Workspacerollen en custom RBAC

Ingebouwde rollen (Owner, Admin, Editor, Viewer), wat elke rol kan doen, hoe custom rollen werken op Business en hoe rolwijzigingen samenhangen met API-sleutels.

4 min leestijdBijgewerkt op 2026-05-15

Wat je gaat leren

  • De vier ingebouwde rollen — Owner, Admin, Editor, Viewer — en welke acties elk van hen toestaat.
  • Hoe je custom rollen definieert op het Business-plan met de gedetailleerde permissiechecklist.
  • Waarom het degraderen van een gebruiker diens bestaande API-sleutels niet intrekt, en hoe je dat gat dicht.

Elido heeft vier ingebouwde workspacerollen. Die dekken de meeste teams; custom rollen op Business laten je fijnafstemmen wanneer "Admin" te veel is en "Editor" te weinig.

Ingebouwde rollen

RolLinksLedenDomeinenFacturatieAudit log
OwnerRWRWRWRWR
AdminRWRWRWR (alleen-lezen)R
EditorRWRRR (alleen eigen acties)
ViewerRRR

R = lezen, RW = lezen/schrijven, — = geen toegang. De matrix is een vereenvoudiging — zie de opmerkingen per gebied hieronder voor details.

Wat elke rol daadwerkelijk kan doen

Owner. De rol van degene die de workspace heeft aangemaakt en van iedereen die deze heeft gepromoveerd. Owners zijn de enige rol die kan:

  • Het factuurplan of de betaalmethode wijzigen.
  • De workspace verwijderen.
  • Andere Owners promoveren/degraderen.

Een workspace moet altijd minstens één Owner hebben. Als de laatste Owner vertrekt, promoveert het systeem automatisch de Admin die het langst lid is.

Admin. Dagelijks workspacebeheer zonder toegang tot facturatie. Admins beheren links, domeinen, webhooks, leden en integraties. Ze kunnen facturatiepagina's lezen, maar geen kaarten of plannen wijzigen.

Editor. De standaard voor individuele bijdragers. Kan links aanmaken/bewerken/verwijderen, bulkimports uitvoeren, QR-codes genereren en webhooks beheren. Kan geen mensen uitnodigen, workspace-instellingen wijzigen of custom domains toevoegen.

Viewer. Alleen-lezen in het hele dashboard. Ziet links en analytics; kan geen enkele actieknop aanklikken. Handig voor stakeholders, auditors en alleen-lezen BI-/Looker-gebruikers.

Custom rollen (Business-plan)

Business-workspaces kunnen custom rollen definiëren met een checklist van permissies. De set permissies:

  • links.read / links.write
  • analytics.read
  • domains.read / domains.write
  • members.read / members.write
  • billing.read / billing.write
  • audit_log.read
  • webhooks.write
  • api_keys.create (sleutels uitgeven met een rol ≤ je eigen rol)
  • qr.read / qr.write
  • bio.write
  • branding.write (white-labelaanpassing)

Maak er een aan via Settings → Roles → New role. Kies een naam, vink de permissies aan en sla op. Ken deze toe aan een lid vanuit de rij van dat lid in de ledenlijst. Rollen kunnen later worden bewerkt; wijzigingen worden binnen 60 seconden doorgevoerd.

Rollen en API-sleutels

API-sleutels zijn rolgebonden. Een editor-API-sleutel kan links schrijven; een admin-API-sleutel kan alles wat een admin-gebruiker kan. Het uitgeven van een sleutel met een hogere rol dan je eigen workspacerol is niet toegestaan — de API weigert dit met 403.

Het degraderen van een gebruiker trekt diens API-sleutels niet automatisch in. Ze behouden de rol die ze hadden op het moment van uitgifte. Om de degradatie af te dwingen, trek je de sleutels van de gebruiker expliciet in via Settings → API keys → Manage user keys.

Eigenaarschap overdragen

Om het eigenaarschap aan iemand anders over te dragen:

  1. Open de rij van het lid → Set role: Owner.
  2. Zet optioneel je eigen rol terug naar Admin of lager.

Er is geen "workspace overdragen"-wizard — elke Owner heeft gelijke rechten, en je kunt zoveel Owners hebben als je wilt. Voor een nette overdracht promoveer je eerst de nieuwe Owner, bevestig je dat deze toegang heeft, en degradeer je jezelf daarna.

Een lid verwijderen

Verwijderde leden verliezen direct hun dashboardtoegang. Hun persoonlijke API-sleutels worden binnen 60s ingetrokken. Links die ze hebben aangemaakt blijven eigendom van de workspace (niet van de gebruiker), dus er breekt niets aan de kant van de links.

Audit-log-vermeldingen die door de verwijderde gebruiker zijn aangemaakt, blijven voor onbepaalde tijd bewaard — verwijdering anonimiseert de geschiedenis niet.

Problemen oplossen

Een gebruiker zegt dat hij een door hem aangemaakte link niet kan zien. Controleer de rol — als je iemand hebt gedegradeerd naar Viewer, kan die persoon de link nog steeds zien als hij in de workspace zit, maar kan hij hem niet bewerken. Als je hem ook uit de map hebt gehaald, herstel dan de mapkoetoegang.

API-sleutel werkt voor een gebruiker, zelfs nadat ik hem heb gedegradeerd. API-sleutels behouden hun oorspronkelijke rol. Trek de sleutel in via Settings → API keys om een nieuwe uitgifte af te dwingen.

Custom rol mist een permissie die ik nodig heb. De permissieset ligt vast (zie lijst hierboven). Als er echt iets essentieels ontbreekt, stuur dan een e-mail naar [email protected] met de use case — we voegen mogelijkheden toe aan de permissieset als daar vraag naar is.

Bulk-rolwijziging. Gebruik de SCIM-API: groepslidmaatschappen in je IdP worden gekoppeld aan rollen in Elido. Zie SSO + SCIM voor de instelling. Door SCIM beheerde rollen kunnen niet worden bewerkt in het dashboard — ze zijn wat de IdP zegt.

Was dit nuttig?
Nog meer nodig? Mail het team - reacties binnen één werkdag.Contact met ondersteuning