如何在扣子中配置多租户隔离以保障不同企业用户的数据隐私安全

扣子平台的多租户隔离，说起来其实是个挺有意思的话题。平台本身并不原生支持严格的多租户架构，但通过工作区、Bot、知识库和权限链这四层组合，完全能实现逻辑隔离——让不同企业的对话历史、知识库、插件配置互不串访。简单概括就是：创建独立的企业版工作区作为边界，为每个租户配置专属Bot及发布渠道（企业微信、iframe、API密钥），知识库物理隔离且禁止跨区共享，再加上RBAC成员权限和180天的审计日志，数据安全就有了保障。

具体怎么落地？下面拆开讲清楚。

创建独立工作区作为租户边界

登录扣子控制台，点击右上角头像，选【创建新工作区】，输入企业名称（比如“XX科技-生产环境”），套餐一定要选【企业版】——只有企业版才支持自定义域名和SAML单点登录。这一步是基础中的基础。

每个工作区拥有独立的Bot列表、知识库、插件、成员管理以及审计日志。⚠️

，否则RBAC权限模型和数据导出合规控制根本没法启用，后续出了安全问题就麻烦了。

为每个租户配置专属Bot与发布渠道

进入对应的工作区，点击【Bot】→【新建Bot】，填上企业品牌名称和头像。然后在【设置】→【发布】中绑定唯一渠道：

• 企业微信：只勾选该企业已授权的「企业微信应用」，其他应用ID全部禁用；
• Web嵌入：生成专属iframe代码，URL里带上租户标识参数（比如?tenant_id=xxtech）；
• API调用：在【API Keys】页生成独立密钥，勾选「仅限当前工作区Bot」作用域。

这样一来，从流量入口就开始做租户识别。后续所有请求天然携带工作区上下文，Bot逻辑里完全不用手动解析tenant_id，省心又安全。

知识库与数据源按租户物理隔离

这里有两种做法：

在工作区内点击【知识库】→【新建知识库】，命名规则建议“KR-企业简称-业务域”（比如KR-xxtech-crm），然后上传PDF或CSV文件，发布后只关联本工作区内的Bot。简单粗暴，但很有效。

假设你上传了一份行业白皮书，在文档详情页开启【按角色可见】，把“销售部”角色设为可读，“客服部”角色设为不可读，再把这个角色绑定到对应的企业成员。这样就能在同一份文档上实现不同租户的权限区分。

这点没有捷径可走。

成员权限与审计追踪配置

第一步：添加企业管理员。进入【设置】→【成员管理】→【邀请成员】，输入企业IT负责人的邮箱，选择角色为【管理员】，勾选【可管理所有Bot与知识库】。

第二步：限制普通成员操作范围。比如给销售代表分配【Bot协作者】权限，同时取消勾选【查看API密钥】和【导出对话记录】。这样该成员登录后只能看到被明确授权的Bot及对应的知识库，想越权操作？门都没有。

第三步：开启操作审计。在【安全中心】→【审计日志】中开启「全部事件记录」，设置日志保留180天，再配置企业邮箱接收高危操作告警（比如Bot删除、知识库批量导出）。这一步是对前面所有配置的最后一道保险——出了问题能追溯，关键操作能及时知会负责人。