[{"data":1,"prerenderedAt":340},["ShallowReactive",2],{"guide:es:getting-started/access-and-controls":3},{"id":4,"title":5,"body":6,"description":332,"extension":333,"meta":334,"navigation":335,"path":336,"seo":337,"stem":338,"__hash__":339},"guide_es/es/user/getting-started/access-and-controls.md","Quién puede ver y modificar qué",{"type":7,"value":8,"toc":321},"minimark",[9,13,17,32,39,50,55,73,88,94,101,120,124,134,153,158,161,167,203,210,214,221,237,241,244,271,274,278,285,309],[10,11,5],"h1",{"id":12},"quién-puede-ver-y-modificar-qué",[14,15,16],"p",{},"Esta es la pregunta que más nos hacen, así que vale la pena aclararla desde el principio. El modelo de acceso de Aptli es deliberadamente sencillo y parte de un valor predeterminado:",[18,19,20],"callout",{},[14,21,22,26,27,31],{},[23,24,25],"strong",{},"Por defecto, todo el mundo puede ver todo, pero no todo el mundo puede modificar todo."," La visibilidad está abierta de forma predeterminada; la capacidad de ",[28,29,30],"em",{},"editar"," es lo que tú concedes. A continuación, restringes la visibilidad solo donde sea específicamente necesario.",[14,33,34,35,38],{},"El control se lleva a cabo en ",[23,36,37],{},"dos capas independientes",". Se superponen: el acceso final de una persona a cualquier registro es el que ambas capas permiten.",[40,41,46],"pre",{"className":42,"code":44,"language":45},[43],"language-text","   START: everyone can SEE everything\n              │\n              ▼\n   ┌──────────────────────────────────────────────┐\n   │ LAYER 1 — ADMIN RIGHTS                        │\n   │ \"What may this person CHANGE?\"                │\n   │ Granted per area, per action.                 │\n   │ No right → can view, but not create/edit/delete\n   └──────────────────────────────────────────────┘\n              │\n              ▼\n   ┌──────────────────────────────────────────────┐\n   │ LAYER 2 — ROLE RESTRICTIONS                   │\n   │ \"What may this person's role even SEE?\"       │\n   │ Hides matching records from the role —        │\n   │ everywhere those records would appear.        │\n   └──────────────────────────────────────────────┘\n              │\n              ▼\n   RESULT: what this person can see and do\n","text",[47,48,44],"code",{"__ignoreMap":49},"",[51,52,54],"h2",{"id":53},"capa-1-derechos-de-administrador-lo-que-puedes-cambiar","Capa 1 — Derechos de administrador (lo que puedes cambiar)",[14,56,57,58,61,62,65,66,65,69,72],{},"Cada persona tiene un conjunto de ",[23,59,60],{},"derechos de administrador",". Cada derecho es un interruptor único para una acción en un área; por ejemplo, ",[47,63,64],{},"jobsUpdate",", ",[47,67,68],{},"sitesDelete",[47,70,71],{},"resourcesCreate",". Si tienes el derecho, puedes realizar esa acción; si no lo tienes, no puedes.",[14,74,75,76,79,80,83,84,87],{},"El patrón es coherente en todo el sistema: la mayoría de las áreas tienen un derecho de ",[23,77,78],{},"crear",", uno de ",[23,81,82],{},"actualizar"," y uno de ",[23,85,86],{},"eliminar",".",[40,89,92],{"className":90,"code":91,"language":45},[43],"   Jobs        →  jobsCreate · jobsUpdate · jobsDelete\n   Sites       →  sitesCreate · sitesUpdate · sitesDelete\n   Resources   →  resourcesCreate · resourcesUpdate · resourcesDelete\n   Reports     →  reportsCreate · reportsUpdate · reportsDelete\n   ... and so on for every area\n",[47,93,91],{"__ignoreMap":49},[14,95,96,97,100],{},"Sin ",[23,98,99],{},"ningún"," derecho, una persona tiene, en la práctica, acceso de solo lectura: puede abrir y ver registros en toda la aplicación, pero no tiene a su disposición los controles de creación, edición y eliminación. Se otorgan derechos para ampliar lo que cada persona está autorizada a hacer.",[14,102,103,104,107,108,111,112,115,116,119],{},"Algunos derechos no se refieren a un área concreta, sino que desbloquean una función, como ",[23,105,106],{},"Ver eliminados"," (",[47,109,110],{},"viewDeleted","), ",[23,113,114],{},"Facilitar recogidas"," o ",[23,117,118],{},"Vista de auditoría",". Estos funcionan de la misma manera: se tienen o no se tienen.",[51,121,123],{"id":122},"capa-2-restricciones-de-roles-lo-que-puedes-ver","Capa 2 — Restricciones de roles (lo que puedes ver)",[14,125,126,127,130,131,87],{},"La primera capa nunca ",[28,128,129],{},"oculta"," nada, solo regula la edición. Para ocultar contenido, se utilizan ",[23,132,133],{},"roles",[14,135,136,137,140,141,144,145,148,149,152],{},"Un ",[23,138,139],{},"rol"," es un grupo de personas con un nombre que conlleva una lista de ",[23,142,143],{},"restricciones",". Cada restricción es una regla que, en la práctica, dice: ",[28,146,147],{},"«los miembros de este rol no deben tocar los registros que cumplan esta condición»",". Lo principal que hace una restricción es ",[23,150,151],{},"ocultar"," los registros que coinciden; simplemente no aparecen para ese rol, en ningún sitio.",[154,155,157],"h3",{"id":156},"los-tres-niveles","Los tres niveles",[14,159,160],{},"Para cualquier registro dado, una persona acaba en exactamente uno de estos:",[40,162,165],{"className":163,"code":164,"language":45},[43],"   ┌────────────────────────────────┬──────┬───────┐\n   │                                │ SEE  │ EDIT  │\n   ├────────────────────────────────┼──────┼───────┤\n   │ Open                           │  ✓   │  ✓ *  │\n   │ View-only                      │  ✓   │  ✗    │\n   │ Hidden          (role-hidden)  │  ✗   │  ✗    │\n   └────────────────────────────────┴──────┴───────┘\n\n   * Editing requires the matching admin right from Layer 1.\n",[47,166,164],{"__ignoreMap":49},[168,169,170,177,194],"ul",{},[171,172,173,176],"li",{},[23,174,175],{},"Abierto",": visible y editable por cualquier persona que posea el derecho de administrador correspondiente.",[171,178,179,182,183,186,187,190,191,193],{},[23,180,181],{},"Solo lectura",": visible, pero no editable. Esto es simplemente lo que se obtiene para cualquier registro en el que una persona ",[23,184,185],{},"no posea el derecho de edición"," (Capa 1). Dado que la visibilidad está abierta por defecto y se concede la edición, ",[28,188,189],{},"la mayoría"," de las personas tienen acceso de solo lectura en ",[28,192,189],{}," de los casos; ese es el estado normal, no un bloqueo especial.",[171,195,196,199,200,202],{},[23,197,198],{},"Oculto",": un ",[23,201,139],{}," oculta el registro, por lo que no aparece en las listas de esa persona ni en su mapa.",[14,204,205,206,209],{},"Dado que las reglas de roles se aplican a ",[23,207,208],{},"registros que cumplen una condición"," (no a páginas completas), un rol puede ver un subconjunto de trabajos, emplazamientos o elementos, mientras que otro rol ve un subconjunto diferente de la misma colección.",[154,211,213],{"id":212},"funciona-en-todos-los-niveles","Funciona en todos los niveles",[14,215,216,217,220],{},"Ocultar mediante roles no es una función de una sola pantalla. Las ",[23,218,219],{},"mismas reglas de visualización se aplican de manera uniforme en todo el sistema",": trabajos, órdenes de trabajo, informes, recursos, emplazamientos, stock, elementos del mapa, usuarios, roles y más; todos ellos muestran sus listas según las restricciones de rol de la persona actual. Si se oculta una categoría de registros para un rol en un lugar, quedará oculta en todos los sitios donde ese rol pueda verlos.",[18,222,223],{},[14,224,225,228,229,232,233,236],{},[23,226,227],{},"Una nota sobre el funcionamiento conjunto de las dos capas."," La ",[28,230,231],{},"ocultación"," se rige por los roles y se aplica en todas partes. La ",[28,234,235],{},"edición"," se rige por los derechos de administrador, por lo que la forma fiable de hacer que algo sea de solo lectura para un grupo es retirar su derecho de edición. (Los roles también pueden incluir reglas de edición/creación/eliminación, pero considera el derecho de administrador como la verdadera puerta de acceso a la edición.)",[51,238,240],{"id":239},"las-excepciones-a-todo-el-mundo-puede-ver-todo","Las excepciones a «todo el mundo puede ver todo»",[14,242,243],{},"La configuración predeterminada de «abierto» tiene algunas excepciones deliberadas:",[168,245,246,259,265],{},[171,247,248,251,252,254,255,258],{},[23,249,250],{},"Los registros eliminados están ocultos"," a menos que una persona tenga el derecho de ",[23,253,106],{}," ",[28,256,257],{},"y"," solicite mostrarlos. Los elementos eliminados temporalmente siguen siendo recuperables, pero permanecen ocultos.",[171,260,261,264],{},[23,262,263],{},"Los sitios personales pertenecen a su propietario."," El sitio de inventario personal de un trabajador es visible para los demás, pero solo su propietario puede editarlo, independientemente de los derechos del sitio.",[171,266,267,270],{},[23,268,269],{},"Los elementos de mapa huérfanos"," (cuya capa principal se ha eliminado) permanecen ocultos a menos que estés viendo explícitamente contenido eliminado.",[14,272,273],{},"Todo lo demás sigue la regla: abierto para ver, concedido para modificar, restringido por rol donde tú decidas que es relevante.",[51,275,277],{"id":276},"cómo-se-aplica-esto-al-área-de-administración","Cómo se aplica esto al área de administración",[14,279,280,281,284],{},"Se gestionan ambas capas desde el menú ",[23,282,283],{},"Admin",":",[168,286,287,295,302],{},[171,288,289,294],{},[290,291,293],"a",{"href":292},"/guide/admin/","Usuarios"," — asigna los derechos de administrador de una persona (Capa 1) y su pertenencia a un rol.",[171,296,297,301],{},[290,298,300],{"href":299},"/guide/authorization/","Roles"," — define los roles y sus restricciones (Capa 2).",[171,303,304,308],{},[290,305,307],{"href":306},"/guide/admin/granting-access/","Conceder acceso"," — incorpora a nuevas personas y configúralas.",[14,310,311,312,316,317,320],{},"Para obtener una visión completa de la seguridad, consulta ",[290,313,315],{"href":314},"/guide/authentication/","Autenticación"," (cómo las personas demuestran quiénes son) y ",[290,318,319],{"href":299},"Autorización"," (cómo se configuran en profundidad los derechos y los roles).",{"title":49,"searchDepth":322,"depth":322,"links":323},2,[324,325,330,331],{"id":53,"depth":322,"text":54},{"id":122,"depth":322,"text":123,"children":326},[327,329],{"id":156,"depth":328,"text":157},3,{"id":212,"depth":328,"text":213},{"id":239,"depth":322,"text":240},{"id":276,"depth":322,"text":277},"El modelo de acceso de Aptli se basa en dos niveles: los derechos de administrador controlan lo que cada persona puede modificar, y las restricciones de roles controlan lo que pueden ver. La configuración predeterminada es abierta; a partir de ahí se puede restringir el acceso.","md",{},true,"/es/user/getting-started/access-and-controls",{"title":5,"description":332},"es/user/getting-started/access-and-controls","L6QrmNT7N1crM7G7oTpzq-K5Q42cbEHwmMqNgVvGdbc",1781607695619]