Matriz de derechos • Gestión de usuarios
Este artículo recapitula, en forma de matriz de derechos, las acciones permitidas o no según el rol del usuario dentro de las pestañas Gestión de usuarios y Organización. Le permite saber, para cada rol, qué operaciones son posibles sobre los usuarios y sobre las organizaciones.
Glosario de roles
Antes de consultar la matriz, es necesario conocer los diferentes roles:
- Super-admin: administrador de la organización matriz, responsable de la activación de la licencia.
- Administrador de la organización: administrador de la organización actual (organización N).
- Administrador de una organización superior: administrador de una organización jerárquicamente superior a la actual (organización N+1 a N+∞).
- Moderador de la organización: moderador de la organización actual (organización N).
- Moderador de una organización superior: moderador de una organización jerárquicamente superior a la actual (organización N+1 a N+∞).
- Usuario simple: usuario simple de la organización. No aparece como columna en la matriz porque los usuarios simples no tienen acceso a la pestaña Gestión de usuarios.
- User: término genérico que designa a todos los tipos de usuarios (administrador, moderador o usuario simple).
Los roles «ciegos»
Un usuario ciego (administrador o moderador) posee los mismos derechos en Gestión de usuarios que el rol equivalente no ciego. La única diferencia se refiere a LockPass: un usuario ciego no dispone de ningún derecho sobre las contraseñas.
Por eso la matriz no incluye ninguna columna dedicada a los roles ciegos: la diferencia de derechos solo afecta a la gestión de contraseñas, y no a la gestión de usuarios en Gestión de usuarios.
Nota: en todas las tablas siguientes, nos situamos desde el punto de vista de la organización N (la organización actual).
Acciones sobre los usuarios
| Acción | Super-admin | Admin org. N | Admin org. superior | Moderador org. N | Moderador org. superior |
|---|---|---|---|---|---|
| Crear un usuario simple | ✅ | ✅ | ✅ | ✅ | ✅ |
| Eliminar un usuario simple | ✅ | ✅ | ✅ | ✅ | ✅ |
| Mover un usuario simple | ✅ | ✅ | ✅ | ✅ | ✅ |
| Añadir un usuario a un grupo | ✅ | ✅ | ✅ | ✅ | ✅ |
| Bloquear un usuario simple | ✅ | ✅ | ✅ | ✅ | ✅ |
| Bloquear un moderador | ✅ | ✅ | ✅ | ❌ | ❌ |
| Cambiar la administración de la organización | ✅ | ✅ | ✅ | ❌ | ❌ |
| Pasar un usuario de la org. N ➝ moderador de la org. N | ✅ | ✅ | ❌ | ❌ | ❌ |
| Pasar un moderador de la org. N ➝ usuario de la org. N | ✅ | ✅ | ❌ | ❌ | ❌ |
| Volver ciego al Super-admin 1 | ✅ | ❌ | ❌ | ❌ | ❌ |
| Volver ciego al admin de la org. N 2 | ✅ | ❌ | ✅ | ❌ | ❌ |
| Volver ciego al moderador de la org. N 3 | ✅ | ✅ | ✅ | ❌ | ✅ |
| Desactivar el MFA de un usuario | ✅ | ✅ | ✅ | ✅ | ✅ |
| Modificar la contraseña local de un usuario | ✅ | ✅ | ✅ | ✅ | ✅ |
| Modificar el estado de proveedor de un usuario | ✅ | ✅ | ✅ | ✅ | ✅ |
| Modificar la fecha de expiración de un usuario simple | ✅ | ✅ | ✅ | ✅ | ✅ |
| Modificar la fecha de expiración de un moderador | ✅ | ✅ | ✅ | ✅ | ✅ |
| Descargar el informe de derechos de un usuario | ✅ | ✅ | ✅ | ✅ | ✅ |
| Desactivar el MFA de un administrador | ✅ | ✅ | ✅ | ✅ | ✅ |
| Desactivar el MFA de un moderador | ✅ | ✅ | ✅ | ✅ | ✅ |
Gestión de grupos de usuarios
| Acción | Super-admin | Admin org. N | Admin org. superior | Moderador org. N | Moderador org. superior |
|---|---|---|---|---|---|
| Crear un grupo de usuarios de la org. N | ❌ | ✅ | ❌ | ✅ | ❌ |
| Modificar el nombre de un grupo de la org. N | ❌ | ✅ | ❌ | ✅ | ❌ |
| Eliminar un grupo de usuarios de la org. N | ❌ | ✅ | ❌ | ✅ | ❌ |
| Añadir uno o varios usuarios a un grupo de la org. N | ❌ | ✅ | ❌ | ✅ | ❌ |
| Quitar uno o varios usuarios de un grupo de la org. N | ❌ | ✅ | ❌ | ✅ | ❌ |
Gestión de contraseñas locales y del MFA
| Acción | Super-admin | Admin org. N | Admin org. superior | Moderador org. N | Moderador org. superior |
|---|---|---|---|---|---|
| Modificar la contraseña local del moderador de la org. N 4 | ✅ | ✅ | ✅ | ❌ | ✅ |
| Modificar la contraseña local de los demás moderadores de la org. N | ✅ | ✅ | ✅ | ✅ | ✅ |
| Modificar la contraseña local de un usuario simple | ✅ | ✅ | ✅ | ✅ | ✅ |
Acciones imposibles para todos los roles
Algunas acciones sobre los usuarios son imposibles independientemente del rol:
- Eliminar un administrador
- Eliminar un moderador
- Mover un administrador
- Mover un moderador
- Bloquear un administrador
- Modificar la fecha de expiración de un administrador
Acciones sobre las organizaciones
| Acción | Super-admin | Admin org. N | Admin org. superior | Moderador org. N | Moderador org. superior |
|---|---|---|---|---|---|
| Crear una organización al nivel de la org. N | ✅ | ❌ | ✅ | ❌ | ❌ |
| Crear una suborganización dentro de la org. N | ✅ | ✅ | ✅ | ❌ | ❌ |
| Modificar el nombre de la organización N | ✅ | ✅ | ✅ | ✅ | ✅ |
| Modificar el nombre de una suborganización de la org. N | ✅ | ✅ | ✅ | ✅ | ✅ |
| Eliminar la organización N si no tiene suborganización | ✅ | ❌ | ✅ | ❌ | ❌ |
Acciones imposibles sobre las organizaciones
Las siguientes acciones son imposibles independientemente del rol:
- Eliminar la organización N si contiene suborganizaciones
- Eliminar la organización matriz
Precisiones
- Un Super-admin solo puede volverse ciego a sí mismo.
- Un administrador de la org. N no puede volverse ciego a sí mismo (equivaldría a autorrestringirse). Un administrador de una organización superior sí puede hacerlo.
- Un moderador de la org. N no puede volverse ciego a sí mismo. Un moderador de una organización superior sí puede hacerlo.
- Actualmente, un moderador no puede modificar su propia contraseña local; esta acción debe ser realizada por otro rol autorizado.
Actualización