中文(香港) 的翻譯尚未完成。
Workplace from Meta 將逐步停用。您可在 2025 年 8 月 31 日前繼續使用 Workplace。請前往我們的幫助中心了解詳情。
權限
總覽
作為 Workplace 系統管理員,您可以建立應用程式並向其授予特定權限,進而控制提供給各整合工具的功能。每個應用程式的命名可反映其支援的服務。應用程式擁有專屬的存取憑證和權限,用於控制可讀取或寫入哪些資訊。
本指南會更詳細介紹應用程式和權限模型。
可用權限
每個 Workplace 應用程式均可獲授予一組專屬權限,用於控制應用程式在 Graph API 和帳戶管理 API 可使用的功能級別。
建立應用程式並授予權限時,這些權限會套用至您社群中的每個帳戶。帳戶持有人無需為了使用應用程式的功能,而向應用程式授予額外權限。這與 Facebook 的權限模型不同,後者的每位用戶需要在登入時單獨為各個應用程式授予權限。
下方完整列出了適用於整合工具的應用程式權限,並概述了如何使用這些權限。
| 權限 | 說明 |
|---|---|
讀取群組內容讀取選定群組中的帖子和回應。 read_group | 若要建立整合工具,以從選定群組中擷取所有內容,請使用此權限。 如果整合工具會在群組中用作 BOT(機械人程式),請改用提及 BOT 權限。 |
管理群組內容管理選定群組中的帖子和回應。 write_group | 若要建立整合工具,以向群組發佈內容,例如內部服務週報或服務狀態通知 BOT,請使用此權限。 |
讀取用戶生活時報查看群組成員在生活時報發佈的帖子。 read_user_feed | 若要建立整合工具,以執行下列動作,請使用此權限:
|
管理用戶生活時報在任何群組用戶的生活時報發佈帖子和回應。 write_user_feed | 若要允許整合工具在群組成員的生活時報建立或編輯帖子,請使用此權限。 |
提及 BOT在帖子中被提及時查看帖子並回覆回應。 bot_mention | 若要在 Workplace 群組建立 BOT,請使用此權限。 |
管理群組建立、編輯或移除選定群組及其成員。 manage_group | 若要建立整合工具,以自動產生群組並根據組織結構圖結構或專案群組填入群組成員,請使用此權限。 如果擁有此權限的整合工具僅適用於特定群組,則不可用於建立新群組。 |
管理帳戶透過帳戶管理 API 佈建、更新或註銷帳戶。 manage_accounts | 如果整合工具提供帳戶佈建服務,例如身分識別服務供應商、Active Directory 同步工具或自訂帳戶管理 API 用戶端,請使用此權限。 啟用此權限時,您可以選擇啟用「用戶透過整合功能加入後,立即自動邀請他們使用 Workplace」權限。 |
管理徽章向 Workplace 社群中的用戶頒發徽章。 manage_badges | 若要允許整合工具執行以下動作,請使用此權限:
|
讀取用戶電郵查看任何群組成員的電郵地址。 read_user_email | 您可以透過此權限擷取與 Workplace 用戶帳戶關聯的電郵帳戶。 |
讀取工作用個人檔案對用戶目錄資訊的唯讀權限。 read_user_work_profile | 允許應用程式擷取用戶所在的部門、分部、組織、primary_address、primary_phone、職銜和性別。 |
讀取組織結構圖對用戶上司和下屬的唯讀權限。 read_user_org_chart | 允許應用程式擷取用戶的上司和下屬。 |
向任何成員傳送訊息與任何社群成員互相傳送和接收聊天訊息。 message | 若要在 Work Chat 建立 BOT,請使用此權限。 |
讀取所有訊息讀取任何社群成員傳送的聊天訊息。 read_all_messages | 若要啟用可監察 Workplace Chat 使用情況的合規整合工具,請使用此權限。 |
刪除聊天訊息delete_messages | 若要允許應用程式刪除用戶對話中的聊天訊息(例如為了實施保留政策),請使用此權限。 |
讀取安全性記錄存取安全事件的詳情,包括嘗試登入次數和重設密碼要求。 receive_security_logs | 若要啟用可監察 Workplace Chat 使用情況的合規整合工具,請使用此權限。 |
登出將成員從全部有效連網中登出。 logout | 若要將用戶從 Workplace 登出,請使用此權限。 |
建立連結預覽即時預覽 Workplace 中分享的連結。 link_unfurling | 擁有此權限的應用程式可以針對在 Workplace 中分享的連結產生驗證預覽。 |
管理工作用個人檔案讀取和更新 Workplace 中的工作用個人檔案。 manage_profiles | 擁有此權限的應用程式合併 read_user_work_profile 和 read_user_org_chart 的讀取權限。擁有此權限的應用程式亦可更新帳戶資料(例如名稱、部門、分部、職銜、組織和電話號碼)。 |
佈建用戶帳戶在 Workplace 佈建帳戶。 provision_accounts | 擁有此權限的應用程式可以佈建、註銷和刪除(未認領的)Workplace 帳戶。此權限也允許更新有效、電郵、名稱、hire_date 和受邀成員的欄位。 |
讀取群組成員列出群組成員和用戶所屬的群組。 list_group_members | 擁有此權限的應用程式可以查詢特定群組的成員名單,更可列出用戶所屬的群組。 |
管理知識資料庫內容在知識資料庫中建立、編輯和刪除重要公司資料。 manage_knowledge_library | 擁有此權限的應用程式可以在知識資料庫中建立和修改內容。若要允許整合工具執行以下動作,請使用此權限:
|
讀取知識資料庫內容在知識資料庫中讀取重要公司資料。 read_knowledge_library | 擁有此權限的應用程式可以存取知識資料庫的內容。若要允許整合工具執行以下動作,請使用此權限:
|
匯出員工資料以 CSV 格式匯出現有員工名單及其動態資料。 export_employee_data | 擁有此權限的應用程式可以排定資料匯出任務的時間,以生成列出所有 Workplace 用戶的 CSV 檔案。此 CSV 檔案還包含用戶資料,以及這些用戶最近使用 Workplace 功能的情況。 |
群組聊天 BOT讓 BOT 能在群組聊天中互動。 bot_group_chat | 擁有此權限的應用程式可讓 BOT 在群組聊天中與成員互動。若要允許整合工具建立或管理多人群組聊天,請使用此權限。 此權限根據 |
管理問卷調查建立、更新、刪除和讀取問卷調查設定。 manage_surveys | 擁有此權限的應用程式可以建立、更新、刪除和讀取問卷調查設定。 |
讀取問卷調查讀取問卷調查設定,並接收與問卷調查相關的 Webhook 更新。 read_surveys | 擁有此權限的應用程式可以讀取問卷調查設定,並接收與問卷調查相關的 Webhook 更新。 |
讀取問卷調查讀取問卷調查設定,並接收與問卷調查相關的 Webhook 更新。 read_surveys | 擁有此權限的應用程式可以讀取問卷調查設定,並接收與問卷調查相關的 Webhook 更新。 |
讀取用戶群組讀取用戶群組。 read_people_sets | 擁有此權限的應用程式可以查看動態用戶群組配置,並訂閱有關用戶群組的更新資訊。 |
管理用戶群組管理用戶群組。 manage_people_sets | 擁有此權限的應用程式可以在 Workplace 社群中建立、更新和刪除用戶群組。 |
讀取重要帖子讀取重要帖子。 read_important_posts | 允許整合工具讀取有關重要帖子推廣活動的資訊,包括正在進行中的活動和過期活動。 |
管理重要帖子管理重要帖子。 manage_important_posts | 允許整合工具將群組帖子標記為重要、讓其顯示在動態消息頂部,以及提早停止重要帖子推廣活動。 |
移除個人檔案資料移除已停用用戶的個人資料。 remove_profile_information | 允許整合工具移除 Workplace 已停用用戶的個人檔案欄位,如名稱和大頭貼。 |
群組級別權限
某些權限支援僅針對特定群組啟用整合工具。因此,您可以將整合工具的存取權限範圍限制為您想公開的內容。
舉例來說,您可以允許發佈提醒的整合工具僅在團隊自己的群組中發佈提醒,或者允許員工應用程式整合工具僅讀取特定公開群組的內容。
若要為自訂整合工具指定群組級別權限,請使用「編輯整合工具」對話框中的「群組權限」面板。
群組級別權限適用於以下權限:
- 讀取群組內容:讀取選定群組的帖子、回應和成員個人檔案
- 管理群組內容:管理選定群組的帖子和回應
- 管理群組:編輯或移除選定群組及其成員
您可以配置整合工具,讓群組級別權限能夠套用至所有群組、由系統管理員選擇的特定群組或讓群組管理員決定是否要為其群組啟用。
管理員安裝流程
啟用讓群組管理員決定是否要為其群組啟用後,群組管理員會在管理群組畫面下方看到新的整合工具分頁,並可透過分頁為自己的群組啟用整合工具。
應用程式憑證和使用情形
當您為 Workplace 建立新應用程式時,系統會產生適用於 Graph API、帳戶管理 API 或 Webhooks 的存取憑證。
此存取憑證僅會顯示一次,因此請務必妥善儲存憑證,以便日後在代碼中使用。
Workplace 應用程式憑證永不過期;除非經過手動重設,否則無需重新整理。若您編輯適用於指定應用程式的權限,現有憑證依然有效,無需產生新憑證。
如要讓憑證失效,可以透過編輯應用程式對話框下的重設存取憑證按鈕重設憑證。系統會產生並顯示新憑證,而現有憑證將立即失效。
憑證安全性
存取憑證十分重要,能夠授予在 Workplace 上存取您公司資料的權限。建立應用程式時,請考慮實現整合功能所需的最基本權限,不要授予任何不必要的權限。
儲存憑證或將憑證加入代碼庫時應格外小心,確保不會將憑證分享給非預期的對象。
切勿將正式版存取憑證加入公開代碼庫。
您僅應在自己的伺服器環境中儲存和使用 API 憑證,並須確保這些值不會複製或傳輸到其他地方,例如流動應用程式或網頁瀏覽器用戶端。
若要為整合工具多加一層安全保護,您應新增 IP 允許清單,以限制憑證僅能用於 IP 地址允許清單上的伺服器。
自動移除未使用的權限
如果自訂整合工具在 30 天內未使用特定權限執行呼叫,權限就會移除。若自訂整合工具遇到這種情況一次,系統會提供選項以停止此移除程序。
若已設定有效的 Webhook 訂閱,則透過該訂閱傳送 Webhooks 會計作使用相關權限。
應用程式密鑰證明
Workplace 存取憑證不會過期。自訂整合工具可以要求提供應用程式密鑰證明來多加一層安全保護。啟用「要求應用程式密鑰證明」選項可確保 API 呼叫僅會由伺服器端代碼發起,且在執行 API 呼叫時,系統會要求提供存取憑證外加會過期的應用程式密鑰證明。
若要產生會過期的應用程式密鑰證明,您需要將憑證與 Unix 時戳串連,並用豎線符號 | 分隔,然後將應用程式密鑰作為密鑰,為串連字建立 SHA-256 雜湊。以下是 PHP 的範例:
$appsecret_proof = hash_hmac('sha256', $access_token.'|'.time(), $app_secret); 部分作業系統和程式語言會傳回一個浮點型時戳。在計算應用程式密錀證明之前,請務必將此浮點轉換為整數值。部分程式語言會將雜湊值建立為摘要物件。請務必將雜湊值表示為十六進制物件。
若要使用應用程式密鑰證明執行 API 呼叫,請使用 appsecret_proof 參數、appsecret_time(設定為雜湊應用程式密鑰時使用的時戳)和存取憑證,以傳遞產生的雜湊。
GET https://graph.facebook.com/v2.9/community/groups?
&access_token={access-token}
&appsecret_proof={appsecret_proof}
&appsecret_time={appsecret_time}已設定時戳的應用程式密錀證明會被視為在 5 分鐘後到期,因此建議您在執行每個 Graph API 呼叫時逐個產生新的證明。
使用 Postman 探索 API 功能
Postman 是處理網頁 API 時的常用工具。您可能會覺得使用 Postman 探索 Workplace API 十分方便,但 $appsecret_proof 參數會帶來一些麻煩。此值必須經計算得出,並會在 5 分鐘後過期,因此如果 Postman 能在要求時立即產生值,就能讓整個流程更加簡單方便。事實上,Postman 可以借助預先要求指令碼和參數功能來做到這一點。此指令碼可作為基本框架:
// Add to Postman's Pre-request Script Tab
var access_token = "replace-me";
var app_secret = "replace-me";
var time = (new Date().getTime()/1000|0);
postman.setEnvironmentVariable("access_token", access_token)
postman.setEnvironmentVariable("appsecret_time", time);
postman.setEnvironmentVariable("appsecret_proof", CryptoJS.HmacSHA256(access_token + '|' + time, app_secret));