Ir al contenido principal

Roles y permisos

Qué hace RBAC

El Control de Acceso Basado en Roles (RBAC) en GCXONE otorga a los administradores un control granular sobre lo que los usuarios pueden hacer y qué entidades pueden ver.

Distinción clave: Acceso a la entidad vs. privilegios

El acceso a la entidad y los privilegios son conceptos separados en GCXONE. Los privilegios (configurados en el rol) determinan QUÉ acciones puede realizar un usuario. El acceso a la entidad determina QUÉ clientes, sitios, dispositivos y sensores pueden ver. La personalización a nivel de usuario se realiza únicamente mediante acceso a entidades — no existen anulaciones de privilegios a nivel de usuario.

Por qué importa

  • "Tengo que saltar entre varias páginas para ver qué acceso concede realmente un puesto"
  • "Crear un nuevo rol lleva una eternidad con demasiados pasos de configuración"
  • "No puedo saber rápidamente qué permisos tienen mis usuarios"
  • "Dos usuarios en el mismo rol necesitan acceso a clientes diferentes, pero tengo que crear roles separados para cada uno"

Cómo funciona

Un rol es la unidad central del control de acceso en GCXONE. Cada rol combina tres elementos:

Información sobre el puesto y usuarios: Detalles básicos del rol (nombre, descripción, interruptor de rol por defecto) y los usuarios asignados a este rol.

Privilegios de módulos: Qué módulos de plataforma pueden acceder los usuarios y qué capacidades específicas están habilitadas dentro de cada uno. Los privilegios determinan LO que un usuario puede hacer.

Asignaciones de entidades: A los que los clientes, sitios, dispositivos y sensores pueden acceder los usuarios. El acceso a la entidad determina DÓNDE puede operar un usuario. Las asignaciones de entidades pueden configurarse en dos niveles:

  • Entidades a nivel de rol: Entidades asignadas dentro del propio rol, compartidas por todos los usuarios del rol
  • Entidades a nivel de usuario: Entidades asignadas a usuarios individuales mediante Editar Acceso a la Entidad, permitiendo que diferentes usuarios en el mismo rol accedan a distintos clientes o sitios
consejo

Antes, si dos usuarios necesitaban los mismos privilegios (por ejemplo, acceso de administrador) pero gestionaban clientes diferentes, tenías que crear dos roles separados. Ahora, crea un solo rol y personaliza el acceso de la entidad por usuario mediante Editar Acceso a la Entidad.

Jerarquía de Entidades

GCXONE organiza las entidades en una estructura jerárquica. El Proveedor de Servicios es la cuenta de primer nivel (tu inquilino), y todas las entidades están anidadas debajo de ella: Proveedor de Servicios → Cliente, → Sitio → Dispositivo → Sensor.

Selección en cascada: Seleccionar un cliente incluye automáticamente todos los sitios, dispositivos y sensores que hay debajo. Esto garantiza que las nuevas entidades se incluyan automáticamente al usar el interruptor Incluir hijos y simplifica la configuración.

**Resolución de permisos: **Cuando un usuario tiene múltiples roles (asignaciones directas + pertenencias a grupos), todos los privilegios se combinan de forma aditiva. Los cambios entran en vigor en 5 segundos en plataformas web y móviles.

Capacidades clave

Roles predeterminados

GCXONE incluye roles preconfigurados para ayudarte a empezar rápidamente. Cada rol viene con un conjunto definido de privilegios para módulos. El acceso a la entidad puede personalizarse aún más por usuario.

  • Super Admin — Acceso completo a la plataforma con control total sobre todos los módulos, usuarios, roles y configuraciones. Acceso administrativo completo a todas las funciones del sistema. Puede gestionar todos los usuarios, roles y permisos. Acceso total a todas las entidades. Configura los ajustes y registros de auditoría a nivel de sistema. Un Super Admin por inquilino. No se puede eliminar.
  • Administración — Acceso administrativo — puede gestionar usuarios, roles, configuración e informes, pero no la facturación. Gestionar usuarios y asignaciones de roles. Configurar los ajustes del sistema. Crear y gestionar Grupos de Entidades. Consulta registros e informes de auditoría. No puedo acceder a la facturación. No se pueden eliminar componentes críticos del sistema.
  • Operador — Acceso operativo — puede visualizar y gestionar configuraciones e informes pero no puede eliminar ni administrar usuarios/roles. Monitorización diaria y procesamiento de alarmas. Ver paneles y configuraciones. Genera y consulta informes. Encargarse de las tareas operativas. No se pueden eliminar componentes del sistema. Capacidades administrativas limitadas.
  • Instalador — Acceso de técnicos de campo — puede gestionar dispositivos, sensores y configuración de red. Gestiona dispositivos físicos y sensores. Configura la configuración de red. Instala y configura el hardware. Solucionar problemas con los dispositivos. No se pueden gestionar usuarios ni roles.
  • Usuario final — Acceso de solo lectura a paneles, configuración e informes. Consulta paneles de control y configuración básica. Accede a informes básicos. Consulta las cámaras y dispositivos asignados. Armar/desactivar para los dispositivos/sitios asignados. No hay posibilidad de cambiar ajustes ni administrar el sistema.

Puedes usar estos roles predeterminados tal cual, personalizarlos o crear nuevos roles desde cero.

Privilegios de los módulos

Los privilegios están organizados por módulo de plataforma. Cada módulo tiene un interruptor de la Página de Acceso y ajustes de capacidad granulares. Los privilegios determinan QUÉ acciones puede realizar un usuario en toda la plataforma.

  • Salpicadero — Interruptor de página de acceso, filtro de cuentas, filtro de capacidades
  • Perspectivas de gestión — Habilitar el Rol, Editar el Rol y capacidades analíticas adicionales
  • Configuración — Usuarios móviles, Roles, SubAnálisis, Chequeo de Salud, Grupos de Clientes, Tabla de Sensores, Auditorías, Tabla de Distribuidores, Tabla de Proveedores de Servicios, IoT, Tabla de Grupo/Fase, Grupo de Clientes, Proveedor de Servicios, Cliente, Sitio, Panel de Configuración
  • Búsqueda de actividad en vídeo — Editar guardado, usar filtro, Live, Reproducción, Editar filtro, Filtro de alarma
  • Mercado — Vista de pulsos, roles, sincronización temporal, chequeo de salud, recuento de temporizadores, modo zen, importación masiva
  • Visor de vídeo — Controles de vídeo, alternaciones de capacidades
  • Gestor de Alarmas — Controles de vídeo, alternaciones de capacidades
  • Mapa — Editar mapa, añadir sensor, añadir IO, editar IO, gestionar revisión, gestionar IO, vídeo en directo, vista en directo, monitor de pared, ver panel de control

Cada módulo tiene una opción Seleccionar Todo / Eliminar Todo para una configuración rápida en bloque, además de un interruptor de la Página de Acceso que habilita o desactiva todo el módulo.

Acceso a la entidad: Tres modos

Al configurar el acceso a entidades durante la creación (o edición) de roles, hay tres modos disponibles. El acceso a entidades determina DÓNDE puede operar un usuario: controla qué clientes, sitios, dispositivos y sensores son visibles y accesibles para el usuario.

  • Sin acceso a entidades — Los usuarios no tienen acceso a entidades por defecto. Debe asignarse a cada usuario mediante Editar Acceso a la Entidad. Lo mejor para: Rol compartido con asignaciones individuales de entidades.
  • Entidades seleccionadas — Los usuarios están restringidos a las entidades específicamente seleccionadas (con o sin hijos). Mejor para: Sublistas específicas o inquilinos con acceso idéntico.
  • Acceso completo — Los usuarios tienen acceso completo por defecto para todos los clientes, sitios, dispositivos y sensores. Ideal para: Administradores o superusuarios que necesiten acceso sin restricciones.

Independientemente del modo: Siempre puedes personalizar la lista de entidades para usuarios específicos mediante Editar Acceso a la Entidad, anulando o ampliando las asignaciones a nivel de rol manteniendo intactos sus privilegios de rol.

El interruptor Incluir hijos: Al seleccionar entidades en la vista de árbol, cada entidad tiene un interruptor Incluir hijos (que se muestra como un deslizador azul junto al nombre de la entidad). Este interruptor tiene un impacto crítico en cómo funciona el acceso:

Sin incluir hijos: Solo se incluyen las entidades seleccionadas manualmente. Si seleccionas el Sitio A y sus 5 dispositivos y 30 sensores individualmente, el usuario accede exactamente a esos elementos. Los futuros dispositivos o sensores añadidos bajo ese sitio NO se incluirán automáticamente — tendrías que volver manualmente a Editar Acceso a la Entidad y seleccionar el nuevo dispositivo.

Con Incluir Niños: Solo necesitas seleccionar la entidad matriz (por ejemplo, el Sitio A). Todos los dispositivos y sensores que hay debajo están incluidos automáticamente. Cualquier dispositivo o sensor futuro añadido bajo ese sitio se incluye automáticamente — no se necesitan actualizaciones manuales.

consejo

Utiliza incluir a los niños siempre que sea posible. Ahorra tiempo y garantiza que los nuevos dispositivos sean accesibles automáticamente para los usuarios adecuados. Solo usa la selección manual cuando necesites restringir el acceso a un conjunto fijo de entidades.

Cargos de gestión

Navegación: Ajustes → Roles

La página de Gestión de Roles muestra todos los roles configurados con sus descripciones y ofrece dos botones principales de acción:

  • Configurar un nuevo rol — Abre el asistente guiado para la creación de roles
  • Editar acceso a la entidad — Abre la interfaz de gestión de acceso por entidad

Creando un rol

Navegación: Ajustes → Roles → Configurar un nuevo rol

El asistente de creación de roles te guía a través de un proceso de varios pasos. Cada paso es accesible desde su pestaña en la barra lateral izquierda.

Paso 1: Información sobre el puesto

  1. Nombre del puesto — Un nombre único que identifica el rol (por ejemplo, "Administrador Regional", "Operador solo de Visualización")
  2. Descripción del rol — Una breve descripción del propósito del puesto
  3. Interruptor de rol por defecto — Cuando esté habilitado, este rol se asignará automáticamente a los nuevos usuarios cuando sean invitados a la plataforma. Esto es útil para roles básicos como "Usuario Final" con los que debería empezar cada nuevo miembro del equipo.

Paso 2: Usuarios

Selecciona qué usuarios deben asignarse a este rol. El paso de Usuarios muestra a todos los usuarios disponibles en una cuadrícula buscable con sus insignias de rol actuales. Haz clic en una tarjeta de usuario para seleccionarla (resaltada con un borde dorado). Usa Seleccionar Todo, Eliminar Todo o Buscar Usuarios para la gestión masiva.

Paso 3: Privilegios del módulo

Configura el acceso para cada módulo de plataforma. El asistente presenta cada módulo como una pestaña separada en la barra lateral. Para cada módulo:

  1. Activa o desactiva la página de acceso para activar o desactivar todo el módulo
  2. Utiliza Seleccionar Todo / Eliminar Todo para una selección rápida y masiva de capacidades
  3. Selecciona capacidades individuales en los menús desplegables para afinar el acceso

Panel de control:

Perspectivas de la gestión:

Configuración:

Búsqueda de actividad en vídeo:

Gestor de alarmas:

Mercado:

Talos:

Mapa:

Paso 4: Asignación de Entidades

El paso final configura a qué entidades pueden acceder los usuarios de este rol. El árbol de entidades se muestra en el lado izquierdo con casillas para seleccionar y alternar Incluir hijos para cada entidad.

Acceso completo para todas las entidades (activar activado): Los usuarios asignados a este rol tendrán por defecto acceso completo para todos los Clientes, Sitios, Torres/Dispositivos y Cámaras.

Sin acceso a entidades (desactivar el botín, no seleccionar entidades): Los usuarios asignados a este rol no tendrán acceso a entidades por defecto. Recomendado para escenarios en los que quieres que los usuarios compartan los mismos privilegios, pero tienes la intención de asignar manualmente entidades específicas a cada usuario individualmente usando la función Editar Acceso a la Entidad.

Entidades seleccionadas (desactivar el INTERRUPTOR, entidades comprobadas): Los usuarios asignados a este rol estarán restringidos a las entidades seleccionadas. Con el interruptor Incluir hijos activado en elementos específicos, todas las subentidades (actuales y futuras) se incluyen automáticamente.

Advertencia: Al seleccionar entidades sin Incluir hijos, solo se incluyen los elementos existentes y seleccionados manualmente. Los nuevos dispositivos añadidos posteriormente NO serán accesibles automáticamente. Considera siempre usar Incluir a los Niños para proteger el futuro de tus asignaciones de entidades. Ejemplo: asignas al Usuario X al Sitio A, que actualmente tiene 1 dispositivo. Si más adelante se añade un nuevo dispositivo en el Sitio A y se deshabilitó Incluir Niños, el Usuario X seguirá viendo solo el dispositivo original. Tendrías que ir manualmente a Editar acceso a la entidad y añadir el nuevo dispositivo para ese usuario.

Haz clic en Enviar para crear el puesto.

Editar acceso a la entidad (Gestión de entidades por usuario)

Navegación: Configuración → Roles → Editar acceso a la entidad

Esta es la función clave que permite personalizar el acceso a entidades para usuarios individuales sin crear roles separados. Recuerda: el acceso a entidades determina DÓNDE puede operar un usuario, no lo que puede hacer. Los privilegios siempre vienen del papel.

La interfaz está dividida en dos paneles:

  • Panel izquierdo: Árbol de entidades con las pestañas de Entidad de Rol, Entidad de Usuario y Conectado a
  • Panel derecho: Lista de usuarios con pestañas de búsqueda, filtrado de roles y modo Anulación/Fusión

Cómo personalizar el acceso a la entidad de un usuario

  1. Haz clic en Editar acceso a la entidad desde la página de Gestión de Roles
  2. Selecciona un usuario en el panel derecho haciendo clic en su tarjeta
  3. Elige el modo: Anulación o Fusión
  4. Utiliza el árbol de entidades a la izquierda para seleccionar o deseleccionar entidades para ese usuario específico
  5. Habilitar la inclusión de niños en entidades donde quieras incluir todas las subentidades actuales y futuras. Esto es crucial para garantizar que cualquier cámara, dispositivo o sensor añadido bajo una entidad matriz se incluya automáticamente en la lista de acceso de la entidad del usuario sin necesidad de actualizaciones manuales. Ejemplo: asignas al Usuario X al Sitio A, que actualmente tiene 1 dispositivo. Al día siguiente, se añade un nuevo dispositivo bajo el Sitio A (ahora 2 dispositivos en total). Si Incluir niños estaba deshabilitado para el Sitio A, el Usuario X seguirá viendo solo el dispositivo original y NO tendrá acceso al recién añadido. Si Incluir hijos estaba activado, el Usuario X ve automáticamente ambos dispositivos — no es necesario actualizar manualmente.
  6. Haz clic en Enviar para guardar los cambios

Anulación vs. Fusión

Modo de anulación: La selección personalizada de entidades del usuario REEMPLAZA los valores predeterminados a nivel de rol. Lo que elijas para este usuario anula lo que el rol proporciona. Úsalo cuando quieras tener control total sobre el acceso a la entidad de un usuario específico.

Modo de Fusión: Las entidades seleccionadas se AÑADEN sobre las asignaciones existentes del rol. El usuario obtiene tanto las entidades a nivel de rol Y las entidades adicionales a nivel de usuario. Utiliza esto para ampliar el acceso del usuario más allá de lo que ofrece el puesto.

También puedes filtrar la lista de usuarios por rol usando el desplegable en la parte superior del panel derecho, facilitando la gestión del acceso a entidades para todos los usuarios de un rol concreto.

Propina: Utiliza el desplegable "Filtrar por rol" para encontrar rápidamente a todos los usuarios asignados a un rol específico y personalizar su acceso a la entidad en bloque.

Grupos de Entidades Gestoras

Navegación: Configuración → Grupos de Entidades

Los Grupos de Entidades son colecciones guardadas y reutilizables de entidades (clientes, sitios, dispositivos y sensores) que actúan como plantillas. En lugar de seleccionar manualmente las mismas entidades cada vez que configuras un rol o asignas acceso al usuario, defines el grupo una vez y lo aplicas donde sea necesario. Piensa en un Grupo de Entidades como un atajo con nombre para un conjunto específico de entidades.

Grupos de entidades: Define el grupo una vez y luego seleccionarlo por nombre al asignar acceso a cualquier entidad o usuario. Cualquier rol o usuario asignado a ese grupo recibe automáticamente las entidades correctas.

La página de Grupos de Entidades lista todos los grupos existentes en una tabla que muestra Nombre, Descripción, Recuento de Entidades, Recuento de Roles y Conteo de Usuarios. Desde aquí puedes buscar, exportar y configurar nuevos grupos usando el botón Configurar nuevo grupo de entidades.

Creación de un Grupo de Entidades

Haz clic en Configurar nuevo grupo de entidades para abrir el asistente de creación en dos pasos.

Paso 1 — Información sobre el grupo: Introduce un nombre y una descripción opcional para el grupo, y luego haz clic en Siguiente.

Paso 2 — Seleccionar entidades: Utiliza el árbol de entidades para comprobar los clientes, sitios, dispositivos o sensores que deben incluir en este grupo. Utiliza el interruptor Incluir hijos junto a cualquier entidad para incluir automáticamente todas las subentidades actuales y futuras debajo. Un resumen a la derecha muestra cuántas entidades se seleccionan y qué roles y usuarios están afectados actualmente. Haz clic en Enviar para salvar al grupo.

Asignación de un grupo de entidades a un rol o usuario

Los Grupos de Entidades pueden aplicarse en dos lugares:

  • Durante la asignación de la entidad de rol (Paso 4 de creación/edición de rol): En la pantalla de selección de entidades, utiliza el desplegable Seleccionar grupo de entidades para aplicar un grupo guardado. Todas las entidades de ese grupo se cargan inmediatamente en la selección. Todos los usuarios del rol heredarán esas entidades.

  • En Editar Acceso a la Entidad (por usuario): Después de seleccionar un usuario en el panel Editar Acceso a la Entidad, utiliza el desplegable Seleccionar Grupo de Entidades en la parte superior para cargar rápidamente las entidades de un grupo para ese usuario. La opción de modo Anulación o Fusión sigue aplicándose: el grupo simplemente pre-rellena la selección de entidades.

Propina: Los Grupos de Entidades son especialmente útiles cuando varios roles o usuarios necesitan acceso al mismo conjunto de sitios o clientes. Crea el grupo una vez y luego aplícalo a tantos roles y usuarios como sea necesario. Si la lista de entidades cambia, actualiza el grupo en un solo lugar y todos los roles y usuarios asignados reflejan automáticamente el cambio.

Edición de un rol

Navegación: Configuración → Roles → [Nombre del rol] → Editar (a través del menú de Acciones)

El flujo de edición utiliza la misma interfaz de asistente que la creación de roles. Modifica cualquier paso — Información de Rol, Usuarios, Privilegios de Módulo o Asignaciones de Entidades — y luego guarda. Los cambios afectan inmediatamente a todos los usuarios con este rol.

Advertencia: Eliminar el acceso a módulos o entidades puede interrumpir los flujos de trabajo de los usuarios. Verifica quién ocupa este puesto antes de realizar cambios significativos.

Eliminar un rol

Navegación: Configuración → Roles → [Nombre del rol] → Eliminar (a través del menú de Acciones)

El sistema avisa si los usuarios están asignados actualmente al rol y lista los usuarios afectados. Los roles del sistema (Admin, Super Admin) no pueden ser eliminados.

Mejores prácticas

Ejemplo 1: Dos administradores regionales, un puesto

Escenario: Tienes dos administradores regionales que necesitan privilegios idénticos (monitorización completa, control de alarmas, exportación de vídeo), pero el Administrador A gestiona los clientes del Noreste mientras que el Administrador B gestiona los del Sureste. Anteriormente, esto requería dos roles separados. Ahora solo necesitas uno.

Paso 1 — Crear el rol sin acceso predeterminado a la entidad:

  1. Ve a Configuración → Roles → Configurar un nuevo rol
  2. Información del puesto: Nombre = "Administrador regional", Descripción = "Monitorización completa y control de alarmas para la región asignada"
  3. Usuarios: Selecciona tanto Admin A como Admin B de la cuadrícula de usuario
  4. Privilegios del módulo: Habilitar Panel de control, visor de vídeo, gestor de alarmas, mapa con las capacidades deseadas
  5. Asignación de entidades: Deja "Acceso completo para todas las entidades" DESACTIVADO y NO selecciones ninguna entidad. Haz clic en Enviar.

Paso 2 — Asignar acceso a la entidad por usuario:

  • Ve a Configuración → Roles → Editar Acceso a la Entidad
  • Selecciona Administrador A → Elige Fusionar → Comprueba todos los clientes de Northeast (con Incluir hijos activado) → Enviar
  • Selecciona Admin B → Elige Fusionar → Comprueba todos los clientes de Southeast (con Incluir hijos activado) → Enviar

Resultado: Ambos administradores comparten exactamente el mismo rol y privilegios, pero el Administrador A solo ve clientes del Noreste mientras que el Administrador B solo ve a los del Sureste. Un solo papel en vez de dos. Cuando se añaden nuevos sitios o dispositivos bajo sus clientes asignados, se incluyen automáticamente gracias a Incluir Niños.

Ejemplo 2: Operador solo de vista

Escenario: Operadores que solo deberían ver las cámaras durante su turno — sin exportación de vídeo, sin control de alarmas, solo visualización en directo y reproducción para sitios específicos.

Configuración:

  • Configuración → Roles → Configurar Nuevo Rol
  • Información del rol: Nombre = "Operador solo de vista"
  • Usuarios: Selecciona los operadores que necesitan este rol
  • Privilegios del módulo: Habilitar solo el Panel de Control (solo visualización) y el Visor de Vídeo (con Vista en Directo y Reproducción). Deja todos los demás módulos deshabilitados.
  • Asignación de entidades: Seleccione sitios específicos que estos operadores cubran en el árbol de entidades con Incluir hijos activado

Los operadores pueden vigilar las cámaras, pero no pueden exportar imágenes, acceder a la configuración ni controlar las alarmas. Perfecto para personal de nivel inicial o servicios de monitorización externos.

Ejemplo 3: Instalador con acceso específico para el sitio

Escenario: Un instalador de campo necesita acceso a un sitio específico del cliente para gestionar dispositivos y configurar sensores. Solo deberían ver las entidades relevantes para su asignación actual.

Configuración:

  • Crear el rol "Instalador" (o usar el rol predeterminado de Instalador)
  • Privilegios del módulo: Habilitar configuración (dispositivos, sensores, configuración de red), Visor de vídeo (Vista en vivo para pruebas)
  • Asignación de entidades: No hay acceso predeterminado a entidades
  • Editar acceso a la entidad: Seleccionar el usuario instalador → Fusionar → seleccionar solo el sitio específico en el que están trabajando con Incluir hijos activado

El instalador solo puede ver y gestionar el sitio específico y todos sus dispositivos/sensores. Cuando se instala un dispositivo nuevo en ese lugar, es accesible automáticamente. Cuando el trabajo esté terminado, elimina su acceso a la entidad o reasigna al siguiente sitio.

Ejemplo 4: Acceso a aplicaciones móviles para técnicos de campo

Escenario: Los técnicos de campo necesitan acceso a aplicaciones móviles a los sitios que atienden con cámaras, con visualización de cámaras y control de alarmas.

Configuración:

  • Crear el rol "Técnico de campo" mediante el asistente de rol
  • Privilegios del módulo: Habilitar el visor de vídeo (vista en directo), gestor de alarmas (activar/desactivar), mapa (vista en directo)
  • Asignación de entidades: No hay acceso predeterminado a la entidad. Utiliza Editar Acceso a la Entidad para asignar a cada técnico su área de servicio con Incluir hijos activado.

Comportamiento de la aplicación móvil: El técnico inicia sesión en la aplicación móvil GCXONE y solo ve sus sitios asignados individualmente. Pueden ver cámaras en directo y armar o desactivar desde su teléfono. Los cambios de permiso se aplican al móvil en un plazo de 5 segundos. No es necesario gestionar los permisos móviles por separado ni crear roles individuales.

Recursos relacionados

Download PDF
Loading...