Gestión de usuarios y roles
Controle los accesos a su tenant
KaliaOps propone un sistema RBAC (Role-Based Access Control) completo con 4 roles de sistema, 90+ permisos granulares y scopes de ownership para un control de acceso fino. La invitación por email simplifica el onboarding y las funcionalidades de desactivación/eliminación aseguran la conformidad RGPD.
Sistema RBAC
KaliaOps utiliza un sistema RBAC (Role-Based Access Control) para gestionar los derechos de acceso.
Principio
Cada usuario se le asigna un rol que define sus permisos:
- Rol: Conjunto de permisos (ej: Admin, Manager)
- Permiso: Derecho a realizar una acción (ej: assets.view, incidents.create)
- Scope: Perímetro de aplicación del derecho (ej: todas las entidades, mi equipo)
Roles de sistema
| Rol | Descripción | Scope por defecto |
|---|---|---|
| Admin | Acceso completo a todas las funcionalidades | all |
| Manager | Gestión completa en su perímetro | organization |
| Tech | Acciones operacionales CMDB/ITSM | team |
| Viewer | Solo consulta | own |
Estos roles están protegidos y no pueden eliminarse.
Roles personalizados
Puede crear roles personalizados con permisos específicos para responder a sus necesidades.
Invitar un usuario
Acceda a la gestión de usuarios
Menú Configuración → Usuarios.
Haga clic en «Invitar»
Abra el formulario de invitación.
Complete la información
Complete:
- Email: Dirección email del nuevo usuario
- Rol: Rol a atribuir
- Empleado: Enlazar a un empleado existente (opcional)
Envíe la invitación
El usuario recibe un email con un enlace de activación válido 48h.
Activación por el usuario
El usuario hace clic en el enlace, define su contraseña y accede a KaliaOps.
Gestionar usuarios
Lista de usuarios
La lista muestra todos los usuarios del tenant con:
- Nombre y email
- Rol asignado
- Estado (activo, invitado, desactivado)
- Última conexión
Acciones disponibles
- Modificar el rol: Cambiar los permisos del usuario
- Restablecer contraseña: Enviar un enlace de restablecimiento
- Desactivar: Bloquear el acceso temporalmente
- Eliminar: Retirar definitivamente el usuario
Estados del usuario
| Estado | Descripción |
|---|---|
| Invitado | Invitación enviada, pendiente de activación |
| Activo | Cuenta activada y funcional |
| Desactivado | Acceso bloqueado, datos conservados |
Roles y permisos
Crear un rol personalizado
- Menú Configuración → Roles
- Haga clic en «Nuevo rol»
- Nombre el rol (ej: «Soporte N1»)
- Seleccione los permisos
- Guarde
Categorías de permisos
| Categoría | Ejemplos |
|---|---|
| CMDB | assets.view, assets.create, applications.edit, contracts.delete |
| ITSM | incidents.view, incidents.resolve, changes.approve, sla.manage |
| Organización | organizations.view, teams.edit, employees.create |
| Administración | users.manage, roles.edit, audit_logs.view, api_tokens.create |
Formato de permisos
{recurso}.{accion}Ejemplos:
assets.view: Consultar los activosincidents.create: Crear un incidentecontracts.field.cost: Ver los costes de los contratos
Scopes de ownership
Los scopes definen el perímetro de acceso a los datos.
Scopes disponibles
| Scope | Acceso | Ejemplo |
|---|---|---|
| all | Todas las entidades del tenant | Admin ve todos los incidentes |
| organization | Entidades de su organización | Manager ve los incidentes de su departamento |
| team | Entidades de su equipo | Tech ve los incidentes asignados a su equipo |
| own | Sus propias entidades | Viewer ve únicamente sus incidentes |
Aplicación del scope
El scope se aplica automáticamente:
- A las listas filtradas según el perímetro
- A las acciones (modificación, eliminación)
- A las exportaciones e informes
Herencia
Un usuario con scope «organization» ve también las entidades de los equipos de su organización.
Enlace usuario-empleado
Cada usuario puede enlazarse a un empleado de la base CMDB.
¿Por qué enlazar?
- Coherencia: Una sola identidad en el sistema
- Asignaciones: El usuario aparece en los selectores (jefe de proyecto, etc.)
- Scope automático: Herencia del equipo/organización del empleado
Crear el enlace
Dos métodos:
- En la invitación: Seleccione el empleado en el formulario
- Después de la creación: Modifique el usuario y enlace un empleado
Restricción de unicidad
Un empleado solo puede enlazarse a un único usuario. Si intenta enlazar un empleado ya asociado, se muestra un error.
Usuario sin empleado
Un usuario sin enlace de empleado:
- Puede conectarse y usar KaliaOps
- No aparece en los selectores «empleado»
- Su scope se determina únicamente por su rol
Conformidad RGPD
KaliaOps integra funcionalidades para la conformidad RGPD.
Desactivación
La desactivación bloquea el acceso sin eliminar los datos:
- Abra la ficha del usuario
- Haga clic en «Desactivar»
- El usuario ya no puede conectarse
- Sus datos y su historial se conservan
La desactivación es reversible.
Eliminación
La eliminación retira definitivamente al usuario:
- Abra la ficha del usuario
- Haga clic en «Eliminar»
- Confirme la eliminación
Eliminación programada
Para la conformidad RGPD, puede programar una eliminación diferida:
- El usuario se desactiva inmediatamente
- La eliminación efectiva tiene lugar en la fecha programada
- El usuario puede solicitar la cancelación antes de esa fecha
Datos conservados
Después de la eliminación, ciertos datos se conservan para la auditoría:
- Logs de acciones (anonimizados)
- Historial de incidentes tratados
- Referencias en las entidades creadas
- Sistema RBAC con 4 roles predefinidos (admin, manager, tech, viewer)
- 90+ permisos granulares cubriendo todas las funcionalidades
- Scopes de ownership: all, organization, team, own
- Invitación por email con rol y empleado pre-asignados
- Conformidad RGPD: desactivación y eliminación programada