Ir al contenido principal

Configurar permisos

AI-Public security trabaja sobre roles con permisos.

Cuentas y roles

Las cuentas se crean automáticamente tras un intento de inicio de sesión exitoso. Durante la creación de cuentas se añaden tokens en el servidor que determinan el rol base. Estos roles pueden ser ajustados más tarde por administradores autorizados. Los tokens iniciales suelen ser:

  • Empleado (sí/no): se establece en "sí" si la dirección de correo electrónico coincide con la de la lista de empleados.
  • Admin de Sucursal (sí/no): inicialmente suele establecerse en "no" y luego se concede.
  • Admin de Entorno (sí/no): inicialmente suele establecerse en "no" y luego se concede.
  • Super Admin (sí/no): inicialmente suele establecerse en "no" (excepto para el primer Super Admin) y luego se concede.

Cambiar rol

Un Super Admin, Admin de Entorno o Admin de Sucursal puede asignar roles, dependiendo de su propio rol y de los permisos concedidos para gestionar roles. La jerarquía suele ser:

  • Un Super Admin puede asignar todos los demás roles (Admin de Entorno, Admin de Sucursal, Empleado).
  • Un Admin de Entorno puede asignar roles como Admin de Sucursal y Empleado dentro de su propio entorno.
  • Un Admin de Sucursal puede asignar el rol Empleado dentro de su propia sucursal/alcance.
  • Un Empleado no puede asignar roles.

Un cambio de rol implica ajustar los tokens relevantes en el servidor.

Permisos por rol

En la sección de administración, un Super Admin o Admin de Entorno puede ajustar permisos por rol. Los roles disponibles para establecer permisos son: Super Admin, Admin de Entorno, Admin de Sucursal, Empleado y Invitado.

El rol Invitado se refiere a los permisos otorgados a usuarios no autenticados. Los usuarios no autenticados deben poder leer al menos los datos básicos de los entornos, ya que de lo contrario no se podría hacer una elección en la pantalla de inicio de sesión. ¡Sé muy cauteloso al otorgar permisos adicionales al rol Invitado!

Colecciones

Los permisos se otorgan por colección. Una colección es un conjunto de datos similares. Por ejemplo, hay una colección "Organizaciones" y una colección "Chats".

Configurar permisos en la base de datos por defecto

Solo los Super Admin pueden configurar permisos en la base de datos por defecto.

Configurar permisos en la base de datos del tenant

Tras la selección de un rol (Super Admin, Admin de Entorno, Admin de Sucursal, Empleado, Invitado), el administrador puede ajustar los permisos por colección en la base de datos del tenant.

Permisos de lectura

Los permisos de lectura se refieren a la capacidad de leer datos de la base de datos.

Los derechos se pueden ajustar de forma progresiva:

  • Solo registro: para esto el usuario debe conocer el UUID único del registro

  • Propios registros: solo los registros que el usuario ha creado

  • Registros compartidos: registros que han sido compartidos con el usuario

  • Registros controlados: registros que están bajo el control de un gerente o administrador (p. ej., Admin de Sucursal o Admin de Entorno), por ejemplo chats relacionados con un departamento o proyecto específico

  • Registros de tenant: todos los registros de un tenant en AI-Public

  • Todos los registros: todos los registros de AI-Public

Dado que la estructura de la base de datos está diseñada para que cada tenant (cliente) de AI-Public tenga su propia base de datos, la configuración de "Registros de tenant" está desactivada al configurar permisos en bases de datos de tenant.

Permisos de visualización

Aquí el administrador puede configurar si la correspondiente rol (Super Admin, Admin de Entorno, Admin de Sucursal, Empleado) debe ver el tile en la sección de administración.

Permisos de Crear, Actualizar, Eliminar

Estos permisos son para crear, actualizar o eliminar registros y son configurables por colección. Los derechos se pueden ajustar de forma progresiva:

  • Propios registros: solo los registros que el usuario crea o ha creado

  • Registros de tenant: todos los registros de un tenant en AI-Public

  • Todos los registros: todos los registros de AI-Public

Dado que la estructura de la base de datos está diseñada para que cada tenant (cliente) de AI-Public tenga su propia base de datos, la configuración de "Registros de tenant" está desactivada al configurar permisos en bases de datos de tenant.