> ## Documentation Index
> Fetch the complete documentation index at: https://documentation.onesignal.com/llms.txt
> Use this file to discover all available pages before exploring further.

# 团队成员

> 通过在应用或组织级别添加、删除或更新团队成员角色来管理 OneSignal 用户访问权限。了解角色权限和计划可用性。

OneSignal 允许您在**组织级别**（所有应用）或**应用级别**（特定应用）管理用户访问权限。可以根据每个用户的需求和职责为其分配角色。

例如：

* 需要查看跨应用消息性能的**分析师**可以是**组织查看者**。
* 在一个应用上工作的**开发人员**或**营销人员**可以被分配为**应用管理员**。
* 负责构建消息但不应发送消息的**内容撰写者**可以是**组织创作者**。
* 只需访问计费的**财务团队成员**可以是**组织财务**角色。
* 只需访问单个应用的**外部承包商**可以从**组织团队成员**开始，并在此基础上叠加应用级别角色。

<Note>有关应用和组织如何协同工作的详细信息，请参阅[应用、组织和账户](./apps-organizations)。</Note>

***

## 管理团队访问权限

您可以在**组织**级别（所有应用）或**应用**级别（特定应用）授予访问权限。

### 邀请团队成员加入组织

**组织管理员**可以邀请用户并为其分配适用于组织中所有应用的角色。

<Steps>
  <Step title="导航到您的组织">
    前往**组织 > \[您的组织] > 团队成员**。
  </Step>

  <Step title="邀请团队成员">
    点击**邀请加入组织**。
  </Step>

  <Step title="分配角色">
    选择角色：管理员、财务、运营、编辑者、创作者、查看者或团队成员。
  </Step>
</Steps>

<Check>受邀用户将收到一封接受邀请的电子邮件。接受后，他们将以分配的角色出现在团队成员列表中。</Check>

<Frame caption="邀请新团队成员加入组织">
  <img src="https://mintcdn.com/onesignal/dkNDLeCi_Ev9iHwJ/images/dashboard/dashboard-org-team-members.png?fit=max&auto=format&n=dkNDLeCi_Ev9iHwJ&q=85&s=64947b7b033826b0582a30627d9d4787" alt="OneSignal dashboard showing the organization Team Members page with invite button and role assignment" width="1986" height="798" data-path="images/dashboard/dashboard-org-team-members.png" />
</Frame>

### 邀请团队成员加入应用

应用级别角色允许您在用户组织角色的基础上授予特定应用的**额外权限**。

<Warning>
  应用级别角色只能在用户组织角色的基础上**增加**权限——不能限制或降低访问权限。例如，组织查看者可以在特定应用上提升为应用编辑者，但组织编辑者无法降级为应用查看者。完整映射关系请参阅[有效的应用级别角色分配](#valid-app-level-role-assignments)。
</Warning>

<Steps>
  <Step title="导航到您的应用">
    前往您应用的**设置 > 团队成员**。
  </Step>

  <Step title="邀请团队成员">
    点击**邀请加入应用**。
  </Step>

  <Step title="分配角色">
    为该应用选择角色：管理员、运营、编辑者、创作者或查看者。
  </Step>
</Steps>

#### 有效的应用级别角色分配

分配应用级别角色时，该角色必须等于或高于用户的组织角色权限。客户端和服务器均强制执行这些规则。

| 组织角色          | 有效的应用角色                              |
| ------------- | ------------------------------------ |
| `admin`       | 无（已拥有完全访问权限）                         |
| `editor`      | 仅 `admin`                            |
| `composer`    | `editor`、`admin`                     |
| `viewer`      | `composer`、`editor`、`admin`          |
| `team_member` | `viewer`、`composer`、`editor`、`admin` |

### 更新或删除用户访问权限

<Steps>
  <Step title="导航到团队成员">
    前往组织或应用的**团队成员**页面。
  </Step>

  <Step title="打开选项菜单">
    点击用户电子邮件旁边的**选项**菜单（⋮）。
  </Step>

  <Step title="更新或删除">
    选择**更新角色**或**删除**。
  </Step>
</Steps>

<Frame caption="更新现有团队成员的角色">
  <img src="https://mintcdn.com/onesignal/dkNDLeCi_Ev9iHwJ/images/dashboard/dashboard-team-members-update-remove.png?fit=max&auto=format&n=dkNDLeCi_Ev9iHwJ&q=85&s=c87b2682f6c5e8e2596050f95ed627e6" alt="OneSignal dashboard showing the options menu for a team member with Update Role and Remove actions" width="1914" height="798" data-path="images/dashboard/dashboard-team-members-update-remove.png" />
</Frame>

***

## 角色和权限

组织角色优先于应用角色。如果某用户是组织管理员，他们将自动拥有组织内所有应用的管理员权限，无需额外分配应用级别角色。

### 角色类型

OneSignal 在**组织**级别提供以下角色：

| 角色   | 最适合       | 访问权限摘要                                                      |
| ---- | --------- | ----------------------------------------------------------- |
| 管理员  | 开发人员、所有者  | 对所有组织设置、计费和消息的完全控制。自动包含组织内所有应用的管理员权限                        |
| 财务   | 财务团队      | 查看组织设置、应用、成员和计费。编辑计费。无应用级别权限                                |
| 运营   | 运营团队      | 跨所有应用的查看权限，以及管理抑制列表和发件人标识                                   |
| 编辑者  | 营销人员、产品经理 | 完整的消息工作流程：创建细分、构建和发送消息、管理 Webhook 和导入。无法修改底层用户或订阅记录，或更改应用设置 |
| 创作者  | 内容撰写者、设计师 | 创建和编辑消息、模板、细分和 Journey。无法发送、激活或删除大多数内容。无导出权限                |
| 查看者  | 分析师、只读用户  | 跨所有应用的只读访问权限。无法编辑、发送或导出                                     |
| 团队成员 | 最低权限用户    | 可查看组织及其应用列表。本身无应用级别权限。通过应用级别角色分配叠加访问权限                      |

**应用**级别提供以下角色：

| 角色  | 最适合          | 访问权限摘要                                     |
| --- | ------------ | ------------------------------------------ |
| 管理员 | 应用所有者、首席开发人员 | 对应用的完全控制，包括设置、密钥、集成和团队管理                   |
| 运营  | 运营团队         | 跨应用功能的查看权限，以及管理抑制列表和发件人标识                  |
| 编辑者 | 营销人员、产品经理    | 创建、编辑、发送和删除消息及相关内容。管理 Webhook 和导入。无法更改应用设置 |
| 创作者 | 内容撰写者        | 创建和编辑消息、模板和细分。无法发送或激活。无导出权限                |
| 查看者 | 只读用户         | 对应用数据的只读访问权限。无法编辑、发送或导出                    |

<Note>
  **编辑者范围：** 编辑者控制*发送内容和发送对象*。他们可以查看受众数据、基于数据构建细分，并运行完整的消息工作流程，但无法修改底层用户或订阅记录（标签、导入、删除、订阅状态）。
</Note>

#### 关于团队成员角色

`team_member` 是一个组织级别角色，本身不授予任何应用权限。通过应用级别角色分配明确叠加访问权限，使其成为一个干净的最低权限起点。

`team_member` 在两种情况下会自动分配：

* 当新用户首次被邀请加入应用且没有现有组织角色时
* 当用户首次通过 SSO 登录且其身份提供商尚未映射到特定 OneSignal 角色时

### 按角色划分的权限详情

选择以下角色以查看其完整权限。

<Tabs>
  <Tab title="Admin">
    **范围：** 组织和应用

    完全控制所有内容。组织管理员自动拥有组织内所有应用的管理员权限。管理员是唯一可以管理应用和组织设置、API 密钥、团队成员、集成、计费、SSO 和双因素认证强制执行的角色。

    | 区域           | 权限                                                          |
    | ------------ | ----------------------------------------------------------- |
    | 消息           | 创建、编辑、发送、取消、删除和导出所有消息类型。发送测试通知                              |
    | Journey      | 创建、编辑、激活、删除和导出 Journey 及目标                                  |
    | 细分           | 完全控制，包括设置默认值和从细分中删除用户                                       |
    | 模板和动态内容      | 创建、编辑和删除模板、动态内容和已保存行                                        |
    | 应用内消息        | 创建、编辑、激活和删除                                                 |
    | 用户和订阅        | 查看、编辑、删除、导入和导出。完整的测试用户管理                                    |
    | Webhook 和事件流 | 创建、编辑、激活、测试和删除                                              |
    | 自定义事件和结果     | 查看分析、设置保留、设置跟踪和导出                                           |
    | 标签           | 创建、编辑和删除                                                    |
    | 抑制列表         | 创建、删除和导出                                                    |
    | 集成           | 激活和编辑                                                       |
    | 应用设置         | 编辑设置、管理 API 密钥、管理团队成员、查看和导出审计日志、切换应用状态、删除应用                 |
    | 组织设置         | 编辑设置、创建和管理应用、管理成员、管理计费、管理 API 密钥、管理 SSO、强制执行双因素认证、查看和导出审计日志 |
    | 账户           | 双因素认证、电子邮件和密码（本人账户）                                         |

    <Info>组织设置访问权限仅限于具有**组织管理员**角色的用户。仅应用级管理员无权修改组织级设置，例如计费、计划升级、SSO 或组织级双因素认证。</Info>
  </Tab>

  <Tab title="Editor">
    **范围：** 组织和应用

    编辑者可以创建、编辑、发送和删除消息及大多数内容。他们可以管理 Webhook 和处理导入。无法更改应用或组织设置、管理团队成员或访问 API 密钥。

    | 区域           | 权限                             |
    | ------------ | ------------------------------ |
    | 消息           | 创建、编辑、发送、取消、删除和导出所有消息类型。发送测试通知 |
    | Journey      | 创建、编辑、激活和删除                    |
    | 细分           | 创建、编辑、激活、设置默认值和删除              |
    | 模板和动态内容      | 创建、编辑和删除                       |
    | 应用内消息        | 创建、编辑、激活和删除                    |
    | 用户和订阅        | 查看、导入用户和订阅、添加和删除测试用户           |
    | Webhook 和事件流 | 创建、编辑、激活、测试和删除                 |
    | 自定义事件和结果     | 查看分析和导出                        |
    | 标签           | 创建、编辑和删除                       |
    | 抑制列表         | 仅查看                            |
    | 集成           | 仅查看                            |
    | 应用设置         | 查看应用和分析、导出分析、查看 VAPID 密钥       |
    | 组织设置         | 查看组织和应用                        |
    | 账户           | 双因素认证、电子邮件和密码（本人账户）            |

    **不能：** 直接编辑或删除用户和订阅。导出用户。更改应用或组织设置。管理 API 密钥。管理团队成员。访问计费。从细分中删除用户。
  </Tab>

  <Tab title="Composer">
    **范围：** 组织和应用

    创作者可以创建和编辑消息、模板、细分和 Journey，但无法发送、激活或删除大多数内容。没有导出权限。

    | 区域           | 权限                  |
    | ------------ | ------------------- |
    | 消息           | 创建和编辑消息。发送测试通知      |
    | Journey      | 创建和编辑               |
    | 细分           | 创建和编辑               |
    | 模板和动态内容      | 创建和编辑               |
    | 应用内消息        | 创建和编辑               |
    | 用户和订阅        | 查看。添加测试用户           |
    | Webhook 和事件流 | 仅查看                 |
    | 自定义事件和结果     | 查看分析                |
    | 标签           | 创建和编辑               |
    | 抑制列表         | 无权限                 |
    | 集成           | 仅查看                 |
    | 应用设置         | 查看应用和分析             |
    | 组织设置         | 查看组织和应用             |
    | 账户           | 双因素认证、电子邮件和密码（本人账户） |

    **不能：** 发送或激活消息、Journey、自动化或应用内消息。删除任何内容。导出任何内容。导入用户。删除测试用户。管理 Webhook。访问应用或组织设置。删除标签。

    <Warning>创作者只能在动态内容未绑定到已发布的实时消息或活跃 Journey 时对其进行编辑。</Warning>
  </Tab>

  <Tab title="Viewer">
    **范围：** 组织和应用

    只读权限。查看者可以查看消息、分析、细分、模板和大多数应用数据，但无法创建、编辑、发送或导出任何内容。

    | 区域           | 权限                  |
    | ------------ | ------------------- |
    | 消息           | 查看消息和分析             |
    | Journey      | 查看 Journey 和分析      |
    | 细分           | 查看细分和分析             |
    | 模板和动态内容      | 仅查看                 |
    | 应用内消息        | 查看消息和分析             |
    | 用户和订阅        | 仅查看                 |
    | Webhook 和事件流 | 查看 Webhook 和结果      |
    | 自定义事件和结果     | 查看分析                |
    | 标签           | 仅查看                 |
    | 抑制列表         | 仅查看                 |
    | 集成           | 仅查看                 |
    | 应用设置         | 查看应用和分析             |
    | 组织设置         | 查看组织和应用             |
    | 账户           | 双因素认证、电子邮件和密码（本人账户） |

    **不能：** 创建、编辑、发送、激活或删除任何内容。导出任何数据。导入用户。访问 API 密钥或管理设置。
  </Tab>

  <Tab title="Team Member">
    **范围：** 仅组织

    `team_member` 角色本身不授予任何应用权限。它提供最低限度的组织级可见性，通过应用级别角色分配叠加应用访问权限。

    | 区域     | 权限                  |
    | ------ | ------------------- |
    | 组织设置   | 查看组织和应用列表           |
    | 账户     | 双因素认证、电子邮件和密码（本人账户） |
    | 其他所有内容 | 在分配应用级别角色之前无权限      |

    `team_member` 在两种情况下会自动分配：

    * 当新用户首次被邀请加入应用且没有现有组织角色时
    * 当用户首次通过 SSO 登录且其身份提供商尚未映射到特定 OneSignal 角色时
  </Tab>

  <Tab title="Operations">
    **范围：** 组织和应用

    运营角色拥有跨所有功能的查看权限，以及对抑制列表和发件人标识的写入权限。此角色专为运营任务设计，例如管理抑制列表，而无需授予更广泛的消息或设置权限。

    | 区域           | 权限                  |
    | ------------ | ------------------- |
    | 消息           | 查看消息和分析             |
    | Journey      | 查看 Journey 和分析      |
    | 细分           | 查看细分和分析             |
    | 模板和动态内容      | 仅查看                 |
    | 应用内消息        | 查看消息和分析             |
    | 用户和订阅        | 仅查看                 |
    | Webhook 和事件流 | 查看 Webhook 和结果      |
    | 自定义事件和结果     | 查看分析                |
    | 标签           | 仅查看                 |
    | 抑制列表         | 创建、删除和导出            |
    | 发件人标识        | 创建和编辑               |
    | 集成           | 仅查看                 |
    | 应用设置         | 查看应用、分析和团队成员        |
    | 组织设置         | 查看组织、应用和成员          |
    | 账户           | 双因素认证、电子邮件和密码（本人账户） |

    **不能：** 创建、发送或编辑消息。管理 Journey、细分或模板。导入或导出用户。管理 API 密钥。编辑应用或组织设置。
  </Tab>

  <Tab title="Finance">
    **范围：** 仅组织

    财务是一个专注于计费访问的组织级别角色。不包含任何应用级别权限。

    | 区域     | 权限                    |
    | ------ | --------------------- |
    | 组织设置   | 查看组织、查看应用、查看成员、查看审计日志 |
    | 计费     | 查看和编辑计费               |
    | 账户     | 双因素认证、电子邮件和密码（本人账户）   |
    | 其他所有内容 | 无权限                   |

    **不能：** 查看或操作任何应用级别功能。发送消息。管理团队成员。访问 API 密钥。
  </Tab>
</Tabs>

### 按计划划分的角色可用性

| 角色   | 免费计划 | 增长计划 | 专业计划 | 企业版 |
| ---- | ---- | ---- | ---- | --- |
| 管理员  | ✅    | ✅    | ✅    | ✅   |
| 编辑者  | ❌    | ❌    | ✅    | ✅   |
| 创作者  | ❌    | ❌    | ✅    | ✅   |
| 查看者  | ❌    | ✅    | ✅    | ✅   |
| 团队成员 | ❌    | ❌    | ❌    | ✅   |
| 财务   | ❌    | ❌    | ❌    | ✅   |
| 运营   | ❌    | ❌    | ❌    | ✅   |

<Note>[查看完整定价和计划功能](https://onesignal.com/pricing)。</Note>

***

## 最佳实践

* **分配所需的最低角色。** 如果创作者或查看者权限就足够，不要授予完全的管理员访问权限。
* **对需要跨多个应用访问权限的用户使用组织级别角色**，例如分析师或领导层。
* **对只需访问特定应用的用户使用团队成员角色**，并配合应用级别分配。
* **限制 API 密钥访问**，仅授予具有管理员角色的受信任技术用户。
* **免费计划**仅支持管理员。升级以添加额外角色。

***

## 常见问题

### 我能限制用户只访问一个应用吗？

可以。为用户分配 `team_member` 组织角色（本身不授予任何应用访问权限），然后在特定应用上添加应用级别角色。这样他们只能访问该应用。

### 将某人从组织中删除后会发生什么？

将用户从组织中删除会撤销其所有访问权限——包括该组织内所有应用的组织级别和应用级别访问权限。他们需要重新受邀才能恢复访问权限。

### 我能给某人计费访问权限而不给应用访问权限吗？

可以。**财务**角色（仅企业版）允许查看和编辑计费，而无任何应用级别权限。详情请参阅[财务权限选项卡](#permission-details-by-role)。

### 为什么我无法在应用级别分配查看者角色？

应用级别角色必须**比用户的组织角色权限更高**。如果用户已经是组织级别查看者，应用级别查看者不会增加任何权限。您可以在应用级别分配创作者、编辑者或管理员。请参阅[有效的应用级别角色分配](#valid-app-level-role-assignments)。

### 我的计划支持哪些角色？

免费计划仅支持管理员。增长计划新增查看者。专业计划新增编辑者和创作者。企业版新增团队成员、财务和运营。请参阅[角色可用性表格](#role-availability-by-plan)。

***

## 相关页面

<Columns cols={2}>
  <Card title="应用、组织和账户" icon="building" href="./apps-organizations">
    了解账户、应用和组织之间的关系。
  </Card>

  <Card title="双因素认证" icon="shield-halved" href="./2-step-authentication">
    为您的账户启用双因素认证或要求整个组织使用。
  </Card>

  <Card title="SSO" icon="right-to-bracket" href="./sso">
    为您的组织配置单点登录。
  </Card>

  <Card title="计费常见问题" icon="credit-card" href="./billing-faq">
    管理跨组织的计划、计费和订阅。
  </Card>
</Columns>
