Specifika rättigheter utöver grupp-behörigheten — finkornig kontroll.
Där användargruppen styr arbetsytan (vilken meny och startupplevelse en användare får) ger roller specifika rättigheter till skyddade funktioner. En roll kan tilldelas flera användare, en användare kan ha flera roller, och rättigheten gäller bara när både rollen och användaren är aktiva.
Behörighetsroller
| Roll | Vad den ger |
|---|---|
Filhantering | Får ladda upp, flytta, byta namn på och radera filer i bolagets filarea |
FilhanteringLäs | Får bläddra i och ladda ner filer ur filarean — läsläge |
SpreadsheetAdmin | Får skapa och ändra Kalkylrapport-mallar |
Utöver rollerna finns administratörsmarkeringen på användarkontot — administratörer har alltid full rätt i rollstyrda funktioner och ser systemadministrationen.
Systemroller är låsta
Rollerna som funktionerna känner igen skapas automatiskt vid uppgradering och är markerade som systemroller: namnet kan inte ändras och rollen kan inte raderas — då skulle behörigheten tyst sluta fungera. Beskrivning, aktivering och tilldelning är fria.
Attestflödet har egna roller
Attestroller (sakgranskning, beloppsgränser, slutattest med mera) är en egen kategori som konfigureras i attestreglerna och kan gälla per bolag. De syns i samma register men styr attestflödet, inte funktionsåtkomst.
Inte hierarkiska
Roller är inte hierarkiska. En användare kan ha flera roller och de kombineras — den ena innebär aldrig den andra.
Granulär nog för att vara säker
Tanken är att vanliga användare inte ska ha alla rättigheter. Vill ekonomichefen att en specifik person kan ändra Kalkylrapport-mallar — bara den personen får SpreadsheetAdmin. Alla andra kan fortfarande se rapporterna men inte ändra mallarna. Samma sak i filarean: många kan få hämta underlag, få kan få radera.
Spärrat i funktionen, inte bara i menyn
Behörigheten kontrolleras i själva funktionen — knappar spärras och skyddade fönster öppnas inte utan rätt roll. Att dölja en menypost är aldrig skyddet i sig.
Audit-spår
Tilldelning och borttagning av roller loggas i audit-spåret. Vid revision kan man se exakt när en person fick eller förlorade en specifik roll, och av vem.
Hantering vid offboarding
När en användare lämnar — ta bort rollerna före inaktivering. Det säkerställer att ingen kvarvarande rättighet finns kvar om kontot återaktiveras senare.