Security
Roles del workspace y RBAC personalizado
Roles integrados (Owner, Admin, Editor, Viewer), qué puede hacer cada uno, cómo funcionan los roles personalizados en Business y cómo los cambios de rol interactúan con las claves de API.
Updated 2026-05-15
Elido tiene cuatro roles de workspace integrados. Cubren la mayoría de los equipos; los roles personalizados en Business le permiten ajustar cuando "Admin" es demasiado y "Editor" es muy poco.
Roles integrados#
| Rol | Enlaces | Miembros | Dominios | Facturación | Registro de auditoría |
|---|---|---|---|---|---|
| Owner | RW | RW | RW | RW | R |
| Admin | RW | RW | RW | R (solo lectura) | R |
| Editor | RW | R | R | — | R (solo acciones propias) |
| Viewer | R | R | R | — | — |
R = lectura, RW = lectura/escritura, — = sin acceso. La matriz es una simplificación — vea las notas por área a continuación para más detalles.
Qué puede hacer cada rol realmente#
Owner. El rol utilizado por quien creó el workspace y quienes han sido promovidos. Los Owners son el único rol que puede:
- Cambiar el plan de facturación o el método de pago.
- Eliminar el workspace.
- Promover / degradar a otros Owners.
Un workspace siempre debe tener al menos un Owner. Si el último Owner se va, el sistema promueve automáticamente al Admin con más antigüedad.
Admin. Administración diaria del workspace sin acceso a facturación. Los Admins gestionan enlaces, dominios, webhooks, miembros e integraciones. Pueden leer páginas de facturación pero no pueden cambiar tarjetas ni planes.
Editor. El valor predeterminado para colaboradores individuales. Puede crear / editar / eliminar enlaces, ejecutar importaciones masivas, generar códigos QR y gestionar webhooks. No puede invitar personas, cambiar la configuración del workspace ni agregar dominios personalizados.
Viewer. Solo lectura en todo el dashboard. Ve enlaces y analytics; no puede hacer clic en ningún botón de acción. Útil para partes interesadas, auditores y usuarios de BI / Looker de solo lectura.
Roles personalizados (plan Business)#
Los workspaces Business pueden definir roles personalizados con una lista de verificación de permisos. El conjunto de permisos:
links.read/links.writeanalytics.readdomains.read/domains.writemembers.read/members.writebilling.read/billing.writeaudit_log.readwebhooks.writeapi_keys.create(emitir claves con rol ≤ al suyo)qr.read/qr.writebio.writebranding.write(personalización white-label)
Créelo en Settings → Roles → New role. Elija un nombre, marque los permisos, guarde. Asigne a un miembro desde su fila en la lista de miembros. Los roles se pueden editar más tarde; los cambios se propagan en 60 segundos.
Roles y claves de API#
Las claves de API están vinculadas a roles. Una clave de API con rol editor puede escribir enlaces; una clave de API con rol admin puede hacer todo lo que puede un usuario admin. No se permite emitir una clave con un rol más alto que el suyo en el workspace — la API rechaza con 403.
Degradar a un usuario no revoca sus claves de API automáticamente. Conservan el rol que tenían cuando fueron emitidas. Para aplicar la degradación, revoque explícitamente las claves del usuario desde Settings → API keys → Manage user keys.
Transferir la propiedad#
Para transferir la propiedad a alguien más:
- Abra la fila del miembro → Set role: Owner.
- Opcionalmente establezca su propio rol en Admin o inferior.
No hay un asistente de "transferir workspace" — todos los Owners tienen los mismos derechos y puede tener tantos como quiera. Para una transferencia limpia, primero promueva al nuevo Owner, confirme que tiene acceso, luego degradese.
Eliminar un miembro#
Los miembros eliminados pierden el acceso al dashboard de inmediato. Sus claves de API personales se revocan en 60 segundos. Los enlaces que crearon siguen siendo propiedad del workspace (no del usuario), por lo que nada se rompe en el lado de los enlaces.
Las entradas del registro de auditoría creadas por el usuario eliminado se conservan indefinidamente — la eliminación no anonimiza el historial.
Solución de problemas#
Un usuario dice que no puede ver un enlace que creó. Verifique su rol — si lo degradó a Viewer, aún puede ver el enlace si está en el workspace, pero no puede editarlo. Si también lo movió de la carpeta, restaure el acceso a la carpeta.
La clave de API funciona para un usuario incluso después de que lo degradé. Las claves de API conservan su rol original. Revoque la clave desde Settings → API keys para forzar una reemisión.
Al rol personalizado le falta un permiso que necesito. El conjunto de permisos es fijo (vea la lista anterior). Si genuinamente falta algo crítico, envíe un email a support@elido.app con el caso de uso — agregamos capacidades al conjunto de permisos cuando hay demanda.
Cambio de rol masivo. Use la API SCIM: las membresías de grupos en su IdP se asignan a roles en Elido. Vea SSO + SCIM para la configuración. Los roles controlados por SCIM no se pueden editar en el dashboard — son los que dice el IdP.