Gestione degli utenti e dei ruoli
Controlla gli accessi al tuo tenant
KaliaOps propone un sistema RBAC (Role-Based Access Control) completo con 4 ruoli di sistema, 90+ permessi granulari e scope di ownership per un controllo degli accessi fine. L'invito via email semplifica l'onboarding e le funzionalità di disattivazione/eliminazione garantiscono la conformità GDPR.
Sistema RBAC
KaliaOps utilizza un sistema RBAC (Role-Based Access Control) per gestire i diritti di accesso.
Principio
A ogni utente viene assegnato un ruolo che definisce i suoi permessi:
- Ruolo: Insieme di permessi (es: Admin, Manager)
- Permesso: Diritto di effettuare un'azione (es: assets.view, incidents.create)
- Scope: Perimetro di applicazione del diritto (es: tutte le entità, il mio team)
Ruoli di sistema
| Ruolo | Descrizione | Scope predefinito |
|---|---|---|
| Admin | Accesso completo a tutte le funzionalità | all |
| Manager | Gestione completa nel suo perimetro | organization |
| Tech | Azioni operative CMDB/ITSM | team |
| Viewer | Solo consultazione | own |
Questi ruoli sono protetti e non possono essere eliminati.
Ruoli personalizzati
Puoi creare ruoli personalizzati con permessi specifici per rispondere alle tue esigenze.
Invitare un utente
Accedi alla gestione utenti
Menu Impostazioni → Utenti.
Clicca su «Invita»
Apri il modulo di invito.
Compila le informazioni
Completa:
- Email: Indirizzo email del nuovo utente
- Ruolo: Ruolo da assegnare
- Dipendente: Collegare a un dipendente esistente (opzionale)
Invia l'invito
L'utente riceve un'email con un link di attivazione valido 48h.
Attivazione da parte dell'utente
L'utente clicca sul link, definisce la sua password e accede a KaliaOps.
Gestire gli utenti
Lista degli utenti
La lista mostra tutti gli utenti del tenant con:
- Nome e email
- Ruolo assegnato
- Stato (attivo, invitato, disattivato)
- Ultima connessione
Azioni disponibili
- Modificare il ruolo: Cambiare i permessi dell'utente
- Reimpostare la password: Inviare un link di reimpostazione
- Disattivare: Bloccare l'accesso temporaneamente
- Eliminare: Rimuovere definitivamente l'utente
Stati utente
| Stato | Descrizione |
|---|---|
| Invitato | Invito inviato, in attesa di attivazione |
| Attivo | Account attivato e funzionante |
| Disattivato | Accesso bloccato, dati conservati |
Ruoli e permessi
Creare un ruolo personalizzato
- Menu Impostazioni → Ruoli
- Clicca su «Nuovo ruolo»
- Nomina il ruolo (es: «Supporto N1»)
- Seleziona i permessi
- Salva
Categorie di permessi
| Categoria | Esempi |
|---|---|
| CMDB | assets.view, assets.create, applications.edit, contracts.delete |
| ITSM | incidents.view, incidents.resolve, changes.approve, sla.manage |
| Organizzazione | organizations.view, teams.edit, employees.create |
| Amministrazione | users.manage, roles.edit, audit_logs.view, api_tokens.create |
Formato dei permessi
{risorsa}.{azione}Esempi:
assets.view: Consultare gli assetincidents.create: Creare un incidentecontracts.field.cost: Vedere i costi dei contratti
Scope di ownership
Gli scope definiscono il perimetro di accesso ai dati.
Scope disponibili
| Scope | Accesso | Esempio |
|---|---|---|
| all | Tutte le entità del tenant | Admin vede tutti gli incidenti |
| organization | Entità della sua organizzazione | Manager vede gli incidenti del suo dipartimento |
| team | Entità del suo team | Tech vede gli incidenti assegnati al suo team |
| own | Le proprie entità | Viewer vede solo i suoi incidenti |
Applicazione dello scope
Lo scope si applica automaticamente:
- Alle liste filtrate secondo il perimetro
- Alle azioni (modifica, eliminazione)
- Agli export e report
Ereditarietà
Un utente con scope «organization» vede anche le entità dei team della sua organizzazione.
Collegamento utente-dipendente
Ogni utente può essere collegato a un dipendente del database CMDB.
Perché collegare?
- Coerenza: Un'unica identità nel sistema
- Assegnazioni: L'utente appare nei selettori (capo progetto, ecc.)
- Scope automatico: Ereditarietà del team/organizzazione del dipendente
Creare il collegamento
Due metodi:
- All'invito: Seleziona il dipendente nel modulo
- Dopo la creazione: Modifica l'utente e collega un dipendente
Vincolo di unicità
Un dipendente può essere collegato a un solo utente. Se si tenta di collegare un dipendente già associato, viene visualizzato un errore.
Utente senza dipendente
Un utente senza collegamento dipendente:
- Può connettersi e usare KaliaOps
- Non appare nei selettori «dipendente»
- Il suo scope è determinato solo dal suo ruolo
Conformità GDPR
KaliaOps integra funzionalità per la conformità GDPR.
Disattivazione
La disattivazione blocca l'accesso senza eliminare i dati:
- Apri la scheda utente
- Clicca su «Disattiva»
- L'utente non può più connettersi
- I suoi dati e il suo storico vengono conservati
La disattivazione è reversibile.
Eliminazione
L'eliminazione rimuove definitivamente l'utente:
- Apri la scheda utente
- Clicca su «Elimina»
- Conferma l'eliminazione
Eliminazione programmata
Per la conformità GDPR, puoi programmare un'eliminazione differita:
- L'utente viene immediatamente disattivato
- L'eliminazione effettiva avviene alla data programmata
- L'utente può richiedere l'annullamento prima di tale data
Dati conservati
Dopo l'eliminazione, alcuni dati vengono conservati per l'audit:
- Log delle azioni (anonimizzati)
- Storico degli incidenti trattati
- Riferimenti nelle entità create
- Sistema RBAC con 4 ruoli predefiniti (admin, manager, tech, viewer)
- 90+ permessi granulari che coprono tutte le funzionalità
- Scope di ownership: all, organization, team, own
- Invito via email con ruolo e dipendente pre-assegnati
- Conformità GDPR: disattivazione ed eliminazione programmata