用户管理
1.概述
DM Hub支持多用户共同使用一个租户,管理员可为不同的人员设定不同的角色,每个角色可设定不同的功能权限、数据权限。系统默认会有一个管理员角色,开立账号时第一位进入系统的用户就是管理员角色,此管理员可以邀请新用户,创建新角色。DM Hub同时支持SSO单点登录等功能。
点击系统右上角【用户管理】即可进入界面。
2.用户管理
在用户管理中,管理员可进行邀请用户、删除用户、修改用户权限等操作。
请注意:当一个租户新开立时,管理员需先进行功能权限、数据权限的设置,再邀请新用户。
2.1用户类型
用户类型有3种:
普通用户:账号密码登录的用户。由该租户创建的用户,用户在被此租户创建前无任何DM Hub账号
SSO:单点登录的用户
授信用户:用户先在其他租户被创建,后经过邀请授信允许登录当前租户
2.2创建新用户
DM Hub中可通过邮箱邀请、手机号邀请两种方式邀请新用户。如用户之前已有DM Hub账号,则被邀请后将成为此租户的授信用户,可登陆此租户。
2.2.1邮箱邀请
点击【邀请用户】,选择【单个邀请】或【批量邀请】。如进行批量邀请,被邀请的用户皆为同一角色与组织。填入被邀请人邮箱,分配角色与组织,点击【确定】。
系统显示【成功发起邀请任务】表明邀请成功,系统将发送邀请邮件至被邀请人。
被邀请人将收到邀请邮件,如下图所示。
请注意,激活链接有效期为1天,被邀请人需尽快激活。如激活链接失效,则需重新邀请用户。
如被邀请人未收到邮件,可尝试以下操作:
1)在垃圾箱中查看是否有邀请邮件
2)如垃圾箱中没有邮件,被邀请人可将send.convertlab.com加入邮箱白名单(未收到邮件可能是由于邮箱的屏蔽策略导致的),然后由管理员重新邀请一次
3)使用手机号邀请
点击【激活并登录】,即激活成功,同时激活链接失效。
如用户是第一次在DM Hub中被创建,则进入注册页,在注册页面中设置姓名、密码,点击【注册并登录】则完成设置,将直接跳转进入系统。
如点击了激活链接,但未完成注册,无法登录,管理员可至用户管理界面找到该用户,为用户重置密码。
如用户已有其他租户,则点击【激活并登录】即完成租户授信,登录系统时可直接选择租户进行登录。
2.2.2手机号邀请
点击【邀请用户-收不到邮件?试试手机号码邀请】,进入手机号邀请界面。
点击【邀请用户】,填写被邀请人手机号,如需批量邀请则换行填写多条,设置角色与组织,点击【确定】,完成邀请任务。
复制邀请链接给到被邀请人,如链接已失效,则刷新链接复制。
被邀请人访问链接,填入手机号,点击【立即加入】。
进行手机号码的验证,设置姓名、密码,点击【立即加入】,则注册成功。
2.2.3管理员创建用户
该功能非默认功能,如需使用可联系客户经理帮助开通。
进入用户管理,在右上方点击【新建用户】。
输入用户信息,为用户设置密码,点击【确定】,用户即创建成功。然后将密码告知用户即可,用户可使用手机号或者邮箱进行登录。
3.功能权限
DM Hub支持设置用户角色,为每个角色分配不同的功能操作权限。例如销售角色只能够操作客户功能,不能够操作微页面、短信功能,可通过功能权限设置销售角色,仅分配客户相关功能。
进入用户管理界面,点击【功能权限】。可查看所有角色及角色所拥有的功能权限。
点击【创建新的角色】,输入角色名称,点击【确定】,一个新的角色即创建完成。
点击角色,可勾选该角色可拥有的功能权限。
勾选完成后,需将页面拉取到最后,点击【保存角色】,角色权限才能够保存成功。
4.数据权限
企业的多个用户一同使用DM Hub时,多个用户之间可能有组织划分,出于数据安全的考虑,企业需要使不同组织部门间的数据相互独立,互不干扰,因此需要DM Hub能支持数据记录级别的数据区隔,也就是数据权限。
通过数据权限功能,企业可以限定用户可访问的数据资源。数据权限主要通过用户所属组织、共享规则和手动共享来实现数据区隔和共享。
需注意:数据权限功能非系统默认功能,需联系客户经理帮助开通才可使用。 建议在系统有数据产生前就打开此功能,否则可能存在之前已创建的数据归属不准确的问题。4.1基础概念说明
数据归属:系统实现数据的区隔,依靠的是为各项数据建立与用户或组织的归属关系,目前系统即使不打开数据权限功能,也会为各类数据记录其归属的用户或组织。因此,只要打开数据权限功能,就可以实现当某项数据归属于某位用户或某组织,则可实现该数据只能被某用户或某组织所查看、修改。系统也支持用户将归属于自己的数据共享给其他用户、用户组、组织
用户:每一位操作使用系统的人都是DM Hub的用户,原则上每个人都应有自己的账号和密码。一套账号密码对于系统来说即一个用户,用户可归属于某个组织,也可归属于多个组织,用户有自己的角色与权限
组织:即企业的组织架构或部门架构,可以将公司的组织结构导入到系统中。组织下是用户,用户归属于组织
用户组:可将不同组织下的用户放在同一个组里,组成一个用户组。用户组主要是为了满足跨组织协作的场景,这时需要将数据共享给某个用户组
公海数据:公海数据是那些没有归属人的数据,一般指那些非用户创建的(或开启数据权限之前,未记录所属关系的数据)数据,比如公众号粉丝创建的客户,通过API接口创建的客户等。
4.2操作说明
4.2.1组织
在开启数据权限功能后,进入【用户管理】可进行组织与用户的设置和管理。
说明:【总部】为系统最高组织,其余所有组织皆为【总部】的子组织,【总部】和【未分配组织】,不可删除,【总部】可修改名称;租户开启数据权限功能后,租户里之前就创建的用户都直接归属于【总部】;一个用户可以属于多个组织。
创建组织:
组织树的层级限制:最多可建5级;组织树的每层节点数限制:100个;每个组织人数限制:50个
1)文件导入组织
点击左侧的【管理】按钮,下载文件模板,参考文件模板完成组织树文件,然后进行上传。
系统也支持导出系统现有的组织树。
2)手工创建组织
点击【总部】,点击【···】中的【新建】按钮或右侧【添加子组织】按钮,新建总部下的子组织。
管理组织:
组织创建完成后,在编辑或邀请用户时,就可以选择该用户属于哪个组织。
可将现有用户移动到组织中。
可删除或修改组织名称。
为了更好地使用数据权限,建议为用户都分配上对应的所属组织,DM Hub支持将一个用户分配到多个组织,如果一个用户属于多个组织,用户在登录DM Hub时,需要选择以哪个组织的身份登录,也就是说用户在租户里的所有操作都能确定是在哪个组织下操作的。
4.2.2用户组
点击【用户组管理】,可查看到所有用户组。
点击【新建用户组】,添加用户组名称与备注,可设置用户组所拥有的角色,点击【确定】创建用户组。名称与备注皆为必填项,设置用户组拥有角色后,添加到用户组的用户则都拥有该角色。用户组最多可创建100个。
创建好用户组后,点击用户组名称,可在用户组内添加用户,每个组内最多可添加50个用户。选中用户可移出群组。
4.2.3数据权限-业务对象数据权限
DM Hub系统中每个业务对象的数据权限是默认关闭的,如果需要打开某个业务对象的数据权限,可以按照“业务对象-模块”找到相关对象,将其设为专有:
- 专有:该数据仅创建者所属的组织,以及该组织的上级组织可见
- 公有读写:该数据所有用户可见,并且可以对数据进行读写
- 公有只读:该数据所有用户可查看,但只有数据归属者,归属组织和组织的上级能编辑
- 针对客户数据量较大的租户(如百万级别),建议客户设置成公有,否则会有计算性能损失,导致一些页面加载较为缓慢
如果将数据设为专有,则只有对该数据有权限的用户才可访问该数据。
例如,用户1属于组织A与组织B,在登录系统时选择进入的是组织A,此时,用户1在系统中创建数据(比如短信或微页面),DM Hub会将当前用户1以及选择的对应组织A作为归属人和归属组织,如果该数据对象(如微页面)设置为专有类型,那么新创建的这个微页面便受数据权限控制,此时该归属组织A的所有用户都可以访问该数据,又由于上级组织默认可以查看下级组织的数据,所以A组织的所有上级组织里的用户也可以访问该数据。而B组织没有该数据权限就不能够访问。
4.2.4数据权限-数据共享设置
如上文所述,用户有组织归属后,其创建的数据会自动生成对应的数据权限,形成组织间数据区隔,但是有些时候,需要跨组织间进行协作,这时就需要数据支持共享。
规则共享
可以通过设定一些规则,实现数据共享。
1)公海数据权限:没有归属人的数据,可设置所有人可访问,或只有部分组织可访问。选择【部分用户可访问】,可限定允许访问的组织。
2)组织权限策略(仅适用于客户对象):可选择某个文本类型的客户属性,作为归属的组织字段,在此属性中传入组织编码,则该客户数据将归属于该组织。
3)规则设置(仅适用于客户对象):可设置一些规则条件,符合条件的客户才能被指定组织查看到。最多可建50个规则
点击【规则设置】,点击【新建规则】。
设置规则名称,关联组织,则符合规则的客户能够选的的组织中的用户查看到。
手动共享
说明:数据对象设置成公有读写后,由于无数据权限限制,因此就不存在手动共享操作。另外客户即使设置成专有,暂时也不支持手动共享。如下图所示,在某条数据(如微页面数据)操作栏可点击权限共享按钮(前提需要该用户在功能权限中获取了该对象的权限共享操作权限),进行数据权限共享,可选择共享给用户,用户组或组织。
另外,该条数据所在的分组以及上一级分组(如果有)都会一并分享给被分享用户、用户组或组织。被分享人如果与分享人不属于同一个组织或不是分享人的上级组织,被分享人无法修改数据所在的分组,也无法再次分享数据。
需注意:被分享人如果是分享人上级组织,那么被分享人可以修改数据所在分组,有可能将分享人分享的数据移动至分享人没有权限的分组中,导致分享人无法看到没有权限的分组。那么分享人可以在全部分组下查看对应内容。
除了具体的内容可共享之外,也支持直接共享内容分组。选择具体的分组,点击【···】按钮,点击【共享】,可将该组内容分享给组织或用户。
需注意:假设,A组织的分组1,被移动到分组2中(但是A组织不可见分组2),则A组织用户将无法看到分组1(可能原因:另外一个可以看到分组1和分组2的B组织将分组移动了)。虽然A组织用户无法看到分组1,但是A组织仍可在全部分组下查看对应内容。
4.2.5数据权限-登录租户可见数据设置
可访问租户数据:当系统设置了数据权限后,一个用户登录租户选择了某个组织后,可看到的数据分为以下两类。管理员可设置用户默认可查看到的数据。
- 当前用户,当前组织和用户所在用户组可访问的数据:包括当前组织可见的数据,也包括其他用户共享给该用户(可能直接共享给该用户,也可能共享给用户所在的用户组,或共享给用户所属的组织)的可见数据
- 仅当前组织可访问的数据:该用户当前所进入组织的所有可见数据(数据归属为该组织与用户)
4.2.6数据权限-其他说明
数据权限的一些其他规则:
- 用户被修改、移到其他组织、或删除,用户之前创建的数据的归属不变
- 客户与存在组织归属的内容进行主动交互(例如扫带参二维码、提交表单等),那么该客户属于该组织
- 总部用户不受数据权限控制,可访问所有数据记录(这里指的是数据权限,如果功能权限不允许访问某些功能,则用户仍旧不可访问)
- 批量删除内容,需要校验,如果用户对其中部分内容只有只读权限,不允许删除
- 用户仅能查看拥有权限的客户标签,例如,客户A有5个标签,a.b.c.d.e,用户A拥有客户A的权限,拥有a.c.e三个标签权限,那么用户A在查看客户A的标签时,仅能看到a.c.e三个标签
5.服务专用用户
当用户使用中遇到问题,通过与客服的沟通无法定位问题,需要客服或实施人员进入企业系统定位问题时,客服或实施人员将向系统申请一个服务专用用户,服务专用用户创建完成后,其信息将显示在此界面。服务专用用户需要租户管理员的激活,才能够登录系统,管理员也可以为服务专用用户设置权限。
点击【用户管理-服务专用用户】,可查看到已经被创建的用户,管理员可激活、修改权限、删除。
6.单点登录
单点登录即可通过一套账号登录多个系统平台,不需在每个系统中建立单独的账号。
DM Hub支持通过Oauth2认证协议的身份认证服务商来实现单点登录,比如Okta。SSO配置完成后,支持使用第三方身份认证服务商提供的用户身份来登录DM Hub。
6.1在DM Hub中设置单点登录
点击导航菜单右上角,进入【用户管理-单点登录】,开启单点登录功能。
点击步骤1的编辑按钮,配置以下基本信息(这些信息需要在第三方身份认证服务商获取):
| 配置项 | 配置说明 |
|---|---|
| Authorization URI | OAuth 2.0协议Authorization Server上/oauth/authorize接口对应的地址 |
| Token URI | OAuth 2.0协议Authorization Server上/oauth/token接口对应的地址 |
| User Info URI | Authorization Server上/userinfo对应的地址 |
| jwkSet URI | 选填,用于从授权服务器(包含用于验证ID令牌的JSON Web签名(JWS)和可选的UserInfo响应)的加密密钥中检索JSON Web密钥(JWK)的URI |
| Scope | 选填,授权请求流程期间客户端请求的范围,如openid,email, 或 profile |
| 用户邮箱对应参数 | DM Hub仅支持邮箱作为SSO的用户名,这里需要指定用户邮箱对应的参数 |
| client-id | OAuth2 Client Id |
| client-secret | OAuth2 Client Secret |
6.2在第三方登录平台中设置
完成以上设置后,紧接着需要将以下信息添加到第三方登录平台的Authorization Callback URL中。 在DM Hub中复制以下信息即可。
完成以上设置后,点击右上角按钮【开始验证】,验证配置是否正确,根据弹窗的操作提示,跳转到第三方登录平台后,登录账号,将回跳到当前界面,并弹窗展示返回的用户信息,如果返回的信息正确,在界面上点击【验证通过】即可。
进入第三方登录平台,输入账号密码,登录。
登录后将跳转会DM Hub页面,如下图所示,成功匹配到用户邮箱字段,并且相关信息获取正确,请点击【验证通过】,表示成功完成相关设置。
6.3通过API向租户添加SSO用户
设置完成后,需通过Open API向租户添加SSO用户,则SSO用户可使用单点登录的方式登入DM Hub租户。
Open API参考pathname:///../api-docs/v2/restapi/user
6.4使用单点登录的方式登入DM Hub
在DM Hub的登录界面,点击【SSO登录(单点登录)】,进行登录。
