Configuración de usuarios y permisos
Gestione con precisión los accesos de su equipo con el sistema RBAC
KaliaOps ofrece un sistema de control de acceso basado en roles (RBAC) con 4 roles de sistema y más de 115 permisos granulares. Invite a colaboradores por correo electrónico, asígneles roles apropiados para sus responsabilidades y defina ámbitos de acceso (todo el tenant, organización, equipo o datos personales). La autenticación de dos factores es obligatoria para los administradores.
Visión general del RBAC
KaliaOps utiliza un sistema de control de acceso basado en roles (Role-Based Access Control) para gestionar con precisión quién puede acceder a qué en su instancia. Este sistema se basa en tres conceptos clave:
- Usuarios
- Las personas que inician sesión en KaliaOps. Cada usuario tiene un correo electrónico único, una contraseña y puede estar vinculado a un empleado de su organización.
- Roles
- Conjuntos de permisos que definen lo que un usuario puede hacer. A un usuario se le asigna un rol que determina sus derechos de acceso.
- Permisos
- Acciones elementales que se permiten o deniegan: ver, crear, editar, eliminar. Cada permiso está asociado a un recurso (activos, incidentes, contratos, etc.).
Este sistema permite aplicar el principio de mínimo privilegio: cada usuario solo tiene acceso a las funcionalidades estrictamente necesarias para su trabajo.
Roles del sistema
KaliaOps proporciona 4 roles de sistema predefinidos que cubren las necesidades más comunes. Estos roles no se pueden eliminar, pero puede crear roles personalizados si es necesario.
Administrador
Acceso completo a todas las funciones de la instancia. Los administradores pueden:
- Gestionar todos los usuarios, roles y permisos
- Configurar ajustes del tenant (SSO, webhooks, API)
- Acceder a todos los módulos CMDB e ITSM
- Ver registros de auditoría
- Exportar todos los datos
Ámbito predeterminado: Todo el tenant
Manager
Acceso extendido con capacidades de gestión organizacional:
- Crear, editar y eliminar entidades CMDB e ITSM
- Gestionar empleados y equipos de su organización
- Aprobar cambios y cerrar incidentes
- Acceder a informes y dashboards
Ámbito predeterminado: Organización
Técnico
Acceso operativo para el trabajo diario:
- Ver y editar entidades CMDB
- Gestionar incidentes, problemas y solicitudes asignados
- Crear artículos de base de conocimientos
- Usar herramientas de análisis de impacto
Ámbito predeterminado: Equipo
Lector
Acceso de solo lectura:
- Ver entidades CMDB e ITSM
- Acceder a dashboards
- Consultar la base de conocimientos
Ámbito predeterminado: Datos personales
Invitar usuarios
Acceda a la gestión de usuarios
En el menú lateral, haga clic en Configuración → Usuarios. Se muestra la lista de usuarios existentes con su rol, estado y fecha del último inicio de sesión.
Cree una invitación
Haga clic en el botón «Invitar usuario». Complete la siguiente información:
- Dirección de correo: el correo profesional del colaborador
- Rol: seleccione el rol apropiado
- Empleado asociado (opcional): vincule el usuario a un registro de empleado existente
El usuario recibe su invitación
Se envía automáticamente un correo de invitación. Contiene un enlace seguro de un solo uso válido durante 7 días. El usuario hace clic en este enlace para establecer su contraseña y activar su cuenta.
Configuración de la cuenta
El usuario establece su contraseña y, si lo requiere su rol (administrador) o lo desea, configura la autenticación de dos factores. Su cuenta queda activa y puede acceder a KaliaOps.
Gestión de permisos
KaliaOps ofrece más de 115 permisos granulares organizados por categoría. Cada permiso sigue el formato recurso.acción.
Acciones disponibles
| Acción | Descripción |
|---|---|
view | Ver lista y detalles |
create | Crear una nueva entidad |
edit | Modificar una entidad existente |
delete | Eliminar una entidad |
Categorías de permisos
- CMDB
- assets, applications, contracts, vendors, clients, vlans, racks, network_flows
- ITSM
- incidents, problems, changes, service_requests, sla, workflows
- Organización
- organizations, teams, employees, sites, projects
- Administración
- users, roles, api_tokens, webhooks, imports, exports, audit_logs
Permisos especiales
Algunos permisos controlan funcionalidades avanzadas:
dependencies.view: Ver dependencias entre entidadesimpact_analysis.view: Usar la herramienta de análisis de impactopredictive_analytics.view: Acceder a análisis predictivossso.manage: Configurar autenticación SSOcloud_connections.sync: Activar sincronización en la nube
Ámbitos de acceso
Los ámbitos definen el perímetro de datos accesible para cada permiso. Un usuario puede tener permiso para ver activos, pero solo los de su equipo.
Los 4 niveles de ámbito
- all - Todo el tenant
- Acceso a todos los datos de la instancia. Reservado para administradores y roles de supervisión global.
- organization - Organización
- Acceso a datos de la organización del usuario y sus suborganizaciones. Ideal para gerentes de departamento o filial.
- team - Equipo
- Acceso a datos del equipo del usuario. Adecuado para técnicos y miembros de equipos de proyecto.
- own - Datos personales
- Acceso solo a entidades creadas por el usuario o asignadas explícitamente a él.
Ejemplo práctico
Un técnico de soporte con ámbito «equipo» en incidentes:
- Puede ver: incidentes asignados a su equipo
- Puede editar: incidentes asignados a su equipo
- No puede ver: incidentes de otros equipos
Protección de datos sensibles
KaliaOps incluye un sistema de protección de campos sensibles (FieldGuard) que enmascara automáticamente cierta información según los permisos del usuario.
Campos protegidos por recurso
| Recurso | Campos sensibles | Permiso requerido |
|---|---|---|
| Contratos | Coste anual, coste total, precio unitario | contracts.field.cost |
| Proveedores | Cuenta bancaria (IBAN) | vendors.field.bank |
| Proveedores | CIF/NIF, número de IVA | vendors.field.legal |
Comportamiento
Cuando un usuario no tiene permiso para ver un campo sensible:
- En vistas de detalle: el campo muestra
*** - En exportaciones: el campo se omite o enmascara
- En la API: el campo no se incluye en la respuesta
Esta protección se aplica automáticamente, sin configuración adicional.
Mejores prácticas
Principio de mínimo privilegio
Asigne siempre el rol con los permisos mínimos necesarios. Es más fácil añadir derechos que revocarlos después de un incidente de seguridad.
Autenticación de dos factores
El 2FA es obligatorio para administradores, pero recomendamos encarecidamente activarlo para todos los usuarios. KaliaOps soporta aplicaciones TOTP estándar (Google Authenticator, Authy, Microsoft Authenticator).
Revisión regular de accesos
Programe una revisión trimestral de usuarios y sus roles:
- Desactive cuentas de empleados que hayan dejado la empresa
- Verifique que los roles coincidan con las responsabilidades actuales
- Revise los registros de auditoría para detectar anomalías
Uso de ámbitos
Prefiera ámbitos restrictivos (equipo, organización) sobre «todo el tenant». Esto limita el impacto de una cuenta comprometida.
Vinculación usuario-empleado
Vincule sistemáticamente las cuentas de usuario a los registros de empleados. Esto facilita:
- Identificar personas en registros de auditoría
- Desactivación automática cuando un empleado se va
- Asignar incidentes y solicitudes a las personas correctas
- 4 roles de sistema predefinidos: Administrador, Manager, Técnico, Lector
- Más de 115 permisos granulares que cubren todos los módulos
- Ámbitos de acceso: todo el tenant, organización, equipo o datos personales
- Invitaciones por correo con enlace seguro de un solo uso (válido 7 días)
- 2FA obligatorio para administradores, recomendado para todos