Roles y Permisos
Gestionado vía: la página de edición de usuario (backoffice/users/{id}/edit)
Disponible para roles: Administrador del Sistema
Descripción General
Airspace utiliza Bouncer para el control de acceso basado en roles (RBAC). Cada acción del backoffice está protegida por habilidades, y las habilidades se otorgan a través de roles o se asignan directamente a usuarios individuales. Este sistema asegura que los miembros del personal solo tengan acceso a las funciones que necesitan.
Arquitectura de Control de Acceso
El sistema de permisos está estructurado en tres capas:
- Gate:
see-admin-panel-- Controla el acceso a todo el backoffice. Si un usuario no pasa este gate, no puede alcanzar ninguna página de administración independientemente de sus roles o habilidades. - Habilidad:
see-admin-options-- Controla la visibilidad de la navegación lateral. Los usuarios con esta habilidad ven los elementos del menú del backoffice. Tanto el rol de Administrador como el de Personal de Operaciones incluyen esta habilidad. - Habilidades a nivel de modelo -- Permisos detallados (ver, crear, actualizar, eliminar, etc.) limitados a modelos y recursos específicos.
Roles Integrados
Airspace viene con tres roles integrados. Cada rol está diseñado para un nivel específico de responsabilidad administrativa.
Administrador del Sistema
El rol de Administrador del Sistema lleva la habilidad everything, que otorga acceso irrestricto a cada función, página y acción de la plataforma. No hay verificaciones de permisos que puedan bloquear a un Administrador del Sistema.
| Propiedad | Valor |
|---|---|
| Clave del rol | sysadmin |
| Habilidad central | everything |
| Nivel de acceso | Sin restricciones |
Asigne el rol de Administrador del Sistema con moderación. Omite todas las verificaciones de permisos por completo.
Administrador
El rol de Administrador proporciona amplias capacidades de gestión en la mayoría de las funciones de la plataforma. Incluye la habilidad see-admin-options más permisos completos de gestión en una amplia gama de modelos.
| Propiedad | Valor |
|---|---|
| Clave del rol | administrator |
| Habilidad central | see-admin-options |
| Nivel de acceso | La mayoría de las funciones de gestión |
Los Administradores pueden gestionar los siguientes recursos:
| Categoría | Modelos |
|---|---|
| Infraestructura | Airport, Airline |
| Programación | Schedule |
| Flota | AircraftFleet, AircraftSubFleet, Aircraft |
| Operaciones | Booking, Flight, FerryFlight |
| Usuarios y Puntos | User, Point |
| Perfiles de Simulación | LoadProfile, PayloadProfile, FdmProfile, VoiceProfile |
| Datos de Pasajeros | PassengerName |
| Cumplimiento | Document, License, Restriction |
| Contenido | SpotterPhoto, CompanyNotam |
| Mantenimiento | MaintenanceCheckDefinition, MelDefinition |
| Locución | SpeechPack, SpeechLanguage |
| Configuración | SystemSetting |
Personal de Operaciones
El rol de Personal de Operaciones está diseñado para miembros del equipo que asisten con tareas operativas diarias pero no deben tener acceso a la configuración del sistema o funciones amplias de gestión.
| Propiedad | Valor |
|---|---|
| Clave del rol | operations-staff |
| Habilidad central | see-admin-options |
| Nivel de acceso | Funciones operativas limitadas |
El Personal de Operaciones tiene acceso a las siguientes capacidades:
| Recurso | Acciones Permitidas |
|---|---|
| Aeronaves | Mover (reasignar a diferentes aeropuertos) |
| Usuarios | Mover (reasignar aeropuerto base) |
| Documentos | Ver, crear, editar |
| Licencias | Ver, asignar a usuarios |
| Restricciones | Solo lectura |
| Fotos de Spotters | Ver, editar, eliminar |
| Vuelos Ferry | Gestión completa (ver, crear, editar, eliminar) |
Habilidades Directas (Por Usuario)
Además de los roles, las habilidades pueden otorgarse directamente a usuarios individuales. Esto es útil cuando un usuario específico necesita acceso a una función que su rol asignado no cubre, sin otorgarle un rol completamente nuevo.
Las habilidades directas se gestionan desde la página de edición del usuario. Funcionan junto con las habilidades basadas en roles -- los permisos efectivos de un usuario son la unión de todas las habilidades de sus roles más cualquier habilidad asignada directamente.
Las habilidades directas tienen precedencia en el sentido de que son aditivas. Sin embargo, no pueden anular las restricciones impuestas por el gate see-admin-panel. Un usuario aún debe pasar el gate para acceder al backoffice.
Cómo Funcionan las Verificaciones de Permisos
Cuando un usuario intenta realizar una acción en el backoffice, el sistema evalúa los permisos en el siguiente orden:
- Verificación de gate -- ¿El usuario pasa el gate
see-admin-panel? Si no, el acceso se deniega completamente. - Habilidad
everything-- ¿El usuario tiene la habilidadeverything(Administrador del Sistema)? Si es así, la acción se permite sin más verificaciones. - Habilidades de rol -- ¿Alguno de los roles asignados al usuario otorga la habilidad requerida para esta acción y modelo?
- Habilidades directas -- ¿Se ha otorgado la habilidad requerida directamente a este usuario?
Si ninguna de estas verificaciones pasa, la acción se deniega.
Tabla Resumen
| Rol | everything | see-admin-options | Alcance de Gestión |
|---|---|---|---|
| Administrador del Sistema | Sí | Sí (implícito) | Todas las funciones, sin restricciones |
| Administrador | No | Sí | Amplia gesti�ón de modelos (ver lista arriba) |
| Personal de Operaciones | No | Sí | Documentos, licencias, restricciones (lectura), fotos de spotters, vuelos ferry, movimientos de aeronaves/usuarios |
| Usuario Regular (Piloto) | No | No | Sin acceso al backoffice |