Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wenden Sie die hierarchiebasierte Zugriffskontrolle in Connect Customer an
Sie können den Zugriff auf Kontakte auf der Grundlage der Kundendienstmitarbeiterhierarchie einschränken, die einem Benutzer zugewiesen ist. Dazu verwenden Sie Sicherheitsprofilberechtigungen wie Beschränken des Kontaktzugriffs. Zusätzlich zu diesen Berechtigungen können Sie auch Hierarchien verwenden, um detaillierte Zugriffskontrollen für Ressourcen wie Benutzer zu erzwingen, sowie Tags verwenden.
In diesem Thema finden Sie Informationen zur Konfiguration hierarchiebasierter Zugriffskontrollen.
Inhalt
-Übersicht
Hierarchy-based Mit der Zugriffskontrolle können Sie den detaillierten Zugriff auf bestimmte Ressourcen auf der Grundlage der Agentenhierarchie konfigurieren, die einem Benutzer zugewiesen ist. Sie können hierarchiebasierte Zugriffskontrollen über die API/SDK oder die Connect Customer Admin-Website konfigurieren.
Die einzige Ressource, die hierarchiebasierte Zugriffskontrolle unterstützt, sind Benutzer. Dieses Autorisierungsmodell arbeitet mit Tag-basierter Zugriffskontrolle, sodass Sie den Zugriff auf Benutzer einschränken können, indem sie nur andere Benutzer sehen können, die zur selben Hierarchiegruppe gehören und denen bestimmte Tags zugeordnet wurden.
Anmerkung
Nachdem Sie die hierarchiebasierte Zugriffskontrolle auf Benutzer angewendet haben, können diese Benutzer auf ihre Hierarchiegruppe und alle ihre untergeordneten Elemente (über die direkte untergeordnete Ebene hinaus) zugreifen.
Wenden Sie die hierarchiebasierte Zugriffskontrolle an, indem Sie API/SDK
Um den Zugriff auf Ressourcen in Ihren AWS Konten mithilfe von Hierarchien zu steuern, müssen Sie die Informationen zur Hierarchie im Bedingungselement einer IAM-Richtlinie angeben. Um beispielsweise den Zugriff auf einen Benutzer zu kontrollieren, der zu einer bestimmten Hierarchie gehört, verwenden Sie den connect:HierarchyGroupL3Id/hierarchyGroupId Bedingungsschlüssel zusammen mit einem bestimmten Operator, StringEquals um anzugeben, zu welcher Hierarchiegruppe der Benutzer gehören muss, um bestimmte Aktionen für ihn zuzulassen.
Nachfolgend sind die unterstützten Bedingungsschlüssel aufgeführt:
-
connect:HierarchyGroupL1Id/hierarchyGroupId -
connect:HierarchyGroupL2Id/hierarchyGroupId -
connect:HierarchyGroupL3Id/hierarchyGroupId -
connect:HierarchyGroupL4Id/hierarchyGroupId -
connect:HierarchyGroupL5Id/hierarchyGroupId
Jeder Schlüssel steht für die ID einer bestimmten Hierarchiegruppe auf einer bestimmten Ebene der Hierarchiestruktur des Benutzers.
Wenden Sie die hierarchiebasierte Zugriffskontrolle an, indem Sie Connect Customer Admin-Website
Um den Zugriff auf Ressourcen auf der Connect Customer Admin-Website mithilfe von Hierarchien zu steuern, konfigurieren Sie den Bereich für die Zugriffskontrolle innerhalb eines bestimmten Sicherheitsprofils.
Wenn Sie beispielsweise eine detaillierte Zugriffskontrolle für einen bestimmten Benutzer auf der Grundlage der Hierarchie, zu der er gehört, aktivieren möchten, konfigurieren Sie den Benutzer als zugriffskontrollierte Ressource. Dazu haben Sie die beiden folgenden Möglichkeiten:
-
Erzwingen einer hierarchiebasierten Zugriffskontrolle auf der Grundlage der Hierarchie des Benutzers
Diese Option stellt sicher, dass der Benutzer, dem Zugriff gewährt wird, nur Benutzer verwalten kann, die zu dieser Hierarchie gehören. Wenn Sie diese Konfiguration beispielsweise für einen bestimmten Benutzer aktivieren, kann er andere Benutzer verwalten, die entweder zu seiner Hierarchiegruppe oder einer untergeordneten Hierarchiegruppe gehören.
-
Erzwingen einer hierarchiebasierte Zugriffskontrolle auf der Grundlage einer bestimmten Hierarchie
Diese Option stellt sicher, dass der Benutzer, dem Zugriff gewährt wird, nur Benutzer verwalten kann, die zu der Hierarchie gehören, die im Sicherheitsprofil definiert wurde. Wenn Sie diese Konfiguration beispielsweise für einen bestimmten Benutzer aktivieren, kann er andere Benutzer verwalten, die entweder zu der Hierarchiegruppe, die im Sicherheitsprofil angegeben ist, oder einer untergeordneten Hierarchiegruppe gehören.
Einschränkungen der Konfiguration
Die detaillierte Zugriffskontrolle wird in einem Sicherheitsprofil konfiguriert. Benutzern können maximal zwei Sicherheitsprofile zugewiesen werden, die eine detaillierte Zugriffskontrolle erzwingen. In diesem Fall werden die Berechtigungen weniger restriktiv und dienen als Vereinigung beider Berechtigungssätze.
Wenn beispielsweise ein Sicherheitsprofil eine hierarchiebasierte Zugriffskontrolle und ein anderes Sicherheitsprofil eine Tag-basierte Zugriffskontrolle erzwingt, kann der Benutzer jeden Benutzer verwalten, der zur selben Hierarchie gehört oder mit dem angegebenen Tag gekennzeichnet ist. Wenn sowohl die Tag-basierte als auch die hierarchiebasierte Zugriffskontrolle als Teil desselben Sicherheitsprofils konfiguriert sind, müssen beide Bedingungen erfüllt sein. In diesem Fall kann der Benutzer nur Benutzer verwalten, die zur selben Hierarchie gehören und mit einem bestimmten Tag gekennzeichnet sind.
Ein Benutzer kann mehr als zwei Sicherheitsprofile besitzen, sofern diese zusätzlichen Sicherheitsprofile keine detaillierte Zugriffskontrolle erzwingen. Wenn mehrere Sicherheitsprofile mit sich überschneidenden Ressourcenberechtigungen vorhanden sind, wird das Sicherheitsprofil ohne hierarchiebasierte Zugriffskontrolle vor dem Sicherheitsprofil mit hierarchiebasierter Zugriffskontrolle durchgesetzt.
Für die Konfiguration der hierarchiebasierten Zugriffskontrolle sind dienstverknüpfte Rollen erforderlich. Wenn Ihre Instanz nach Oktober 2018 erstellt wurde, ist dies standardmäßig mit Ihrer Connect Customer-Instanz verfügbar. Wenn Sie jedoch über eine ältere Instanz verfügen, finden Sie unter Verwenden von serviceverknüpften Rollen für Connect Customer Anweisungen zum Aktivieren von serviceverknüpften Rollen.
Bewährte Methoden für die Anwendung hierarchiebasierter Zugriffskontrollen
-
Sehen Sie sich das AWS -Modell der geteilten Verantwortung
an. Die Anwendung der hierarchiebasierten Zugriffskontrolle ist eine erweiterte Konfigurationsfunktion, die von Connect Customer unterstützt wird und dem Modell der AWS gemeinsamen Verantwortung folgt. Es ist wichtig sicherzustellen, dass Sie Ihre Instance korrekt konfigurieren, damit sie Ihren gewünschten Autorisierungsanforderungen entspricht.
-
Vergewissern Sie sich, dass mindestens view-Berechtigungen für die Ressourcen aktiviert sind, für die Sie die hierarchiebasierte Zugriffskontrolle aktivieren.
Dadurch wird sichergestellt, dass Sie Inkonsistenzen bei den Berechtigungen vermeiden, die zu abgelehnten Zugriffsanfragen führen. Hierarchy-based Zugriffskontrollen sind auf Ressourcenebene aktiviert, was bedeutet, dass jede Ressource unabhängig eingeschränkt werden kann.
-
Überprüfen Sie sorgfältig die Berechtigungen, die gewährt werden, wenn die hierarchische Zugriffskontrolle durchgesetzt wird.
Durch die Aktivierung von Sicherheitsprofilen mit hierarchiebeschränktem Zugriff auf Benutzer und view/edit Berechtigungen würde ein Benutzer beispielsweise Zugriff auf create/update ein Sicherheitsprofil mit Rechten erhalten, die die vorgesehenen Einstellungen für die Benutzerzugriffskontrolle ersetzen.
-
Wenn Benutzer bei der Connect Customer-Konsole angemeldet sind und hierarchiebasierte Zugriffskontrollen angewendet wurden, können sie nicht auf historische Änderungsprotokolle für die Ressourcen zugreifen, auf die sie beschränkt sind.
-
Wenn Sie versuchen, einer übergeordneten Ressource eine untergeordnete Ressource zuzuweisen, und die übergeordnete Ressource über eine hierarchiebasierte Zugriffskontrolle für die untergeordnete Ressource verfügt, wird der Vorgang verweigert, falls die untergeordnete Ressource nicht zu Ihrer Hierarchie gehört.
Versuchen Sie beispielsweise, einen Benutzer einer Schnellverbindung zuzuweisen, Sie aber keinen Zugriff auf die Hierarchie des Benutzers haben, schlägt der Vorgang fehl. Dies gilt jedoch nicht für die Aufhebung von Zuordnungen. Sie können die Zuordnung eines Benutzers auch bei erzwungener hierarchiebasierter Zugriffskontrolle nach Belieben aufheben, vorausgesetzt, Sie haben Zugriff auf die Schnellverbindung. Das liegt daran, dass bei der Aufhebung von Zuordnungen eine bestehende Beziehung (im Gegensatz zu neuen Zuordnungen) zwischen zwei Ressourcen verworfen wird. Diese Beziehung wird als Teil der übergeordneten Ressource (in diesem Fall der Schnellverbindung) modelliert, auf die der Benutzer bereits Zugriff hat.
-
-
Überlegen Sie genau, welche Berechtigungen Sie für übergeordnete Ressourcen gewähren, da die Zuordnung von Benutzern ohne Wissen ihres Supervisors aufgehoben werden könnte.
-
Deaktivieren Sie den Zugriff auf die folgenden Funktionen, wenn Sie hierarchiebasierte Zugriffskontrollen auf der Admin-Website anwenden. Connect Customer
Funktionalität Sicherheitsprofilberechtigung, die den Zugriff deaktiviert Kontaktsuche Kontaktsuche – Anzeigen Login/Login unser Bericht Login/Login unser Bericht — Ansehen Regeln Regeln – Anzeigen Gespeicherte Berichte Gespeicherte Berichte – Anzeigen Agent Hierarchy (Kundendienstmitarbeiterhierarchie) Kundendienstmitarbeiterhierarchie – Anzeigen Flow/Flow Modul Flow-Module – Ansicht Planung Zeitplanmanager – Ansicht Wenn Sie den Zugriff auf diese Ressourcen nicht deaktivieren, wird Benutzern mit hierarchiebasierten Zugriffskontrollen für eine bestimmte Ressource, die diese Seiten auf der Connect Customer Admin-Website aufrufen, möglicherweise eine uneingeschränkte Benutzerliste angezeigt. Weitere Informationen zur Verwaltung von Berechtigungen finden Sie unter Liste der Sicherheitsprofilberechtigungen.
