Jak agencja onboardowała 80 kont klientów bez ani jednego współdzielonego loginu
Davide Ferraro
Agency Operations Lead
Punkt krytyczny przyszedł, jak zwykle, jako arkusz. Agencja media buyingu, która urosła od garstki klientów do rozrastającego się portfolio, trzymała zakładkę zwaną „Loginy" — jeden wiersz na klienta, kolumny na nazwę użytkownika, hasło, kopię zapasową 2FA i datę ostatniej zmiany. W dniu, gdy ten arkusz przekroczył osiemdziesiąt wierszy, lider operacyjny przestał przewijać i przyznał oczywistość: to nie był system, to było ryzyko z paskiem wyszukiwania. To historia o tym, jak ta agencja nauczyła się onboardować konto reklamowe klienta bez udostępniania loginu w ogóle — jeden token System-User wprowadzony raz, automatyczne wykrywanie ujawniające każde konto i role wewnętrzne zamiast haseł.
Szybka odpowiedź: Zamiast zbierać nazwę użytkownika i hasło Meta każdego klienta, agencja podłączała konta przez token System-User wprowadzony raz. Automatyczne wykrywanie przez business_id ujawniało każdego Business Managera i konto reklamowe, do którego ten token miał dostęp, a buyerzy pracowali przez wewnętrzny dostęp oparty na rolach. Nikt nigdy nie trzymał surowego loginu Meta, więc onboarding przestał być przekazaniem danych logowania, a off-boarding stał się jednym kliknięciem.
To kompozyt złożony z typowych wzorców agencyjnych, ale tryb porażki i naprawa są prawdziwe. Dokładne liczby są poglądowe; rozproszenie danych logowania i sposób, w jaki staje się niebezpieczne przy skalowaniu agencji — nie.
Punkt krytyczny: login na każdego klienta
Przez pierwsze kilka lat agencja onboardowała klientów jedynym sposobem, jaki znała. Nowy klient podpisywał, a rozmowa otwierająca kończyła się tą samą niezręczną prośbą: „Możesz udostępnić swój login Meta, żebyśmy weszli na konto reklamowe?" Czasem klient przekazywał swoje osobiste hasło Facebooka. Czasem tworzył jednorazowego użytkownika z prawami admina. Tak czy inaczej agencja odchodziła z jeszcze jednymi danymi logowania do przechowania, a zakładka „Loginy" rosła o kolejny wiersz.
Przy dziesięciu klientach było to irytujące. Przy osiemdziesięciu było ryzykiem na pełen etat. Każde hasło zmienione po stronie klienta po cichu psuło dostęp, aż kampania się zestarzała. Każdy monit 2FA lądował na telefonie należącym do jednej osoby, która stawała się pojedynczym punktem awarii dla całego portfolio biznesu. I nikt nie mógł odpowiedzieć na pytanie, które powinno mieć jednowyrazową odpowiedź: kto dokładnie ma dostęp do konta tego klienta właśnie teraz?
Agencja nie czuje kosztu współdzielonych loginów przy pięciu klientach. Czuje go cały naraz gdzieś za pięćdziesiątką, gdy lista danych logowania staje się ryzykiem, którego nikt nie jest właścicielem, a każdy nowy klient pogarsza ją. Model, który Cię uruchomił, jest modelem, który Cię ogranicza.
Dlaczego współdzielone loginy były prawdziwym ryzykiem
Agencja założyła, że jej ryzyko żyje w performance — zły tydzień, nietrafiony cel. Prawdziwą ekspozycją był arkusz loginów. Jak rozkładamy w dlaczego współdzielone loginy zabijają Twoją agencję reklamową, współdzielone dane logowania to najgorsze z każdego świata naraz: nie da się ich przypisać, nie da się bezpiecznie odebrać i nie da się zaudytować.
Trzy porażki się spiętrzyły. Po pierwsze, kody 2FA i hasła żyły w menedżerze haseł, więc dostęp do jednego sejfu był dostępem do osiemdziesięciu klientów — powierzchnia naruszenia, której żaden klient by nie zaaprobował. Po drugie, juniorzy mieli pełny dostęp domyślnie, bo współdzielony login nie ma pojęcia ról; przekazanie nowemu buyerowi „hasła" przekazywało mu wszystko. Po trzecie, off-boarding był ręcznym polowaniem: gdy buyer odchodził, ktoś musiał pamiętać każdego Business Managera, którego ten buyer dotykał, i odebrać dostęp ręcznie, konto po koncie, w nadziei, że nic nie zostało pominięte.
To ostatnie nie dawało liderowi operacyjnemu spać. Odchodzący buyer z zalegającym dostępem na dziesiątkach Business Managerów klientów to domyślny wynik modelu współdzielonego loginu — dokładnie ten rodzaj luki skatalogowany w naszym zestawieniu błędów uprawnień kont reklamowych agencji.
Niebezpieczeństwo współdzielonego loginu nie polega na tym, że ktoś go zgadnie. Polega na tym, że nigdy nie udowodnisz czysto, kto go ma, nie zawęzisz go ani go nie odbierzesz. Dla agencji trzymającej zaufanie osiemdziesięciu klientów „nie jesteśmy do końca pewni, kto wciąż ma dostęp" to zdanie, które kończy relacje.
Przesunięcie: podłącz tokenem, nie hasłem
Zmiana była mniej nowym narzędziem niż nowym modelem myślowym: przestań traktować dostęp do konta jako dane logowania do zebrania i zacznij traktować go jako połączenie do ustanowienia raz. Agencja przeniosła portfolio na Wevion i podłączyła konta klientów przez token System-User zamiast osobistego loginu.
Mechanika była niemal antyklimaktyczna. Dla każdego klienta agencja ustanawiała token System-User naprzeciw Business Managera klienta — usankcjonowane, maszynowe połączenie, które nie zależy od czyjegoś osobistego hasła ani 2FA. Token wprowadzano raz. Potem automatyczne wykrywanie robiło część, która kiedyś zajmowała popołudnie: czytając business_id, ujawniało każde konto reklamowe i Business Managera, do którego ten token miał dostęp, i wciągało je do workspace automatycznie — bez kopiowania ID kont między ekranami, bez kont pominiętych odkrywanych trzy tygodnie później.
Współdzielony login to sekret, który musisz chronić na zawsze. Token System-User to połączenie, które ustanawiasz raz, a potem zarządzasz — rozróżnienie zbadane w osobne loginy kontra wielomarkowa warstwa operacyjna. Agencja nie była już w biznesie przechowywania haseł. Była w biznesie przyznawania dostępu.
Gdy podłączasz konto tokenem zamiast hasłem, onboarding przestaje być przekazaniem sekretów i staje się ustanowieniem zarządzanego połączenia. Podłączasz raz; nigdy więcej nie puszczasz danych logowania w obieg. To pojedyncze odwrócenie sprawia, że kolejnych osiemdziesięciu klientów się skaluje, zamiast kumulować.
Mapowanie zespołu na role, nie dane logowania
Z podłączonymi kontami agencja zmierzyła się z pytaniem, którego era współdzielonego loginu nigdy nie pozwoliła czysto zadać: kto w zespole powinien móc robić co, na którym kliencie?
Wewnętrzny dostęp oparty na rolach uczynił z tego konfigurację, nie dane logowania. Każdy buyer dostawał rolę zawężoną do kont, na których faktycznie pracował. Senior z roster enterprise dostawał tam szeroki dostęp i żaden na małym biznesie. Junior dostawał dokładnie konta przypisane jemu i nic więcej. Co kluczowe, przyznanie tego dostępu nigdy nie wiązało się z przekazaniem loginu Meta — bazowy token zostawał przy agencji, a buyer po prostu działał wewnątrz workspace pod swoją nazwaną rolą.
To połowa systemu, którą współdzielone loginy czynią niemożliwą. Nie zawęzisz hasła — możesz je tylko dać albo zatrzymać. Role pozwalają agencji przyznać precyzyjny dostęp, jakiego osoba potrzebuje, i nic więcej, co jest przesłanką stojącą za zdyscyplinowanym przepływem onboardingu, który opisujemy w pierwszotygodniowym poradniku onboardingu klienta agencji. Dostęp stał się czymś, co przypisujesz, przeglądasz i dostosowujesz — a nie sekretem, który masz nadzieję, że pozostanie ograniczony.
Przyznawanie dostępu rolą zamiast hasłem zmienia, czym onboarding w ogóle jest. Przestajesz pytać „czy ta osoba powinna dostać login" — binarne pytanie wszystko-albo-nic — i zaczynasz pytać „co ta osoba powinna móc tu robić", co jest pytaniem, na które prawdziwa operacja i tak musi odpowiedzieć.
Onboarding kolejnego klienta w pierwszym tygodniu
Dowód pojawił się następnym razem, gdy agencja podpisała klienta. W starym modelu onboarding nowego konta był wielodniową, najeżoną sprawą: gonić klienta o dane logowania, przechowywać je, testować dostęp, odkryć subkonto, o którym nikt nie wspomniał, gonić znowu, wreszcie uruchomić buyera do pracy do końca drugiego tygodnia.
Nowy przepływ to zwinął. Agencja ustanawiała token System-User, automatyczne wykrywanie ujawniało konta i Business Managerów klienta w jednym przebiegu, a lider operacyjny przypisywał buyerom ich role. Buyer pracował wewnątrz workspace w pierwszym tygodniu — nie czekając na reset hasła, nie zablokowany monitem 2FA skierowanym do kogoś na urlopie. Klient ze swojej strony był ulżony, że nie przekazuje osobistego hasła Facebooka zewnętrznej agencji, zamieniając niewygodną prośbę otwierającą w punkt zaufania.
Najjaśniejszym sygnałem, że model onboardingu jest zepsuty, jest to, jak długo zajmuje uruchomienie buyera do produktywnej pracy na nowym koncie. Gdy to spada z napiętych dwóch tygodni do czystego pierwszego tygodnia, nie tylko zaoszczędziłeś czas — usunąłeś część onboardingu, która denerwowała zarówno agencję, jak i klienta.
Co zmieniło się dla bezpieczeństwa i audytu
Historia bezpieczeństwa była częścią, której lider operacyjny nie w pełni przewidział. Dwie rzeczy poprawiły się dramatycznie naraz.
Off-boarding przeszedł z polowania do kliknięcia. Gdy buyer odchodził, nie było listy Business Managerów do przeczesania ani współdzielonego hasła do zresetowania na osiemdziesięciu klientach. Rola buyera była odbierana w workspace, a jego dostęp kończył się wszędzie naraz — praktycznie jedną akcją. Lęk „czy ogarnęliśmy wszystko?" zniknął, bo dostęp nigdy w pierwszej kolejności nie był rozsiany po danych logowania.
I agencja mogła wreszcie odpowiedzieć na pytanie o dostęp. Ponieważ każdy buyer pracował pod nazwaną rolą, a nie współdzieloną tożsamością, agencja miała jasny obraz, kto mógł czego dotykać, i zapis, kto to robił — uprawnienia decydują, kto może zmienić konto, a ścieżka rejestruje, co zmienił. Agencja prowadząca portfolio w ten sposób może powiedzieć każdemu klientowi dokładnie, kto ma dostęp i co zrobił, co jest inną rozmową niż „myślimy, że to był jeden z naszych buyerów".
Cichą wypłatą podłączania tokenem i przyznawania ról jest to, że dwa najtrudniejsze pytania agencji — kto ma dostęp i jak szybko możemy go odebrać — oba dostają łatwe odpowiedzi. Onboarding stał się szybszy, ale off-boarding stał się bezpieczny, a dla agencji trzymającej konta wielu klientów bezpieczny jest wart więcej.
Widok portfolio: jeden workspace, sześć platform
Model token-i-role nie był wygodą tylko-do-Meta. Ta sama zasada — podłącz konto raz, przyznaj role wewnętrzne, nigdy nie puszczaj danych logowania w obieg — rozciąga się na sześć platform, które wspiera workspace: Meta, Google, TikTok, Taboola, Snapchat i Outbrain. Klient prowadzący Meta, TikTok i trochę Taboola nie był już trzema problemami z loginem. Był jednym podłączonym klientem w jednym workspace, z buyerami agencji pracującymi na każdym kanale pod tą samą rolą, którą już mieli.
Ta konsolidacja wreszcie wycofała zakładkę „Loginy" na dobre. Agencja nie zarządzała osiemdziesięcioma hasłami na sześciu platformach — liczbą, która sięgnęłaby setek danych logowania. Zarządzała jednym portfolio, zarządzanym rolami, połączonym tokenami, widocznym w jednym miejscu. Resztę poradnika operacyjnego znajdziesz w hubie narzędzi agencyjnych.
Co do cennika, model skaluje się z portfolio, a nie z zespołem: stanowiska są nielimitowane na każdym planie, więc dodawanie buyerów nigdy nie kosztuje więcej, a konta równoległe skalują się od trzech na permanentnym planie Free (€0) przez Starter za €99/mies. i Pro za €499/mies. do nielimitowanych na Plus za €1 499/mies. (€1 199 rocznie, rozliczane w skali roku z −20%), z Enterprise jako planem na zamówienie. Każdy płatny plan zawiera 14-dniowy trial, który współistnieje z planem darmowym.
Sednem widoku portfolio nie jest ładniejszy dashboard. To, że model dostępu — podłącz raz, przyznaj role, odbierz kliknięciem — działa identycznie, czy klient prowadzi jedną platformę, czy wszystkie sześć. Agencja przestała mieć problem z loginem na kanał i zaczęła mieć jedną zarządzaną operację.
Lekcja: oddziel warstwę operacyjną od danych logowania
Zapytany, co powiedziałby młodszej wersji agencji, lider operacyjny jest bezpośredni: błędem było traktowanie dostępu do konta i narzędzia operacyjnego jako tej samej rzeczy. Nie są. Dane logowania — hasło, kod 2FA — należą do klienta. Warstwa operacyjna, gdzie Twoi buyerzy uruchamiają, edytują i raportują, jest Twoja. Era współdzielonego loginu je zlała, a to zlanie było źródłem każdego problemu: rozproszenia, polowań off-boardingowych, pytania o dostęp bez odpowiedzi.
Oddzielenie ich to cała naprawa. Podłącz konto raz przez token System-User, pozwól automatycznemu wykrywaniu ujawnić wszystko, do czego ten token ma dostęp, i daj zespołowi role wewnętrzne zamiast haseł. Zrób to, a onboarding osiemdziesiątego pierwszego klienta wygląda jak onboarding pierwszego — ustanowione połączenie i kilka przypisanych ról — zamiast jeszcze jednego wiersza w arkuszu, który powinien był przestać rosnąć dawno temu. Agencja, która potrafi onboardować konto klienta bez udostępniania loginu, jest tą, która potrafi dalej dodawać klientów bez kumulowania się jej ryzyka wraz z nimi.
Najczęściej zadawane pytania
The Ad Signal
Cotygodniowe spostrzeżenia dla media buyerów, którzy odmawiają zgadywania. Jeden e-mail. Tylko konkrety.
Powiązane artykuły
Współdzielone loginy po cichu zabijają Twoją agencję reklamową: argument za miejscami opartymi na rolach
Jedno współdzielone hasło wydawało się wydajne przy trzech klientach. Przy trzydziestu to dług operacyjny: zero odpowiedzialności, zero bezpieczeństwa, zero obronnego zapisu. Oto jak siedem scoped poziomów uprawnień raz na zawsze zastępuje współdzielony login.
Osobne loginy do każdego sklepu vs. jedna warstwa operacyjna dla wielu marek
Są dwa sposoby zarządzania portfelem sklepów: przeskakiwać między osobnymi loginami dla każdej marki albo obsługiwać je wszystkie z jednej warstwy. To rzetelne, bezpośrednie porównanie obu modeli — nakład pracy, ryzyko błędu, ponowne użycie, raportowanie i jedno pytanie, które je dzieli: czy naprawdę potrafi uruchamiać kampanie, czy tylko je obserwować?
Jak Agencja Wdraża Konto Nowego Klienta w Pierwszym Tygodniu z Wevion
Nowy retainer podpisuje umowę w poniedziałek. Większość agencji spędza pierwszy tydzień w chaosie — porozrzucane prośby o dostępy, tagowanie na szybko, bój o pierwszy raport. Oto jak jedna agencja prowadzi cały onboarding jako jedną sekwencję i kończy piątek z rolami, UTM-ami i zaplanowanym raportem już działającymi.