权限模型一览
巴克励步
概述
Baklib 权限按 组织 → 知识库 → 应用 三级叠加。同一自然人可在不同层级担任不同角色;前台能否访问 还受 访问控制 规则约束。本篇提供速查表;逐步操作见各章链接。
三级权限对照
| 层级 | 配置入口 | 决定什么 | 手册 |
|---|---|---|---|
| 组织 | /admin/members、/admin/groups、/admin/roles |
能否进入 组织工作台、组织后台菜单 | 组织用户与组织架构 |
| 知识库 | 知识库 设置 → 成员 | 能否编辑某 知识库空间 的文档 | 知识库设置 |
| 应用 | 应用后台 用户/成员权限 | 能否进入某 应用后台、担任何种 应用角色 | 成员与权限管理 |
身份类型(应用级)
应用 用户/成员权限 页顶说明:
| 类型 | 能进应用后台 | 能访问前台 | 账号来源 |
|---|---|---|---|
| 成员 | ✓(依角色) | 视访问控制 | 须在组织 用户管理 中存在 |
| 用户 | ✗ | 视访问控制 | 组织用户,被加入应用 用户 列表 |
FAQ:成员和用户有什么区别?
前台访问控制(第四层)
独立于上述三级,在 应用设置 → 访问控制 配置访客规则:
| 授权方式 | 典型场景 |
|---|---|
| 完全公开 | 营销帮助中心 |
| 组织用户登录 | 员工内网文档 |
| 用户组 / 部门 | 按 IM 同步部门授权 |
| 密码 / Token | 临时合作伙伴 |
| SSO | 企业统一身份 |
详见 访问控制与授权、访问控制的逻辑是什么?。
决策流程(简图)
用户能否打开 help.example.com 某页面?
├─ 访问控制:是否允许该身份/密码/SSO? ──否→ 拒绝
└─ 是 → 展示内容(与是否 Wiki 编辑权限无关)
用户能否编辑 Wiki 正文?
├─ 是否知识库成员且有编辑角色? ──否→ 只读/无入口
└─ 是 → 可在知识库 文档编辑器 编辑
用户能否改应用导航/域名?
├─ 是否应用后台成员且有设置权限? ──否→ 不可
└─ 是 → 应用后台操作
用户能否安装钉钉集成?
└─ 是否组织管理员/具备组织后台权限? ──否→ 不可
组织 vs 应用用户组
| 对象 | 位置 | 作用 |
|---|---|---|
| 组织用户组 | /admin/groups |
组织后台权限、批量管理成员 |
| 应用用户组 | 应用后台 | 前台/后台授权批量套用 |
二者名称相似,数据相关但入口不同,配置时勿混淆。
日志与权限排查
| 问题 | 查看位置 |
|---|---|
| 谁改了 Wiki 正文 | 应用 操作日志 |
| 谁改了域名/集成 | 组织 审计日志 |
| 谁登录失败 | 组织 登录日志 / 个人 登录日志 |