Security
Role workspace i niestandardowe RBAC
Wbudowane role (Właściciel, Admin, Edytor, Obserwator), co każda może robić, jak działają niestandardowe role w Business i jak zmiany ról wpływają na klucze API.
Updated 2026-05-15
Elido ma cztery wbudowane role workspace. Obejmują większość zespołów; niestandardowe role w Business pozwalają dostroić sytuację, gdy "Admin" to za dużo, a "Edytor" za mało.
Wbudowane role#
| Rola | Linki | Członkowie | Domeny | Rozliczenia | Dziennik audytu |
|---|---|---|---|---|---|
| Właściciel | OZ | OZ | OZ | OZ | O |
| Admin | OZ | OZ | OZ | O (tylko odczyt) | O |
| Edytor | OZ | O | O | — | O (tylko własne akcje) |
| Obserwator | O | O | O | — | — |
O = odczyt, OZ = odczyt/zapis, — = brak dostępu. Macierz jest uproszczeniem — szczegóły w uwagach per obszar poniżej.
Co każda rola może faktycznie robić#
Właściciel. Rola używana przez osobę, która stworzyła workspace i każdego, kogo awansowała. Właściciele są jedyną rolą, która może:
- Zmienić plan rozliczeniowy lub metodę płatności.
- Usunąć workspace.
- Awansować / degradować innych Właścicieli.
Workspace musi zawsze mieć co najmniej jednego Właściciela. Jeśli ostatni Właściciel odejdzie, system automatycznie awansuje Admina z najdłuższym stażem.
Admin. Codzienne administrowanie workspace bez dostępu do rozliczeń. Adminowie zarządzają linkami, domenami, webhookami, członkami i integracjami. Mogą czytać strony rozliczeniowe, ale nie mogą zmieniać kart ani planów.
Edytor. Domyślny dla indywidualnych współpracowników. Może tworzyć / edytować / usuwać linki, uruchamiać importy zbiorcze, generować kody QR i zarządzać webhookami. Nie może zapraszać osób, zmieniać ustawień workspace ani dodawać niestandardowych domen.
Obserwator. Tylko odczyt w całym dashboardzie. Widzi linki i analitykę; nie może kliknąć żadnego przycisku akcji. Przydatny dla interesariuszy, audytorów i użytkowników BI / Looker tylko do odczytu.
Niestandardowe role (plan Business)#
Workspace Business mogą definiować niestandardowe role z listą uprawnień. Zestaw uprawnień:
links.read/links.writeanalytics.readdomains.read/domains.writemembers.read/members.writebilling.read/billing.writeaudit_log.readwebhooks.writeapi_keys.create(wystawiaj klucze z rolą ≤ Twoja)qr.read/qr.writebio.writebranding.write(personalizacja white-label)
Utwórz jedną w Ustawienia → Role → Nowa rola. Wybierz nazwę, zaznacz uprawnienia, zapisz. Przypisz do członka z wiersza członka na liście członków. Role mogą być edytowane później; zmiany propagują się w ciągu 60 sekund.
Role i klucze API#
Klucze API są powiązane z rolą. Klucz API editor może zapisywać linki; klucz API admin może robić wszystko, co użytkownik admin. Wystawianie klucza z wyższą rolą niż Twoja rola w workspace jest niedozwolone — API odrzuca z 403.
Degradacja użytkownika nie odwołuje automatycznie jego kluczy API. Zachowują rolę, którą miały podczas wystawiania. Aby wymusić degradację, odwołaj klucze użytkownika jawnie z Ustawienia → Klucze API → Zarządzaj kluczami użytkownika.
Przenoszenie własności#
Aby przekazać własność komuś innemu:
- Otwórz wiersz członka → Ustaw rolę: Właściciel.
- Opcjonalnie obniż swoją rolę do Admina lub niższej.
Nie ma kreatora "przenieś workspace" — każdy Właściciel ma równe prawa i możesz mieć tylu Właścicieli ile chcesz. Dla czystego przekazania, najpierw awansuj nowego Właściciela, potwierdź, że ma dostęp, a następnie zdegraduj siebie.
Usuwanie członka#
Usunięci członkowie natychmiast tracą dostęp do dashboardu. Ich osobiste klucze API są odwoływane w ciągu 60 sekund. Linki przez nich stworzone pozostają własnością workspace (nie użytkownika), więc nic nie psuje się po stronie linków.
Wpisy dziennika audytu stworzone przez usuniętego użytkownika są przechowywane bezterminowo — usunięcie nie anonimizuje historii.
Rozwiązywanie problemów#
Użytkownik mówi, że nie może zobaczyć linku który stworzył. Sprawdź jego rolę — jeśli zdegradowałeś go do Obserwatora, nadal może zobaczyć link jeśli jest w workspace, ale nie może go edytować. Jeśli przenieśleś go też poza folder, przywróć dostęp do folderu.
Klucz API działa dla użytkownika nawet po zdegradowaniu. Klucze API zachowują oryginalną rolę. Odwołaj klucz z Ustawienia → Klucze API, aby wymusić ponowne wystawienie.
Niestandardowej roli brakuje uprawnienia, którego potrzebuję. Zestaw uprawnień jest stały (patrz lista powyżej). Jeśli naprawdę brakuje czegoś krytycznego, wyślij e-mail na support@elido.app z przypadkiem użycia — dodajemy możliwości do zestawu uprawnień gdy jest popyt.
Zmiana roli zbiorczo. Użyj API SCIM: członkostwa grupowe w Twoim IdP mapują się na role w Elido. Zobacz SSO + SCIM dla konfiguracji. Rolami kontrolowanymi przez SCIM nie można edytować w dashboardzie — są tym, co mówi IdP.