Security
Роли в воркспейсе и кастомный RBAC
Встроенные роли (Owner, Admin, Editor, Viewer), что каждая может делать, как работают кастомные роли в Business и как изменение ролей взаимодействует с API-ключами.
Updated 2026-05-15
В Elido есть четыре встроенные роли воркспейса. Они подходят для большинства команд; кастомные роли в Business позволяют тонко настроить, когда «Admin» слишком много, а «Editor» — слишком мало.
Встроенные роли#
| Роль | Ссылки | Участники | Домены | Биллинг | Журнал аудита |
|---|---|---|---|---|---|
| Owner | RW | RW | RW | RW | R |
| Admin | RW | RW | RW | R (только чтение) | R |
| Editor | RW | R | R | — | R (только свои действия) |
| Viewer | R | R | R | — | — |
R = чтение, RW = чтение/запись, — = нет доступа. Матрица упрощена — подробности см. в заметках по каждой области ниже.
Что каждая роль может делать#
Owner. Роль того, кто создал воркспейс, и тех, кого повысили. Только Owners могут:
- Изменять тарифный план или способ оплаты.
- Удалять воркспейс.
- Повышать / понижать других Owners.
В воркспейсе всегда должен быть хотя бы один Owner. Если последний Owner уходит, система автоматически повышает Admin с наибольшим стажем.
Admin. Повседневное администрирование воркспейса без доступа к биллингу. Admins управляют ссылками, доменами, вебхуками, участниками и интеграциями. Могут читать страницы биллинга, но не могут менять карты или планы.
Editor. По умолчанию для индивидуальных участников. Может создавать / редактировать / удалять ссылки, выполнять массовый импорт, генерировать QR-коды и управлять вебхуками. Не может приглашать людей, менять настройки воркспейса или добавлять кастомные домены.
Viewer. Только чтение во всём дашборде. Видит ссылки и аналитику; не может нажать ни одну кнопку действия. Полезен для стейкхолдеров, аудиторов и пользователей BI / Looker в режиме только чтения.
Кастомные роли (план Business)#
Воркспейсы Business могут определять кастомные роли с набором разрешений. Набор разрешений:
links.read/links.writeanalytics.readdomains.read/domains.writemembers.read/members.writebilling.read/billing.writeaudit_log.readwebhooks.writeapi_keys.create(выдавать ключи с ролью ≤ твоей)qr.read/qr.writebio.writebranding.write(white-label кастомизация)
Создай её в Settings → Roles → New role. Выбери имя, отметь разрешения, сохрани. Назначь участнику из его строки в списке участников. Роли можно редактировать позже; изменения применяются в течение 60 секунд.
Роли и API-ключи#
API-ключи привязаны к ролям. Ключ с ролью editor может записывать ссылки; ключ с ролью admin может делать всё, что может admin-пользователь. Выдать ключ с ролью выше, чем у тебя в воркспейсе, нельзя — API ответит 403.
Понижение пользователя не отзывает его API-ключи автоматически. Ключи сохраняют роль, которая была у них при выдаче. Для принудительного применения понижения явно отзови ключи пользователя в Settings → API keys → Manage user keys.
Передача владения#
Чтобы передать владение кому-то другому:
- Открой строку участника → Set role: Owner.
- Опционально понизь свою роль до Admin или ниже.
Мастера «передачи воркспейса» нет — все Owners имеют равные права, и их может быть сколько угодно. Для чистой передачи сначала повысь нового Owner, убедись, что у него есть доступ, затем понизь себя.
Удаление участника#
Удалённые участники немедленно теряют доступ к дашборду. Их личные API-ключи отзываются в течение 60 секунд. Ссылки, которые они создали, остаются в собственности воркспейса (не пользователя), поэтому со стороны ссылок ничего не сломается.
Записи журнала аудита, созданные удалённым пользователем, хранятся бессрочно — удаление не анонимизирует историю.
Устранение неполадок#
Пользователь говорит, что не видит ссылку, которую создал. Проверь его роль — если ты понизил его до Viewer, он всё ещё видит ссылку если находится в воркспейсе, но не может её редактировать. Если ты также переместил его из папки, восстанови доступ к папке.
API-ключ работает для пользователя даже после понижения. API-ключи сохраняют исходную роль. Отзови ключ в Settings → API keys, чтобы заставить его перевыпустить.
В кастомной роли не хватает нужного разрешения. Набор разрешений фиксирован (см. список выше). Если действительно важного элемента не хватает, напиши на support@elido.app с описанием сценария — мы добавляем возможности в набор разрешений по требованию.
Массовое изменение ролей. Используй SCIM API: группы в твоём IdP сопоставляются с ролями в Elido. Настройку см. в SSO + SCIM. Роли, управляемые через SCIM, нельзя редактировать в дашборде — они такие, какими их задаёт IdP.