Puedes otorgar a los usuarios acceso a partes específicas de tus datos de conversaciones, sin darles acceso a todo el conjunto de datos. Este control de acceso detallado es posible cuando usas vistas autorizadas. Las siguientes recomendaciones contienen las prácticas recomendadas para implementar el control de acceso detallado con vistas autorizadas.
Cómo definir el alcance de las vistas autorizadas
Delimitar correctamente los permisos de las vistas autorizadas garantiza que los usuarios solo tengan acceso a los datos que necesitan. El alcance de las vistas implica definir cuidadosamente los datos que expone cada vista autorizada. Una vista con el alcance adecuado limita el acceso solo a los datos necesarios, mientras que una vista con un alcance inadecuado podría exponer más datos de los previstos.
- Filtra los datos con cuidado: Usa la expresión de filtro para definir los datos exactos que debe exponer cada vista autorizada. Asegúrate de que el filtro sea lo suficientemente específico para satisfacer las necesidades del usuario.
- Usa
agent_idpara vistas específicas del agente: Cuando crees vistas autorizadas para agentes, usa el campoagent_idpara filtrar conversaciones. Esto garantiza que cada agente solo tenga acceso a sus propias conversaciones.- Por ejemplo, una expresión de filtro para un agente llamado Carol sería
agent_id = "agent-carol".
- Por ejemplo, una expresión de filtro para un agente llamado Carol sería
- Usa
agent_idpara las vistas específicas del administrador: Cuando crees vistas autorizadas para los administradores, usa el campoagent_idpara filtrar las conversaciones de sus respectivos equipos.- Por ejemplo, un administrador responsable de los agentes Carol y Dave podría usar la expresión de filtro
agent_id = "agent-carol" or agent_id = "agent-dave".
- Por ejemplo, un administrador responsable de los agentes Carol y Dave podría usar la expresión de filtro
- Evita los filtros vacíos: Los filtros vacíos o
""permiten el acceso sin restricciones.
Usa conjuntos de vistas autorizadas para la organización
Los conjuntos de vistas autorizadas te ayudan a organizar y administrar las vistas autorizadas relacionadas. Agrupar las vistas relacionadas en conjuntos simplifica el proceso de otorgar acceso a varias vistas a la vez.
Sigue estos lineamientos para agrupar tus vistas autorizadas en conjuntos:
- Agrupa las vistas relacionadas: Usa conjuntos de vistas autorizadas para agrupar las vistas autorizadas de roles relacionados.
- Por ejemplo, puedes crear un conjunto de vistas autorizadas llamado
manager-viewspara agrupar todas las vistas autorizadas para los administradores.
- Por ejemplo, puedes crear un conjunto de vistas autorizadas llamado
- Otorga acceso a través del nivel de conjunto de vistas autorizadas: En lugar de otorgar roles en vistas autorizadas individuales, otórgales en conjuntos de vistas autorizadas.
- Por ejemplo, otorga el rol
roles/contactcenterinsights.vieweral conjunto de vistas autorizadasagent-views, que contiene todas las vistas autorizadas para los agentes.
- Por ejemplo, otorga el rol
Cómo otorgar acceso al proyecto
Otorgar acceso al proyecto es un requisito previo para que los usuarios puedan usar la consola y, además, interactuar con los recursos del proyecto.
- Otorga
roles/browsera todos los usuarios autorizados: Este rol permite que los usuarios vean el proyecto y sus recursos. Este es un requisito previo para usar la consola.
Principio de privilegio mínimo
El principio de privilegio mínimo es una práctica recomendada de seguridad que garantiza que los usuarios solo tengan los permisos necesarios para realizar sus tareas. Este principio ayuda a minimizar el riesgo de acceso no autorizado a los datos y los recursos.
Sigue estos lineamientos para aplicar el principio de privilegio mínimo:
- Otorga los permisos mínimos necesarios: Otorga solo los permisos que necesita un usuario para realizar sus tareas. Evita otorgar acceso demasiado amplio.
- Usa roles predefinidos: Usa
roles/contactcenterinsights.editoryroles/contactcenterinsights.viewerpara otorgar permiso a nivel del proyecto para las vistas autorizadas. Usaroles/contactcenterinsights.authorizedEditoryroles/contactcenterinsights.authorizedViewerpara otorgar acceso a los usuarios en vistas autorizadas específicas a través de esas vistas. - Evita otorgar permisos a nivel del proyecto para los permisos de conjunto de vistas autorizadas: Si otorgas permisos de conjunto de vistas autorizadas a nivel del proyecto, los usuarios tendrán acceso a todos los conjuntos de vistas autorizadas. En su lugar, otorga estos roles en los conjuntos de vistas autorizadas específicos.
- Usa el principio de privilegio mínimo cuando otorgues acceso a nivel del proyecto para las vistas autorizadas: Otorga solo los permisos mínimos necesarios para una vista autorizada. Los permisos de un usuario no pueden exceder los permisos de la vista autorizada para el proyecto. Ejemplo: Si la vista autorizada
view-123tieneroles/contactcenterinsights.viewery un usuario tieneroles/contactcenterinsights.authorizedEditoren la vista autorizadaview-123, el usuario no puede editar nada porque los permisos de la vista restringen los permisos finales. - Usa el principio de privilegio mínimo cuando otorgues acceso a las vistas autorizadas: Otorga solo los permisos mínimos necesarios a las vistas autorizadas.
Por ejemplo, si un usuario solo necesita ver datos de un equipo específico, otórgale el rol de
roles/contactcenterinsights.authorizedVieweren el conjunto de vistas autorizado para ese equipo.- Si otorgas roles a los conjuntos de vistas autorizados, puedes administrar los permisos de varias vistas a la vez. Esto reduce la complejidad de la administración de permisos y garantiza que los usuarios solo tengan acceso a los datos que necesitan.
- Por ejemplo, un administrador puede tener el rol de
roles/contactcenterinsights.authorizedEditoren un conjunto de vistas autorizadas para su equipo, mientras que un agente puede tener el rol deroles/contactcenterinsights.authorizedVieweren un conjunto de vistas autorizadas para sus propias conversaciones.
Usa nombres visibles descriptivos
Los nombres visibles descriptivos facilitan la comprensión y la administración de tus vistas y conjuntos autorizados. Usar nombres significativos ayuda a identificar rápidamente el propósito de cada recurso.
Sigue estos lineamientos para usar nombres visibles descriptivos:
- Usa nombres visibles significativos: Cuando crees vistas autorizadas y conjuntos de vistas autorizadas, usa nombres visibles descriptivos que indiquen claramente el propósito de la vista o el conjunto. Esto facilita la comprensión y la administración de tus recursos.
- Por ejemplo, en lugar de
view1, usa un nombre visible como Conversaciones del equipo de administradores A o Conversaciones de la agente Carolina.
- Por ejemplo, en lugar de
- Sigue una convención de nombres coherente: Establece una convención de nombres coherente para tus vistas y conjuntos autorizados. Esto te facilitará la tarea de encontrar y administrar tus recursos.
- Por ejemplo, podrías usar una convención como
[Role] - [Team/Agent].
- Por ejemplo, podrías usar una convención como
Minimiza la cantidad de vistas por usuario
Minimizar la cantidad de vistas por usuario ayuda a simplificar la administración del acceso y garantiza que los usuarios solo tengan acceso a los datos que necesitan.
- Aísla el acceso de los usuarios: Evita compartir vistas autorizadas entre diferentes usuarios. Esto garantiza que cada usuario solo tenga acceso a los datos que necesita.
- En su lugar, combina las expresiones de filtro para un solo usuario con
ORen una sola vista autorizada. - Esto reduce la necesidad de que el usuario cambie de vista.
- En su lugar, combina las expresiones de filtro para un solo usuario con
- Crea vistas autorizadas únicas para cada usuario por rol: Crea una vista autorizada única para cada rol por usuario. Esto garantiza que cada usuario tenga el nivel de acceso adecuado.
- Por ejemplo, crea una vista separada para el acceso de edición de un administrador a las conversaciones y su acceso de visualización a las conversaciones.
Cómo especificar identificadores derivados
Los identificadores derivados ayudan a identificar recursos sin necesidad de almacenar asignaciones. Esto puede simplificar la administración de tus vistas autorizadas.
- Usa IDs derivados: Deriva IDs del rol y el grupo de conversaciones. Por ejemplo, una vista autorizada para un rol de administrador de un equipo específico podría tener un ID como
manager-team-a. Esto ayuda a identificar el recurso sin tener que almacenar un estado adicional.- Por ejemplo, una vista autorizada para un administrador llamado Bob, que administra el equipo A, podría tener un ID como
manager-bob-team-a. Una vista autorizada para un agente llamado Carlos podría tener un ID comoagent-carol.
- Por ejemplo, una vista autorizada para un administrador llamado Bob, que administra el equipo A, podría tener un ID como
Revisa y actualiza los permisos con regularidad
Revisar y actualizar los permisos con regularidad garantiza que los usuarios tengan el nivel de acceso adecuado a los datos que necesitan. Esto ayuda a mantener la seguridad y el cumplimiento.
Sigue estos lineamientos para actualizar los permisos:
- Revoca el acceso innecesario: Quita los permisos de los usuarios que ya no los necesiten.
- Actualiza los filtros: Actualiza las expresiones de filtro en las vistas autorizadas según sea necesario para reflejar los cambios en la organización o las necesidades comerciales.
Comprende las limitaciones
Las vistas autorizadas tienen ciertas limitaciones en cuanto a para qué se pueden usar. Es importante comprender estas limitaciones cuando diseñes tu estrategia de control de acceso.
Las vistas autorizadas tienen las siguientes limitaciones:
- No se pueden editar ni importar datos de conversaciones: Las vistas autorizadas no se pueden usar para editar ni importar datos de conversaciones.
- No se pueden entrenar modelos de temas ni crear tarjetas de puntuación: Las vistas autorizadas no se pueden usar para entrenar modelos de temas ni crear tarjetas de puntuación.