在团队协作场景中,权限管理从来不是锦上添花的功能,而是决定数据安全的生死线。特别是当销售、研发、人力等多个部门需要共享同一套JVS Claw系统时,如果权限体系没有提前搭建好,后果将是数据混用、误操作频发,甚至直接导致敏感信息泄露。

要实现安全高效的协作,核心思路只有一条:启用多团队模式+严格区分权限。缺少任何一步,所有成员都会共用同一套技能和数据访问边界,那就跟没有设置权限一样毫无意义。
启用JVS Claw多团队协作模式
这一步是整个权限体系生效的前提条件——在开启之前,你所做的所有配置都是徒劳的。
具体操作非常简单:使用管理员账号登录JVS Claw管理后台,在左侧菜单点击【系统设置】,然后找到【协作模式】页签。将“多团队协作”开关打开,系统会弹出一个确认框,提示即将重建用户组隔离上下文。点击【立即启用】后,后台将开始初始化OU目录树和默认角色映射表,整个过程大约需要8到12秒。
注意:此操作一旦启用便不可逆转,无法再降级回单团队模式。因此,请务必确认后再执行。
为不同团队创建专属用户组
用户组是权限批量绑定的最小单位,销售、研发、人力等团队必须分别归属不同的用户组,绝对不能混在一起使用。创建方式有两种:
方法一:通过管理后台图形界面创建
进入【用户管理】→【用户组】,点击【新建用户组】。填写组名(例如Group_RnD),描述可写“研发团队专属工作空间”,然后勾选“启用目录隔离”和“强制沙箱执行”。最后在【绑定OU路径】中输入/org/tech/rnd,这样该路径下的所有文件操作就只有本组成员可见。
方法二:通过命令行批量创建
如果你已经有LDAP同步需求,可以直接执行以下命令:
jvsclaw group create --name Group_HR --ou /org/hr --isolate true
不过需要注意,命令行创建完成后,还需要手动到后台【权限策略】中补充模型访问白名单,否则组内成员将无法调用任何AI能力。
分配成员并绑定角色
角色决定你能做什么,用户组决定你能看什么——两者必须同时配置才算完整。
第一步:进入【用户组】列表,找到刚才创建的Group_RnD,点击右侧的【成员管理】。然后点击【添加成员】,输入研发成员的邮箱(例如zhangsan@company.com),系统会自动拉取该成员的认证身份,并校验是否已激活。
第二步:为该成员勾选相应角色,例如“开发者”。该角色默认允许调用code-generator、git-helper等技能,但禁止访问file-processor或payroll-summary。最后点击【保存并同步权限】,系统将向该成员设备推送新的本地权限组策略,大约3秒内即可生效。
注意:成员必须使用个人账号登录,禁止共享账号。如果账号未绑定设备指纹,权限同步将会失败。
配置跨团队数据访问例外规则
某些场景需要打破隔离,例如人力资源同事需要查看研发的周报生成结果,但又不能修改源代码。这时就需要配置跨组访问白名单。
进入【权限中心】→【高级策略】→【跨组访问白名单】,点击【新增规则】。选择源用户组为Group_HR,目标用户组为Group_RnD。在“允许访问路径”中填写/org/tech/rnd/reports/weekly/*.pdf,权限类型选择“只读”。最后勾选“启用审计日志”,确保每次访问都会被记录。这一步操作非常简单,填写路径后点击保存即可。
