Workplace

Berechtigungen

Übersicht

Als Workplace-Systemadministrator kannst du die Fähigkeiten steuern, die für jede Integration zur Verfügung stehen, indem du Apps erstellst und diesen bestimmte Berechtigungen gewährst. Jede App kann nach dem Dienst benannt werden, den sie unterstützt. Apps verfügen über eindeutige Zugriffstoken und Berechtigungen, mit denen die Art von Informationen gesteuert wird, die von dieser App gelesen oder geschrieben werden dürfen.

In diesem Leitfaden werden das App- und das Berechtigungsmodell detailliert beschrieben.

Die Berechtigungssteuerelemente beim Bearbeiten einer App für benutzerdefinierte Integrationen

Verfügbare Berechtigungen

Jeder Workplace-App kann ein eigener Satz von Berechtigungen gewährt werden, um den Funktionsumfang der App für die Graph API und Account Management API zu steuern.

Wenn du eine Anwendung erstellst und Berechtigungen erteilst, werden diese Berechtigungen auf jedes Konto in deiner Community angewendet. Kontoinhaber müssen der App keine zusätzlichen Berechtigungen erteilen, um ihre Funktionen nutzen zu können. Dies unterscheidet sich von dem Berechtigungsmodell auf Facebook, bei dem jeder Nutzer einer App bei der Anmeldung einzeln Berechtigungen erteilt.

Es folgt eine ausführliche Liste der App-Berechtigungen, die für Integrationen zur Verfügung stehen, zusammen mit einer Beschreibung der Verwendungsmöglichkeiten.

BerechtigungBeschreibung

Gruppeninhalte lesen

Beiträge und Kommentare in ausgewählten Gruppen lesen

read_group

Verwende diese Berechtigung, wenn du eine Integration erstellst, die alle Inhalte aus ausgewählten Gruppen abruft.

Wenn deine Integration als Bot in einer Gruppe agieren soll, verwende stattdessen die Berechtigung Mention-Bot.

Gruppeninhalte verwalten

Beiträge und Kommentare in ausgewählten Gruppen verwalten

write_group

Verwende diese Berechtigung, wenn du eine Integration erstellst, die Inhalte an Gruppen sendet, z. B. einen Wochenbericht eines internen Dienstes oder einen Bot zur Benachrichtigung über den Dienststatus.

Nutzer-Chronik lesen

Beiträge sehen, die von Gruppenmitgliedern in ihrer Chronik veröffentlicht wurden

read_user_feed

Verwende diese Berechtigung, wenn du eine Integration erstellst, die Folgendes macht:

  • Alle Inhalte aus der Chronik eines Gruppenmitglieds abrufen
  • Änderungen im Statusfeld im Profil eines Nutzers abonnieren

Nutzer-Chronik verwalten

In der Chronik jedes Gruppenmitglieds posten und kommentieren

write_user_feed

Verwende diese Berechtigung, um eine Integration zum Erstellen oder Bearbeiten eines Beitrags in der Chronik eines Gruppenmitglieds zu aktivieren.

Mention-Bot

Den Beitrag anzeigen und auf Kommentare antworten, wenn du in einem Beitrag erwähnt wurdest

bot_mention

Verwende diese Berechtigung zum Erstellen von Bots in Workplace-Gruppen.

Gruppen verwalten

Ausgewählte Gruppen und deren Mitglieder erstellen, bearbeiten oder entfernen

manage_group

Verwende diese Berechtigung, wenn du eine Integration erstellst, die automatisch Gruppen generiert und Gruppenmitglieder auf der Grundlage von Organigrammstrukturen oder Projektgruppen auffüllt.

Wenn eine Integration mit dieser Berechtigung auf bestimmte Gruppen beschränkt ist, kann sie keine neuen Gruppen erstellen.

Konten verwalten

Konten über die Account Management API bereitstellen, aktualisieren oder deaktivieren

manage_accounts

Verwende diese Berechtigung für alle Integrationen mit einem Kontobereitstellungsdienst wie Identitätsanbieter, das Active Directory-Synchronisierungstool oder ein benutzerdefinierter Account Management API-Client.

Wenn du diese Berechtigung aktivierst, hast du die Möglichkeit, die Berechtigung „Automatically invite people to Workplace as soon as they're added using this integration“ (Personen automatisch zu Workplace einladen, wenn sie über diese Integration hinzugefügt werden) zu aktivieren.

Abzeichen verwalten

An Personen in einer Workplace-Commuity Abzeichen vergeben

manage_badges

Verwende diese Berechtigung, um eine Integration zu aktivieren, die Folgendes ermöglicht:

  • Abzeichen an ein Mitglied vergeben
  • Die Liste der Abzeichen abrufen, die an ein Mitglied vergeben wurden
  • Die Liste verfügbarer Abzeichen abrufen

Nutzer-E-Mail-Adresse lesen

Die E-Mail-Adresse jedes Gruppenmitglieds anzeigen

read_user_email

Mit dieser Berechtigung kannst du das E-Mail-Konto abrufen, das mit dem Konto eines Workplace-Nutzers verknüpft ist.

Arbeitsprofil lesen

Schreibgeschützter Zugriff auf Verzeichnisinformationen von Personen

read_user_work_profile

Damit kann eine App die Abteilung, den Bereich, die Organisation, die primäre Adresse, die primäre Telefonnummer, den Titel und das Geschlecht von Personen abrufen.

Organigramm lesen

Schreibgeschützter Zugriff auf die Vorgesetzten und Mitarbeiter von Personen

read_user_org_chart

Damit kann eine App den/die Vorgesetzten und den/die Mitarbeiter von Personen abrufen.

Jedem Mitglied eine Nachricht senden

Chat-Nachrichten an jedes Mitglied deiner Community senden und von jedem Mitglied deiner Community empfangen

message

Verwende diese Berechtigung zum Erstellen von Bots in Workplace Chat.

Alle Nachrichten lesen

Chat-Nachrichten von jedem Mitglied deiner Community lesen

read_all_messages

Mit dieser Berechtigung kannst du eine Compliance-Integration aktivieren, welche die Nutzung von Workplace Chat überwacht.

Alle Chat-Nachrichten löschen

delete_messages

Verwende diese Berechtigung, um es einer App zu ermöglichen, Chat-Nachrichten aus Unterhaltungen einer Person zu löschen, z. B. um eine Aufbewahrungsrichtlinie zu implementieren.

Sicherheitsprotokolle lesen

Rufe Details von Sicherheits-Events auf, z. B. Anmeldeversuche und Anfragen zum Zurücksetzen des Passworts.

receive_security_logs

Mit dieser Berechtigung kannst du eine Compliance-Integration aktivieren, welche die Nutzung von Workplace Chat überwacht.

Abmeldung

Mitglieder von allen aktiven Sitzungen abmelden

logout

Verwende diese Berechtigung, um einen Nutzer von Workplace abzumelden.

Link-Vorschauen erstellen

Detaillierte Vorschauen für Links, die in Workplace geteilt werden

link_unfurling

Apps mit dieser Berechtigung können authentifizierte Vorschauen für Links erstellen, die in Workplace geteilt werden.

Arbeitsprofile verwalten

Arbeitsprofile in Workplace lesen und aktualisieren

manage_profiles

Apps mit dieser Berechtigung kombinieren die Leseberechtigungen read_user_work_profile und read_user_org_chart. Apps mit dieser Berechtigung können auch Kontoinformationen aktualisieren (z. B. Name, Abteilung, Bereich, Titel, Organisation, Telefonnummern).

Nutzerkonten bereitstellen

Konten in Workplace bereitstellen

provision_accounts

Apps mit dieser Berechtigung können Workplace-Konten bereitstellen, deaktivieren und (nicht beanspruchte) Konten löschen. Diese Berechtigung erlaubt auch Aktualisierungen der Felder „Aktiv“, „E-Mail-Adresse“, „Name“, „Einstellungsdatum“ und „Eingeladenes Mitglied“.

Gruppenmitgliedschaft lesen

Die Mitglieder einer Gruppe und die Gruppen auflisten, in denen ein Nutzer Mitglied ist

list_group_members

Apps mit dieser Berechtigung können die Liste der Mitglieder einer bestimmten Gruppe abfragen Außerdem ist es möglich, die Gruppen aufzulisten, in denen ein Nutzer Mitglied ist.

Inhalte der Wissensdatenbank verwalten

Wichtige Unternehmensinformationen in der Wissensdatenbank erstellen, bearbeiten und löschen

manage_knowledge_library

Apps mit dieser Berechtigung können Inhalte in der Wissensdatenbank erstellen und ändern. Verwende diese Berechtigung, um eine Integration zu aktivieren, die Folgendes ermöglicht:

  • Eine Kategorie erstellen/aktualisieren/löschen
  • Unterkategorien in einer Kategorie erstellen
  • Fotos/Videos/Dateien in einer Kategorie aktualisieren
  • Einen Quicklink erstellen/aktualisieren/löschen

Inhalte der Wissensdatenbank lesen

Wichtige Unternehmensinformationen in der Wissensdatenbank lesen

read_knowledge_library

Apps mit dieser Berechtigung können auf Inhalte in der Wissensdatenbank zugreifen. Verwende diese Berechtigung, um eine Integration zu aktivieren, die Folgendes ermöglicht:

  • Liste der Kategorien abrufen
  • Inhalte für eine bestimmte Kategorie abrufen
  • Liste der Quicklinks abrufen

Mitarbeiterdaten exportieren

Die Liste der aktuellen Mitarbeiter und deren Aktivitätsdaten im CSV-Format exportieren

export_employee_data

Apps mit dieser Berechtigung können einen Datenexport-Job planen, der eine CSV-Datei mit allen Workplace-Nutzern erzeugt. Die CSV-Datei enthält auch Daten über den Nutzer sowie Informationen über zuletzt verwendete Workplace-Funktionen.

Gruppenchat-Bot

Bots für die Interaktion im Gruppenchat aktivieren

bot_group_chat

Apps mit dieser Berechtigung ermöglichen die Interaktion mit Mitgliedern in einem Gruppenchat. Verwende diese Berechtigung, um eine Integration zum Erstellen oder Verwalten eines Gruppenchats mit mehreren Personen zu aktivieren.

Für diese Berechtigung wird die Berechtigung message benötigt.

Umfragen verwalten

Umfragekonfigurationen erstellen, aktualisieren, löschen und lesen

manage_surveys

Apps mit dieser Berechtigung können Umfragekonfigurationen erstellen, aktualisieren, löschen und lesen.

Umfragen lesen

Umfragekonfigurationen lesen und Webhook-Updates zu Umfragen erhalten

read_surveys

Apps mit dieser Berechtigung können Umfragekonfigurationen lesen und Webhook-Updates zu Umfragen erhalten.

Umfragen lesen

Umfragekonfigurationen lesen und Webhook-Updates zu Umfragen erhalten

read_surveys

Apps mit dieser Berechtigung können Umfragekonfigurationen lesen und Webhook-Updates zu Umfragen erhalten.

Personen-Sets lesen

Personen-Sets

read_people_sets

Apps mit dieser Berechtigung können dynamische Personen-Set-Konfigurationen anzeigen und Updates zu Personen-Sets abonnieren.

Personen-Sets verwalten

Personen-Sets verwalten

manage_people_sets

Apps mit dieser Berechtigung können Personen-Sets in der Workplace-Community erstellen, aktualisieren und löschen.

Wichtige Beiträge lesen

Wichtige Beiträge lesen

read_important_posts

Die Integration kann hiermit Informationen über wichtige Beitrags-Promotions lesen, die sowohl aktiv als auch abgelaufen sind.

Wichtige Beiträge verwalten

Wichtige Beiträge verwalten

manage_important_posts

Hiermit kann die Integration Gruppenbeiträge als wichtig markieren, sodass diese im Feed oben angezeigt werden, und sie kann wichtige Beitrags-Promotions vorzeitig stoppen.

Profilinformationen entfernen

Persönliche Informationen von deaktivierten Nutzern entfernen

remove_profile_information

Hiermit kann die Integration Profilfelder wie den Namen und das Profilbild von deaktivierten Nutzern in Workplace entfernen.

Berechtigungen auf Gruppenebene

Bei einigen Berechtigungen kann die Integration auf bestimmte Gruppen beschränkt werden. Dadurch kannst du den Zugriff einer Integration auf genau die Inhalte beschränken, die du freigeben möchtest.

Du kannst z. B. einer Integration zum Posten von Warnhinweisen erlauben, nur in der eigenen Gruppe eines Teams zu posten, oder einer Mitarbeiter-App-Integration, Inhalte nur in bestimmten offenen Gruppen zu lesen.

Um Berechtigungen auf Gruppenebene für eine benutzerdefinierte Integration anzugeben, verwende die Gruppenzugriffsansicht im Dialog „Integration bearbeiten“.

Aktivieren der Gruppenberechtigung für diese Integration

Gruppenberechtigungen sind für die folgenden Berechtigungen verfügbar:

  • Gruppeninhalte lesen: Beiträge, Kommentare und Mitgliedsprofile in ausgewählten Gruppen lesen
  • Gruppeninhalte verwalten: Beiträge und Kommentare in ausgewählten Gruppen verwalten
  • Gruppen verwalten: ausgewählte Gruppen und deren Mitglieder bearbeiten und entfernen

Du kannst eine Integration so konfigurieren, dass Gruppenberechtigungen auf Alle Gruppen oder Bestimmte Gruppen angewendet werden, die vom Systemadministrator ausgewählt werden. Alternativ können Integrationen auch von Gruppenadministratoren für die jeweiligen Gruppen aktiviert werden.

Installationsablauf für Administratoren

Wenn Let group admins enable for their groups (Gruppenadministratoren für ihre Gruppen aktivieren lassen) aktiviert ist, wird dem Admin einer Gruppe unter dem Bildschirm Gruppe verwalten der neue Tab Integrationen angezeigt, auf dem er die Integration für seine Gruppe aktivieren kann.

Eine Beispiel-App, die jetzt vom Gruppenadministrator aktiviert werden kann

App-Token und -Nutzung

Wenn du für Workplace eine neue App erstellst, wird ein Zugriffstoken erzeugt, der mit der Graph API, Account Management API oder Webhooks verwendet werden kann.

Dieser Zugriffstoken wird nur einmal angezeigt. Daher ist es wichtig, dass du den Token sicher aufbewahrst, um ihn später im Code verwenden zu können.

Der Ablauf zum Zurücksetzen des Tokens bei einer App für die benutzerdefinierte Integration

Workplace-App-Token laufen niemals ab und müssen nur dann aktualisiert werden, wenn sie manuell zurückgesetzt wurden. Wenn du die für eine bestimmte App verfügbaren Berechtigungen bearbeitest, funktioniert das vorhandene Token weiterhin und du musst kein neues Token erstellen.

Wenn du ein Token einmal ungültig machen musst, kannst du das Token über den Button Zugriffstoken zurücksetzen im Dialog App bearbeiten zurücksetzen. Ein neues Token wird erstellt und angezeigt und das vorhandene Token wird sofort ungültig gemacht.

Token-Sicherheit

Zugriffstoken sind wertvoll. Sie gewähren Zugriff auf die Daten deines Unternehmens auf Workplace. Überlege dir bei der Erstellung einer App, welche Berechtigungen mindestens erforderlich sind, um die Integrationsfunktionen zu realisieren, und erteile keine unnötigen Berechtigungen.

Wenn Token gespeichert oder zu Code-Repositories hinzugefügt werden, sollte sehr genau darauf geachtet werden, dass sie nicht an die falschen Personen weitergegeben werden.

Produktions-Zugriffstoken sollten niemals in öffentlichen Code-Repositories abgelegt werden.

Du darfst deine API-Zugangsdaten nur in deiner eigenen Serverumgebung speichern und verwenden und musst sicherstellen, dass diese Werte niemals kopiert oder an andere Stellen übertragen werden, z. B. an mobile Apps oder Webbrowser-Clients.

Um die Sicherheit von Integrationen noch weiter zu erhöhen, solltest du eine IP-Positivliste hinzufügen, die die Verwendung von Token auf Server beschränkt, die auf die Positivliste der IP-Adressen gesetzt wurden.

Hinzufügen einer IP-Positivliste, um die Tokennutzung auf bestimmte Server zu beschränken, und Anfordern eines App-Geheimcode-Nachweises

Automatische Entfernung nicht verwendeter Berechtigungen

Wenn eine benutzerdefinierte Integration 30 Tage lang keine Aufrufe mit einer bestimmten Berechtigung tätigt, wird diese Berechtigung entfernt. Nachdem dies einmal für eine benutzerdefinierte Integration geschehen ist, steht eine Option zur Verfügung, mit der dieser Löschvorgang gestoppt werden kann.

Wenn ein gültiges Webhook-Abonnement eingerichtet wurde, gelten die von diesem gesendeten Webhooks als Nutzung der entsprechenden Berechtigung.

Steuerelemente für die automatische Entfernung von Berechtigungen

App-Geheimcode-Nachweis

Zugriffstoken für Workplace laufen nicht ab. Für benutzerdefinierte Integrationen kann ein App-Geheimcode-Nachweis erforderlich sein, um die Sicherheit zusätzlich zu erhöhen. Durch die Aktivierung der Option „App-Geheimcode erforderlich“ wird sichergestellt, dass API-Aufrufe nur von serverseitigem Code durchgeführt werden. Für API-Aufrufe ist zusammen mit dem Zugriffstoken ein App-Geheimcode-Nachweis mit Ablauf erforderlich.

Um einen App-Geheimcode-Nachweis mit Ablauf zu generieren, musst du das Token mit einem Unix-Zeitstempel verketten, getrennt durch einen Senkrechtstrich (|). Erstelle dann anhand deines App-Geheimcodes als Schlüssel einen SHA-256-Hash der verketteten Zeichenfolge. Nachfolgend ein Beispiel in PHP:

$appsecret_proof = hash_hmac('sha256', $access_token.'|'.time(), $app_secret);

Einige Betriebssysteme und Programmiersprachen geben einen Zeitstempel zurück, der eine Gleitkommazahl ist. Wandle den Wert in eine Ganzzahl um, bevor der App-Geheimcode-Nachweis berechnet wird. Einige Programmiersprachen erstellen den Hash als ein Digest-Objekt. Der Hash sollte als Hexadezimalwert ausgedrückt werden.

Um API-Aufrufe mit deinem App-Geheimcode-Nachweis durchzuführen, übergebe den generierten Hash über den Parameter appsecret_proof, zusammen mit der appsecret_time, die auf den Zeitstempel festgelegt ist, der beim Hashen des App-Geheimcodes verwendet wurde, und deinem Zugriffstoken.

GET https://graph.facebook.com/v2.9/community/groups?
&access_token={access-token}
&appsecret_proof={appsecret_proof}
&appsecret_time={appsecret_time}

App-Geheimcode-Nachweise mit Zeitstempel gelten nach fünf Minuten als abgelaufen. Daher wird empfohlen, bei jedem Graph API-Aufruf inline einen neuen Proof zu erstellen.

Entdecken von API-Funktionen mit Postman

Postman ist ein weitverbreitetes Tool für die Arbeit mit Web-APIs. Du findest es vielleicht praktisch, die Workplace API mit Postman zu erkunden, aber der Parameter $appsecret_proof stellt eine Komplikation dar: Da dieser Wert berechnet werden muss und nach fünf Minuten abläuft, wäre es einfacher, wenn Postman den Wert zum Zeitpunkt des Aufrufs erzeugen könnte. Postman kann dazu entsprechende Voranforderungsskripte und Parameterfunktionen verwenden. Als Ausgangspunkt kann dieses Skript verwendet werden:

// Add to Postman's Pre-request Script Tab
var access_token = "replace-me";
var app_secret = "replace-me";
var time = (new Date().getTime()/1000|0);
postman.setEnvironmentVariable("access_token", access_token)
postman.setEnvironmentVariable("appsecret_time", time);
postman.setEnvironmentVariable("appsecret_proof", CryptoJS.HmacSHA256(access_token + '|' + time, app_secret));
1) Erstelle eine aktive Umgebung (es gibt keine Standardumgebung) und 2) füge dann diese drei Parameter hinzu, die durch dein Voranforderungsskript berechnet werden.