É possível conceder aos usuários acesso a partes específicas dos dados de conversa, sem dar acesso ao conjunto de dados inteiro. Esse controle de acesso refinado é possível quando você usa visualizações autorizadas. As recomendações a seguir contêm as práticas recomendadas para implementar o controle de acesso refinado com visualizações autorizadas.
Definir o escopo das visualizações autorizadas
O escopo adequado das visualizações autorizadas garante que os usuários tenham acesso apenas aos dados de que precisam. O escopo das visualizações envolve definir com cuidado os dados que cada visualização autorizada expõe. Uma visualização com escopo adequado limita o acesso apenas aos dados necessários, enquanto uma visualização com escopo inadequado pode expor mais dados do que o pretendido.
- Filtre os dados com cuidado:use a expressão de filtro para definir os dados exatos que cada visualização autorizada deve expor. Verifique se o filtro é específico o suficiente para atender às necessidades do usuário.
- Use
agent_idpara visualizações específicas do agente:ao criar visualizações autorizadas para agentes, use o campoagent_idpara filtrar conversas. Isso garante que cada agente tenha acesso apenas às próprias conversas.- Por exemplo, uma expressão de filtro para um agente chamado Carol seria
agent_id = "agent-carol".
- Por exemplo, uma expressão de filtro para um agente chamado Carol seria
- Use
agent_idpara visualizações específicas de gerentes:ao criar visualizações autorizadas para gerentes, use o campoagent_idpara filtrar conversas das respectivas equipes.- Por exemplo, um gerente responsável pelos agentes Carol e Dave pode usar a expressão de filtro
agent_id = "agent-carol" or agent_id = "agent-dave".
- Por exemplo, um gerente responsável pelos agentes Carol e Dave pode usar a expressão de filtro
- Evite filtros vazios:filtros vazios ou
""permitem acesso irrestrito.
Usar conjuntos de visualizações autorizadas para a organização
Os conjuntos de visualizações autorizadas ajudam a organizar e gerenciar visualizações autorizadas relacionadas. Agrupar visualizações relacionadas em conjuntos simplifica o processo de concessão de acesso a várias visualizações de uma só vez.
Siga estas diretrizes para agrupar suas visualizações autorizadas em conjuntos:
- Agrupar visualizações relacionadas:use conjuntos de visualizações autorizadas para agrupar visualizações autorizadas de papéis relacionados.
- Por exemplo, é possível criar um conjunto de visualizações autorizadas chamado
manager-viewspara agrupar todas as visualizações autorizadas para gerentes.
- Por exemplo, é possível criar um conjunto de visualizações autorizadas chamado
- Conceder acesso no nível do conjunto de visualizações autorizadas:em vez de conceder
papéis em visualizações autorizadas individuais, conceda papéis em conjuntos de visualizações autorizadas.
- Por exemplo, conceda o papel
roles/contactcenterinsights.viewerao conjunto de visualizações autorizadasagent-views, que contém todas as visualizações autorizadas para agentes.
- Por exemplo, conceda o papel
Conceder acesso ao projeto
Conceder acesso ao projeto é um pré-requisito para que os usuários usem o console e interajam com os recursos do projeto.
- Conceda
roles/browsera todos os usuários autorizados:esse papel permite que os usuários vejam o projeto e os recursos dele. Esse é um pré-requisito para usar o console.
Princípio de privilégio mínimo
O princípio de privilégio mínimo é uma prática recomendada de segurança que garante que os usuários tenham apenas as permissões necessárias para realizar as tarefas. Esse princípio ajuda a minimizar o risco de acesso não autorizado a dados e recursos.
Siga estas diretrizes para aplicar o princípio de privilégio mínimo:
- Conceda as permissões mínimas necessárias:conceda apenas as permissões necessárias para que um usuário execute as tarefas dele. Evite conceder acesso muito amplo.
- Usar papéis predefinidos:use
roles/contactcenterinsights.editoreroles/contactcenterinsights.viewerpara conceder permissão no nível do projeto para visualizações autorizadas. Useroles/contactcenterinsights.authorizedEditoreroles/contactcenterinsights.authorizedViewerpara conceder acesso a usuários em visualizações autorizadas específicas. - Evite concessões no nível do projeto para permissões de conjunto de visualizações autorizadas:conceder permissões de conjunto de visualizações autorizadas no nível do projeto resulta no acesso dos usuários a todos os conjuntos de visualizações autorizadas. Em vez disso, conceda essas funções nos conjuntos de visualizações autorizadas específicos.
- Use o princípio de privilégio mínimo ao conceder acesso no nível do projeto
para visualizações autorizadas:conceda apenas as permissões mínimas necessárias para uma
visualização autorizada. As permissões de um usuário não podem exceder as permissões da
visualização autorizada para o projeto. Exemplo: se a visualização autorizada
view-123tiverroles/contactcenterinsights.viewere um usuário tiverroles/contactcenterinsights.authorizedEditoremview-123, ele não poderá editar nada porque as permissões da visualização restringem as permissões finais. - Use o princípio de privilégio mínimo ao conceder acesso a visualizações autorizadas: conceda apenas as permissões mínimas necessárias a visualizações autorizadas.
Por exemplo, se um usuário só precisar ver dados de uma equipe específica, conceda a ele o papel
roles/contactcenterinsights.authorizedViewerno conjunto de vistas autorizadas para essa equipe.- Ao conceder papéis a conjuntos de visualizações autorizadas, você pode gerenciar permissões para várias visualizações de uma só vez. Isso reduz a complexidade do gerenciamento de permissões e garante que os usuários tenham acesso apenas aos dados de que precisam.
- Por exemplo, um gerente pode ter a função
roles/contactcenterinsights.authorizedEditorem uma visualização autorizada definida para a equipe, enquanto um agente pode ter a funçãoroles/contactcenterinsights.authorizedViewerem uma visualização autorizada definida para as próprias conversas.
Usar nomes de exibição descritivos
Nomes de exibição descritivos facilitam a compreensão e o gerenciamento das suas visualizações e conjuntos autorizados. Usar nomes significativos ajuda a identificar rapidamente a finalidade de cada recurso.
Siga estas diretrizes para usar nomes de exibição descritivos:
- Use nomes de exibição significativos:ao criar visualizações e conjuntos de visualizações autorizadas, use nomes de exibição descritivos que indiquem claramente a finalidade da visualização ou do conjunto. Isso facilita a compreensão e o gerenciamento dos recursos.
- Por exemplo, em vez de
view1, use um nome de exibição como Conversas da equipe de gerentes A ou Conversas da agente Carol.
- Por exemplo, em vez de
- Siga uma convenção de nomenclatura consistente:estabeleça uma convenção de nomenclatura consistente para suas visualizações e conjuntos autorizados. Isso vai facilitar a
localização e o gerenciamento dos seus recursos.
- Por exemplo, você pode usar uma convenção como
[Role] - [Team/Agent].
- Por exemplo, você pode usar uma convenção como
Minimizar a quantidade de visualizações por usuário
Minimizar o número de visualizações por usuário ajuda a simplificar o gerenciamento de acesso e garante que os usuários tenham acesso apenas aos dados de que precisam.
- Isolar o acesso do usuário:evite compartilhar visualizações autorizadas entre diferentes usuários. Isso garante que cada usuário tenha acesso apenas aos dados de que precisa.
- Em vez disso, combine expressões de filtro para um único usuário com
ORem uma única visualização autorizada. - Isso reduz a necessidade de um usuário mudar de visualização.
- Em vez disso, combine expressões de filtro para um único usuário com
- Crie visualizações autorizadas exclusivas para cada usuário por função:crie uma visualização autorizada exclusiva para cada função por usuário. Isso garante que cada usuário tenha o nível de acesso adequado.
- Por exemplo, crie uma visualização separada para o acesso de edição de um gerente às conversas e o acesso de visualização às conversas.
Especificar identificadores derivados
Os identificadores derivados ajudam a identificar recursos sem precisar armazenar mapeamentos. Isso pode simplificar o gerenciamento das suas visualizações autorizadas.
- Usar IDs derivados:derive IDs da função e do grupo de conversas. Por exemplo, uma visualização autorizada para uma função de gerente de uma equipe específica pode ter um ID como
manager-team-a. Isso ajuda a identificar o recurso sem precisar armazenar um estado adicional.- Por exemplo, uma visualização autorizada para um gerente chamado Bob, que gerencia a equipe A, pode ter um ID como
manager-bob-team-a. Uma visualização autorizada para um agente chamado Carol pode ter um ID comoagent-carol.
- Por exemplo, uma visualização autorizada para um gerente chamado Bob, que gerencia a equipe A, pode ter um ID como
Revise e atualize as permissões regularmente
A revisão e atualização regular das permissões garante que os usuários tenham o nível de acesso adequado aos dados de que precisam. Isso ajuda a manter a segurança e a compliance.
Siga estas diretrizes para atualizar as permissões:
- Revogue o acesso desnecessário:remova as permissões de usuários que não precisam mais delas.
- Atualizar filtros:atualize as expressões de filtro nas visualizações autorizadas conforme necessário para refletir as mudanças na organização ou nas necessidades comerciais.
Entender as limitações
As visualizações autorizadas têm algumas limitações em relação ao que podem ser usadas. É importante entender essas limitações ao criar sua estratégia de controle de acesso.
As visualizações autorizadas têm as seguintes limitações:
- Não é possível editar ou importar dados de conversas:as visualizações autorizadas não podem ser usadas para editar ou importar dados de conversas.
- Não é possível treinar modelos de tópicos nem criar quadros de pontuação:as visualizações autorizadas não podem ser usadas para treinar modelos de tópicos nem criar quadros de pontuação.