Best practice per controllo dell'accesso granulare

Puoi concedere agli utenti l'accesso a parti specifiche dei dati delle conversazioni, senza concedere loro l'accesso all'intero set di dati. Questo controllo dell'accesso granulare è possibile quando utilizzi le viste autorizzate. I seguenti consigli contengono le best practice per l'implementazione del controllo dell'accesso granulare con le viste autorizzate.

Visualizzazioni autorizzate con ambito

Definire correttamente l'ambito delle visualizzazioni autorizzate garantisce che gli utenti abbiano accesso solo ai dati di cui hanno bisogno. La definizione dell'ambito delle visualizzazioni comporta la definizione accurata dei dati che ogni visualizzazione autorizzata espone. Una vista con ambito definito correttamente limita l'accesso solo ai dati necessari, mentre una vista con ambito definito in modo errato potrebbe esporre più dati del previsto.

• Filtra i dati con attenzione:utilizza l'espressione di filtro per definire i dati esatti che ogni vista autorizzata deve esporre. Assicurati che il filtro sia sufficientemente specifico per soddisfare le esigenze dell'utente.
• Utilizza agent_id per visualizzazioni specifiche per gli agenti:quando crei viste autorizzate per gli agenti, utilizza il campo agent_id per filtrare le conversazioni. In questo modo ogni agente ha accesso solo alle proprie conversazioni.
  • Ad esempio, un'espressione di filtro per un agente di nome Carol sarebbe agent_id = "agent-carol".
• Utilizza agent_id per le visualizzazioni specifiche per i manager:quando crei visualizzazioni autorizzate per i manager, utilizza il campo agent_id per filtrare le conversazioni per i rispettivi team.
  • Ad esempio, un manager responsabile degli agenti Carol e Dave potrebbe utilizzare l'espressione di filtro agent_id = "agent-carol" or agent_id = "agent-dave".
• Evita filtri vuoti:i filtri vuoti o "" consentono l'accesso senza restrizioni.

Utilizzare i set di visualizzazione autorizzati per l'organizzazione

I set di viste autorizzate ti aiutano a organizzare e gestire le viste autorizzate correlate. Il raggruppamento delle viste correlate in set semplifica la procedura di concessione dell'accesso a più viste contemporaneamente.

Segui queste linee guida per raggruppare le visualizzazioni autorizzate in set:

• Raggruppa le visualizzazioni correlate:utilizza i set di visualizzazioni autorizzate per raggruppare le visualizzazioni autorizzate per i ruoli correlati.
  • Ad esempio, puoi creare un insieme di viste autorizzate chiamato manager-views per raggruppare tutte le viste autorizzate per i gestori.
• Concedi l'accesso a livello di set di viste autorizzate:anziché concedere ruoli per singole viste autorizzate, concedi ruoli per set di viste autorizzate.
  • Ad esempio, concedi il ruolo roles/contactcenterinsights.viewer al set di viste autorizzate agent-views, che contiene tutte le viste autorizzate per gli agenti.

Concedi l'accesso al progetto

La concessione dell'accesso al progetto è un prerequisito per consentire agli utenti di utilizzare la console e interagire con le risorse del progetto.

• Concedi roles/browser a tutti gli utenti autorizzati: questo ruolo consente agli utenti di visualizzare il progetto e le relative risorse. Questo è un prerequisito per l'utilizzo della console.

Principio del privilegio minimo

Il principio del privilegio minimo è una best practice per la sicurezza che garantisce che gli utenti dispongano solo delle autorizzazioni necessarie per svolgere le proprie attività. Questo principio contribuisce a ridurre al minimo il rischio di accesso non autorizzato a dati e risorse.

Segui queste linee guida per applicare il principio del privilegio minimo:

• Concedi le autorizzazioni minime necessarie: concedi solo le autorizzazioni necessarie a un utente per svolgere le sue attività. Evita di concedere un accesso troppo ampio.
• Utilizza i ruoli predefiniti:utilizza roles/contactcenterinsights.editor e roles/contactcenterinsights.viewer per concedere l'autorizzazione a livello di progetto per le viste autorizzate. Utilizza roles/contactcenterinsights.authorizedEditor e roles/contactcenterinsights.authorizedViewer per gli utenti di visualizzazioni autorizzate specifiche per concedere loro l'accesso tramite queste visualizzazioni.
• Evita le concessioni a livello di progetto per le autorizzazioni del set di visualizzazione autorizzata: la concessione delle autorizzazioni del set di visualizzazione autorizzata a livello di progetto comporta l'accesso degli utenti a tutti i set di visualizzazione autorizzata. Concedi invece questi ruoli nei set di visualizzazioni autorizzate specifici.
• Utilizza il principio del privilegio minimo quando concedi l'accesso a livello di progetto per le visualizzazioni autorizzate: concedi solo le autorizzazioni minime necessarie per una visualizzazione autorizzata. Le autorizzazioni di un utente non possono superare quelle della visualizzazione autorizzata del progetto. Esempio: se la vista autorizzata view-123 ha roles/contactcenterinsights.viewer e un utente ha roles/contactcenterinsights.authorizedEditor nella vista autorizzata view-123, l'utente non può modificare nulla perché le autorizzazioni della vista limitano le autorizzazioni finali.
• Utilizza il principio del privilegio minimo quando concedi l'accesso alle viste autorizzate: concedi solo le autorizzazioni minime necessarie alle viste autorizzate. Ad esempio, se un utente deve visualizzare solo i dati di un team specifico, concedigli il ruolo roles/contactcenterinsights.authorizedViewer nel set di viste autorizzate per quel team.
  • Assegnando ruoli a set di visualizzazioni autorizzati, puoi gestire le autorizzazioni per più visualizzazioni contemporaneamente. In questo modo si riduce la complessità della gestione delle autorizzazioni e si garantisce che gli utenti abbiano accesso solo ai dati di cui hanno bisogno.
  • Ad esempio, un manager potrebbe avere il ruolo roles/contactcenterinsights.authorizedEditor in una visualizzazione autorizzata impostata per il suo team, mentre un agente potrebbe avere il ruolo roles/contactcenterinsights.authorizedViewer in una visualizzazione autorizzata impostata per le proprie conversazioni.

Utilizza nomi visualizzati descrittivi

I nomi visualizzati descrittivi semplificano la comprensione e la gestione delle visualizzazioni e dei set autorizzati. L'utilizzo di nomi significativi aiuta a identificare rapidamente lo scopo di ogni risorsa.

Segui queste linee guida per utilizzare nomi visualizzati descrittivi:

• Utilizza nomi visualizzati significativi: quando crei visualizzazioni autorizzate e set di visualizzazioni autorizzate, utilizza nomi visualizzati descrittivi che indichino chiaramente lo scopo della visualizzazione o del set. In questo modo è più facile comprendere e gestire le risorse.
  • Ad esempio, anziché view1, utilizza un nome visualizzato come Conversazioni del team di gestione A o Conversazioni dell'agente Carla.
• Segui una convenzione di denominazione coerente: stabilisci una convenzione di denominazione coerente per le visualizzazioni e i set autorizzati. In questo modo sarà più facile trovare e gestire le risorse.
  • Ad esempio, potresti utilizzare una convenzione come [Role] - [Team/Agent].

Ridurre al minimo il numero di visualizzazioni per utente

Ridurre al minimo il numero di visualizzazioni per utente semplifica la gestione dell'accesso e garantisce che gli utenti abbiano accesso solo ai dati di cui hanno bisogno.

• Isola l'accesso degli utenti:evita di condividere le visualizzazioni autorizzate tra utenti diversi. In questo modo, ogni utente ha accesso solo ai dati di cui ha bisogno.
  • Combina invece le espressioni di filtro per un singolo utente con OR in una singola visualizzazione autorizzata.
  • In questo modo, l'utente non deve cambiare visualizzazione.
• Crea viste autorizzate uniche per ogni utente per ruolo: crea una vista autorizzata unica per ogni ruolo per utente. In questo modo, ogni utente dispone del livello di accesso appropriato.
  • Ad esempio, crea una visualizzazione separata per l'accesso in modifica alle conversazioni di un manager e per l'accesso in visualizzazione alle conversazioni.

Specificare gli identificatori derivati

Gli identificatori derivati aiutano a identificare le risorse senza dover memorizzare le mappature. In questo modo, la gestione delle visualizzazioni autorizzate può essere semplificata.

• Utilizza ID derivati: deriva gli ID dal ruolo e dal gruppo di conversazioni. Ad esempio, una visualizzazione autorizzata per un ruolo di manager per un team specifico potrebbe avere un ID come manager-team-a. In questo modo è più facile identificare la risorsa senza dover memorizzare uno stato aggiuntivo.
  • Ad esempio, una visualizzazione autorizzata per un manager di nome Bruno, che gestisce il team A, potrebbe avere un ID come manager-bob-team-a. Una vista autorizzata per un agente di nome Carol potrebbe avere un ID come agent-carol.

Rivedi e aggiorna regolarmente le autorizzazioni

La revisione e l'aggiornamento regolari delle autorizzazioni garantiscono che gli utenti dispongano del livello di accesso appropriato ai dati di cui hanno bisogno. Ciò contribuisce a mantenere la sicurezza e la conformità.

Segui queste linee guida per aggiornare le autorizzazioni:

• Revoca l'accesso non necessario:rimuovi le autorizzazioni degli utenti che non le richiedono più.
• Aggiorna i filtri: aggiorna le espressioni dei filtri nelle viste autorizzate in base alle necessità per riflettere le modifiche apportate all'organizzazione o alle esigenze aziendali.

Informazioni sulle limitazioni

Le viste autorizzate presentano alcune limitazioni in termini di utilizzo. È importante comprendere queste limitazioni quando si progetta la strategia di controllo dell'accesso.

Le visualizzazioni autorizzate presentano le seguenti limitazioni:

• Impossibile modificare o importare i dati delle conversazioni: le visualizzazioni autorizzate non possono essere utilizzate per modificare o importare i dati delle conversazioni.
• Impossibile addestrare modelli di argomenti o creare prospetti: le visualizzazioni autorizzate non possono essere utilizzate per addestrare modelli di argomenti o creare prospetti.