Configurazione utenti e permessi
Gestisci con precisione gli accessi del tuo team con il sistema RBAC
KaliaOps offre un sistema di controllo degli accessi basato sui ruoli (RBAC) con 4 ruoli di sistema e oltre 115 permessi granulari. Invita i collaboratori via email, assegna loro ruoli appropriati alle loro responsabilità e definisci gli ambiti di accesso (intero tenant, organizzazione, team o dati personali). L'autenticazione a due fattori è obbligatoria per gli amministratori.
Panoramica RBAC
KaliaOps utilizza un sistema di controllo degli accessi basato sui ruoli (Role-Based Access Control) per gestire con precisione chi può accedere a cosa nella tua istanza. Questo sistema si basa su tre concetti chiave:
- Utenti
- Le persone che accedono a KaliaOps. Ogni utente ha un'email univoca, una password e può essere collegato a un dipendente della tua organizzazione.
- Ruoli
- Insiemi di permessi che definiscono cosa può fare un utente. A un utente viene assegnato un ruolo che determina i suoi diritti di accesso.
- Permessi
- Azioni elementari consentite o negate: visualizzare, creare, modificare, eliminare. Ogni permesso è associato a una risorsa (asset, incidenti, contratti, ecc.).
Questo sistema permette di applicare il principio del minimo privilegio: ogni utente ha accesso solo alle funzionalità strettamente necessarie per il suo lavoro.
Ruoli di sistema
KaliaOps fornisce 4 ruoli di sistema predefiniti che coprono le esigenze più comuni. Questi ruoli non possono essere eliminati, ma puoi creare ruoli personalizzati se necessario.
Amministratore
Accesso completo a tutte le funzionalità dell'istanza. Gli amministratori possono:
- Gestire tutti gli utenti, ruoli e permessi
- Configurare le impostazioni del tenant (SSO, webhook, API)
- Accedere a tutti i moduli CMDB e ITSM
- Visualizzare i log di audit
- Esportare tutti i dati
Ambito predefinito: Intero tenant
Manager
Accesso esteso con capacità di gestione organizzativa:
- Creare, modificare ed eliminare entità CMDB e ITSM
- Gestire dipendenti e team della propria organizzazione
- Approvare modifiche e chiudere incidenti
- Accedere a report e dashboard
Ambito predefinito: Organizzazione
Tecnico
Accesso operativo per il lavoro quotidiano:
- Visualizzare e modificare entità CMDB
- Gestire incidenti, problemi e richieste assegnati
- Creare articoli della knowledge base
- Utilizzare gli strumenti di analisi dell'impatto
Ambito predefinito: Team
Lettore
Accesso in sola lettura:
- Visualizzare entità CMDB e ITSM
- Accedere alle dashboard
- Consultare la knowledge base
Ambito predefinito: Dati personali
Invitare utenti
Accedi alla gestione utenti
Nel menu laterale, clicca su Impostazioni → Utenti. Viene visualizzato l'elenco degli utenti esistenti con ruolo, stato e data dell'ultimo accesso.
Crea un invito
Clicca sul pulsante «Invita utente». Compila le seguenti informazioni:
- Indirizzo email: l'email professionale del collaboratore
- Ruolo: seleziona il ruolo appropriato
- Dipendente associato (opzionale): collega l'utente a un record dipendente esistente
L'utente riceve l'invito
Viene inviata automaticamente un'email di invito. Contiene un link sicuro monouso valido per 7 giorni. L'utente clicca su questo link per impostare la password e attivare il proprio account.
Configurazione dell'account
L'utente imposta la password e, se richiesto dal ruolo (amministratore) o per scelta, configura l'autenticazione a due fattori. Il suo account è quindi attivo e può accedere a KaliaOps.
Gestione dei permessi
KaliaOps offre oltre 115 permessi granulari organizzati per categoria. Ogni permesso segue il formato risorsa.azione.
Azioni disponibili
| Azione | Descrizione |
|---|---|
view | Visualizzare elenco e dettagli |
create | Creare una nuova entità |
edit | Modificare un'entità esistente |
delete | Eliminare un'entità |
Categorie di permessi
- CMDB
- assets, applications, contracts, vendors, clients, vlans, racks, network_flows
- ITSM
- incidents, problems, changes, service_requests, sla, workflows
- Organizzazione
- organizations, teams, employees, sites, projects
- Amministrazione
- users, roles, api_tokens, webhooks, imports, exports, audit_logs
Permessi speciali
Alcuni permessi controllano funzionalità avanzate:
dependencies.view: Visualizzare le dipendenze tra entitàimpact_analysis.view: Utilizzare lo strumento di analisi dell'impattopredictive_analytics.view: Accedere alle analisi predittivesso.manage: Configurare l'autenticazione SSOcloud_connections.sync: Avviare la sincronizzazione cloud
Ambiti di accesso
Gli ambiti definiscono il perimetro dei dati accessibili per ogni permesso. Un utente può avere il permesso di visualizzare gli asset, ma solo quelli del suo team.
I 4 livelli di ambito
- all - Intero tenant
- Accesso a tutti i dati dell'istanza. Riservato agli amministratori e ai ruoli di supervisione globale.
- organization - Organizzazione
- Accesso ai dati dell'organizzazione dell'utente e delle sue sotto-organizzazioni. Ideale per i responsabili di dipartimento o filiale.
- team - Team
- Accesso ai dati del team dell'utente. Adatto a tecnici e membri di team di progetto.
- own - Dati personali
- Accesso solo alle entità create dall'utente o esplicitamente assegnate a lui.
Esempio pratico
Un tecnico del supporto con ambito «team» sugli incidenti:
- Può visualizzare: incidenti assegnati al suo team
- Può modificare: incidenti assegnati al suo team
- Non può visualizzare: incidenti di altri team
Protezione dei dati sensibili
KaliaOps include un sistema di protezione dei campi sensibili (FieldGuard) che maschera automaticamente determinate informazioni in base ai permessi dell'utente.
Campi protetti per risorsa
| Risorsa | Campi sensibili | Permesso richiesto |
|---|---|---|
| Contratti | Costo annuale, costo totale, prezzo unitario | contracts.field.cost |
| Fornitori | Conto bancario (IBAN) | vendors.field.bank |
| Fornitori | P.IVA, codice fiscale | vendors.field.legal |
Comportamento
Quando un utente non ha il permesso di visualizzare un campo sensibile:
- Nelle viste dettagliate: il campo mostra
*** - Nelle esportazioni: il campo viene omesso o mascherato
- Nell'API: il campo non è incluso nella risposta
Questa protezione si applica automaticamente, senza configurazione aggiuntiva.
Best practice
Principio del minimo privilegio
Assegna sempre il ruolo con i permessi minimi necessari. È più facile aggiungere diritti che revocarli dopo un incidente di sicurezza.
Autenticazione a due fattori
Il 2FA è obbligatorio per gli amministratori, ma consigliamo vivamente di attivarlo per tutti gli utenti. KaliaOps supporta le app TOTP standard (Google Authenticator, Authy, Microsoft Authenticator).
Revisione regolare degli accessi
Pianifica una revisione trimestrale degli utenti e dei loro ruoli:
- Disattiva gli account dei dipendenti che hanno lasciato l'azienda
- Verifica che i ruoli corrispondano ancora alle responsabilità attuali
- Controlla i log di audit per rilevare anomalie
Utilizzo degli ambiti
Preferisci ambiti restrittivi (team, organizzazione) rispetto a «intero tenant». Questo limita l'impatto di un account compromesso.
Collegamento utente-dipendente
Collega sistematicamente gli account utente ai record dei dipendenti. Questo facilita:
- L'identificazione delle persone nei log di audit
- La disattivazione automatica quando un dipendente lascia
- L'assegnazione di incidenti e richieste alle persone giuste
- 4 ruoli di sistema predefiniti: Amministratore, Manager, Tecnico, Lettore
- Oltre 115 permessi granulari che coprono tutti i moduli
- Ambiti di accesso: intero tenant, organizzazione, team o dati personali
- Inviti via email con link sicuro monouso (valido 7 giorni)
- 2FA obbligatorio per gli amministratori, consigliato per tutti