 账号来源
成员 ✓(依角色) 视访问控制 须在组织 用户管理 中存在
用户 视访问控制 组织用户,被加入应用 用户 列表

前台访问控制(第四层)

独立于上述三级,在 应用设置 → 访问控制 配置访客规则:
授权方式 典型场景
完全公开 营销帮助中心
组织用户登录 员工内网文档
用户组 / 部门 按 IM 同步部门授权
密码 / Token 临时合作伙伴
SSO 企业统一身份

决策流程(简图)

用户能否打开 help.example.com 某页面?
  ├─ 访问控制:是否允许该身份/密码/SSO? ──否→ 拒绝
  └─ 是 → 展示内容(与是否 Wiki 编辑权限无关)

用户能否编辑 Wiki 正文?
  ├─ 是否知识库成员且有编辑角色? ──否→ 只读/无入口
  └─ 是 → 可在知识库 文档编辑器 编辑

用户能否改应用导航/域名?
  ├─ 是否应用后台成员且有设置权限? ──否→ 不可
  └─ 是 → 应用后台操作

用户能否安装钉钉集成?
  └─ 是否组织管理员/具备组织后台权限? ──否→ 不可

组织 vs 应用用户组

对象 位置 作用
组织用户组 /admin/groups 组织后台权限、批量管理成员
应用用户组 应用后台 前台/后台授权批量套用
二者名称相似,数据相关但入口不同,配置时勿混淆。

日志与权限排查

问题 查看位置
谁改了 Wiki 正文 应用 操作日志
谁改了域名/集成 组织 审计日志
谁登录失败 组织 登录日志 / 个人 登录日志

相关阅读