Configuration
Grup akses
Grup akses adalah daftar pengirim bernama yang Anda definisikan sekali di bawah accessGroups dan rujuk dari daftar izin saluran dengan accessGroup:<name>.
Gunakan grup ini ketika orang-orang yang sama harus diizinkan di beberapa saluran pesan, atau ketika satu kelompok tepercaya harus berlaku untuk otorisasi pengirim pesan langsung dan grup.
Sebuah grup tidak memberikan izin apa pun dengan sendirinya. Grup hanya berpengaruh ketika suatu bidang daftar izin merujuknya.
Grup pengirim pesan statis
Grup pengirim statis menggunakan type: "message.senders". members menggunakan id saluran pesan sebagai kunci, ditambah "*" untuk entri yang digunakan bersama oleh setiap saluran:
{ accessGroups: { operators: { type: "message.senders", members: { "*": ["global-owner-id"], discord: ["discord:123456789012345678"], telegram: ["987654321"], whatsapp: ["+15551234567"], }, }, },}| Kunci | Arti |
|---|---|
"*" |
Entri bersama yang diperiksa untuk setiap saluran pesan yang merujuk grup tersebut. |
discord, telegram, ... |
Entri yang diperiksa hanya untuk pencocokan daftar izin saluran tersebut. |
Entri dicocokkan menggunakan aturan allowFrom normal milik saluran tujuan. OpenClaw tidak menerjemahkan id pengirim antar-saluran: jika Alice memiliki id Telegram dan id Discord, cantumkan kedua id tersebut di bawah kunci saluran yang sesuai.
Merujuk grup dari daftar izin
Rujuk grup dengan accessGroup:<name> di mana pun jalur saluran pesan mendukung daftar izin pengirim.
Contoh daftar izin pesan langsung:
{ accessGroups: { operators: { type: "message.senders", members: { discord: ["discord:123456789012345678"], telegram: ["987654321"], }, }, }, channels: { discord: { dmPolicy: "allowlist", allowFrom: ["accessGroup:operators"], }, telegram: { dmPolicy: "allowlist", allowFrom: ["accessGroup:operators"], }, },}Contoh daftar izin pengirim grup:
{ accessGroups: { oncall: { type: "message.senders", members: { whatsapp: ["+15551234567"], googlechat: ["users/1234567890"], }, }, }, channels: { whatsapp: { groupPolicy: "allowlist", groupAllowFrom: ["accessGroup:oncall"], }, googlechat: { groups: { "spaces/AAA": { users: ["accessGroup:oncall"], }, }, }, },}Anda dapat mencampurkan grup dan entri langsung:
{ channels: { discord: { dmPolicy: "allowlist", allowFrom: ["accessGroup:operators", "discord:123456789012345678"], }, },}Jalur saluran pesan yang didukung
Grup akses berfungsi pada jalur otorisasi saluran pesan bersama:
- daftar izin pengirim pesan langsung seperti
channels.<channel>.allowFrom - daftar izin pengirim grup seperti
channels.<channel>.groupAllowFrom - daftar izin pengirim per-ruang khusus saluran yang menggunakan aturan pencocokan pengirim yang sama (misalnya
groups.<space>.userspada Google Chat) - jalur otorisasi perintah yang menggunakan kembali daftar izin pengirim saluran pesan
Dukungan saluran bergantung pada apakah saluran tersebut terhubung melalui pembantu otorisasi pengirim bersama milik OpenClaw. Dukungan bawaan saat ini mencakup ClickClack, Discord, Feishu, Google Chat, iMessage, IRC, LINE, Mattermost, Microsoft Teams, Nextcloud Talk, Nostr, QQ Bot, Signal, Slack, SMS, Telegram, WhatsApp, Zalo, dan Zalo Personal. Grup message.senders statis tidak bergantung pada saluran, sehingga saluran pesan baru dapat menggunakannya dengan memakai pembantu masukan SDK Plugin bersama alih-alih perluasan daftar izin khusus.
Audiens saluran Discord
Discord juga mendukung jenis grup akses dinamis:
{ accessGroups: { maintainers: { type: "discord.channelAudience", guildId: "1456350064065904867", channelId: "1456744319972282449", membership: "canViewChannel", }, }, channels: { discord: { dmPolicy: "allowlist", allowFrom: ["accessGroup:maintainers"], }, },}discord.channelAudience berarti "izinkan pengirim pesan langsung Discord yang saat ini dapat melihat saluran guild ini." OpenClaw menentukan pengirim melalui Discord pada saat otorisasi dan menerapkan aturan izin ViewChannel Discord. membership bersifat opsional dan nilai bakunya adalah canViewChannel.
Gunakan ini ketika suatu saluran Discord telah menjadi sumber kebenaran untuk sebuah tim, seperti #maintainers atau #on-call.
Persyaratan dan perilaku kegagalan:
- Bot memerlukan akses ke guild dan saluran.
- Bot memerlukan Server Members Intent di Discord Developer Portal.
- Grup akses menolak akses secara aman ketika Discord mengembalikan
Missing Access, pengirim tidak dapat ditentukan sebagai anggota guild, atau saluran tersebut merupakan bagian dari guild lain.
Contoh khusus Discord lainnya: Kontrol akses Discord
Diagnostik Plugin
Pembuat Plugin dapat memeriksa status grup akses terstruktur tanpa memperluasnya kembali menjadi daftar izin datar:
const state = await resolveAccessGroupAllowFromState({ accessGroups: cfg.accessGroups, allowFrom: channelConfig.allowFrom, channel: "my-channel", accountId: "default", senderId, isSenderAllowed,});Hasilnya melaporkan grup yang dirujuk, cocok, hilang, tidak didukung, dan gagal. Gunakan hasil tersebut untuk diagnostik atau pengujian kesesuaian. Gunakan expandAllowFromWithAccessGroups(...) hanya untuk jalur kompatibilitas yang masih mengharapkan larik allowFrom datar.
Catatan keamanan
- Grup akses adalah alias daftar izin, bukan peran. Grup tersebut tidak membuat pemilik, menyetujui permintaan pemasangan, atau memberikan izin alat dengan sendirinya.
dmPolicy: "open"tetap memerlukan"*"dalam daftar izin pesan langsung efektif. Merujuk grup akses tidak sama dengan memberikan akses publik.- Nama grup yang tidak ditemukan akan menolak akses secara aman. Jika
allowFromberisiaccessGroup:operatorsdanaccessGroups.operatorstidak ada, entri tersebut tidak mengotorisasi siapa pun. - Pertahankan kestabilan id saluran. Utamakan id numerik/pengguna daripada nama tampilan jika saluran mendukung keduanya.
Pemecahan masalah
Jika pengirim seharusnya cocok tetapi diblokir:
- Pastikan bidang daftar izin berisi rujukan
accessGroup:<name>yang tepat. - Pastikan
accessGroups.<name>.typesudah benar. - Pastikan id pengirim tercantum di bawah kunci saluran yang sesuai, atau di bawah
"*". - Pastikan entri menggunakan sintaks daftar izin normal milik saluran tersebut.
- Untuk audiens saluran Discord, pastikan bot dapat melihat saluran guild dan Server Members Intent telah diaktifkan.
Jalankan openclaw doctor setelah menyunting konfigurasi kontrol akses. Perintah tersebut mendeteksi banyak kombinasi daftar izin dan kebijakan yang tidak valid sebelum waktu proses.