Security
Funções do workspace e RBAC personalizado
Funções integradas (Owner, Admin, Editor, Viewer), o que cada uma pode fazer, como as funções personalizadas funcionam no Business e como as mudanças de função interagem com as chaves de API.
Updated 2026-05-15
O Elido tem quatro funções de workspace integradas. Elas cobrem a maioria das equipes; as funções personalizadas no Business permitem ajustar quando "Admin" é demais e "Editor" é de menos.
Funções integradas#
| Função | Links | Membros | Domínios | Faturamento | Log de auditoria |
|---|---|---|---|---|---|
| Owner | RW | RW | RW | RW | R |
| Admin | RW | RW | RW | R (somente leitura) | R |
| Editor | RW | R | R | — | R (apenas ações próprias) |
| Viewer | R | R | R | — | — |
R = leitura, RW = leitura/escrita, — = sem acesso. A matriz é uma simplificação — veja as notas por área abaixo para detalhes.
O que cada função pode realmente fazer#
Owner. A função usada por quem criou o workspace e quem foi promovido. Owners são a única função que pode:
- Alterar o plano de faturamento ou método de pagamento.
- Excluir o workspace.
- Promover / rebaixar outros Owners.
Um workspace deve sempre ter pelo menos um Owner. Se o último Owner sair, o sistema automaticamente promove o Admin com mais tempo de casa.
Admin. Administração diária do workspace sem acesso ao faturamento. Admins gerenciam links, domínios, webhooks, membros e integrações. Podem ler páginas de faturamento, mas não podem alterar cartões ou planos.
Editor. O padrão para colaboradores individuais. Pode criar / editar / excluir links, executar importações em massa, gerar QR codes e gerenciar webhooks. Não pode convidar pessoas, alterar as configurações do workspace ou adicionar domínios personalizados.
Viewer. Somente leitura em todo o dashboard. Vê links e analytics; não pode clicar em nenhum botão de ação. Útil para partes interessadas, auditores e usuários de BI / Looker somente leitura.
Funções personalizadas (plano Business)#
Os workspaces Business podem definir funções personalizadas com uma lista de permissões. O conjunto de permissões:
links.read/links.writeanalytics.readdomains.read/domains.writemembers.read/members.writebilling.read/billing.writeaudit_log.readwebhooks.writeapi_keys.create(emitir chaves com função ≤ à sua)qr.read/qr.writebio.writebranding.write(personalização white-label)
Crie em Settings → Roles → New role. Escolha um nome, marque as permissões, salve. Atribua a um membro a partir da linha do membro na lista de membros. As funções podem ser editadas depois; as mudanças se propagam em 60 segundos.
Funções e chaves de API#
As chaves de API são vinculadas a funções. Uma chave de API com função editor pode escrever links; uma chave de API com função admin pode fazer tudo o que um usuário admin pode. Emitir uma chave com uma função maior que a sua função no workspace não é permitido — a API rejeita com 403.
Rebaixar um usuário não revoga suas chaves de API automaticamente. Elas mantêm a função que tinham quando foram emitidas. Para aplicar o rebaixamento, revogue as chaves do usuário explicitamente em Settings → API keys → Manage user keys.
Transferência de propriedade#
Para transferir a propriedade para outra pessoa:
- Abra a linha do membro → Set role: Owner.
- Opcionalmente, defina sua própria função para Admin ou inferior.
Não há um assistente de "transferência de workspace" — todos os Owners têm direitos iguais e você pode ter quantos quiser. Para uma transferência limpa, promova o novo Owner primeiro, confirme que ele tem acesso, depois rebaixe a si mesmo.
Remover um membro#
Membros removidos perdem acesso ao dashboard imediatamente. Suas chaves de API pessoais são revogadas em 60 segundos. Os links que criaram permanecem de propriedade do workspace (não do usuário), então nada quebra no lado dos links.
Entradas do log de auditoria criadas pelo usuário removido são mantidas indefinidamente — a remoção não anonimiza o histórico.
Solução de problemas#
Um usuário diz que não consegue ver um link que criou. Verifique a função dele — se você o rebaixou para Viewer, ele ainda pode ver o link se estiver no workspace, mas não pode editá-lo. Se você também o moveu para fora da pasta, restaure o acesso à pasta.
A chave de API funciona para um usuário mesmo depois de eu rebaixá-lo. As chaves de API mantêm sua função original. Revogue a chave em Settings → API keys para forçar uma reemissão.
A função personalizada está faltando uma permissão que preciso. O conjunto de permissões é fixo (veja a lista acima). Se algo realmente crítico estiver faltando, envie um email para support@elido.app com o caso de uso — adicionamos capacidades ao conjunto de permissões quando há demanda.
Mudança de função em massa. Use a API SCIM: associações de grupos no seu IdP mapeiam para funções no Elido. Veja SSO + SCIM para configuração. Funções controladas pelo SCIM não podem ser editadas no dashboard — elas são o que o IdP diz.