Referencia de Control de Acceso

Copie una solicitud de configuración con los pasos de instalación y la guía de markdown completa para este complemento.

Capgo uses Configuración lista para usar gestionar qué puede hacer cada miembro del equipo. Los roles se organizan por ámbito — desde la organización completa hasta una sola paquete.

Para una guía visual de la gestión de miembros en la consola, consulte Organización.

Ámbitos de rol

Cada rol pertenece a un ámbito que determina qué recurso concede acceso.

Ámbito	Aplica a	Ejemplo de uso
Organización	La organización completa y todas sus aplicaciones	Tu cofundador obtiene Super Administrador; tu contable obtiene Administrador de Facturación
Aplicación	Una sola aplicación y sus canales	Un contratista trabajando en una aplicación obtiene Desarrollador de Aplicación
Canales	Un canal individual dentro de una aplicación	Un ingeniero de pruebas solo gestiona el `staging` canal
Paquete	Una versión de paquete individual	Un revisor necesita acceso de lectura a una versión de lanzamiento específica

Un miembro puede tener un rol por ámbito objetivo — por ejemplo, un rol de organización, un rol en App A y un rol diferente en App B.

Roles de organización

Estos roles se asignan cuando se invita a un miembro. Otorgan acceso a toda la organización.

Rol	Nombre interno	Descripción
Administrador Supremo	`org_super_admin`	Equivalente a propietario. Control total, incluyendo la eliminación de la org, la gestión de facturación y la transferencia de aplicaciones. Se concede automáticamente al creador de la org.
__CAPGO_KEEP_0__	`org_admin`	Administración completa — gestione miembros, aplicaciones, canales. No se puede eliminar la organización, actualizar facturación, transferir aplicaciones o promover usuarios a Super Administrador.
Administrador de facturación	`org_billing_admin`	Acceso solo a facturación: ver y actualizar información de facturación, facturas e historial de auditoría de facturación. Sin acceso a aplicaciones o miembros.
Miembro	`org_member`	Acceso de solo lectura a la organización y todas sus aplicaciones.

Matriz de permisos de la organización

Descripción	Super Administrador	Administrador	Administrador de facturación	Matriz de permisos de la organización	Miembro
`org.read`	Ver la organización	✅	✅	✅	✅
`org.update_settings`	Editar nombre de la organización, logo y correo electrónico de administración	✅	✅	❌	❌
`org.delete`	Eliminar la organización permanentemente	✅	❌	❌	❌
`org.read_members`	Ver lista de miembros	✅	✅	❌	✅
`org.invite_user`	Invitar nuevos miembros	✅	✅	❌	❌
`org.update_user_roles`	Cambiar roles de miembros (el administrador no puede promover a Super Administrador — bloqueado por jerarquía de roles)	✅	✅	❌	❌
`org.read_billing`	Ver información de facturación y plan actual	✅	✅	✅	❌
`org.update_billing`	Actualizar método de pago y plan	✅	❌	✅	❌
`org.read_invoices`	Ver facturas	✅	✅	✅	❌
`org.read_audit`	Ver registro de actividad de la organización	✅	✅	❌	❌
`org.read_billing_audit`	Ver registro de auditoría específico de facturación	✅	✅	✅	❌

Roles de aplicación

Limitado a una sola aplicación. Utilícelos cuando un miembro del equipo solo debe trabajar en una aplicación, no en toda la organización.

Rol	Nombre interno	Descripción
Administrador de Aplicación	`app_admin`	Control total de una aplicación — canales, dispositivos, roles de usuario para la aplicación. No se puede eliminar o transferir la aplicación (esas son operaciones de nivel de organización).
Desarrollador de Aplicación	`app_developer`	Subir paquetes, gestionar dispositivos, desencadenar compilaciones nativas, actualizar configuraciones de canal. Sin eliminación, sin cambios en la configuración de la aplicación, sin creación de canales.
Subidor de Aplicación	`app_uploader`	Acceso de lectura + subir nuevas versiones de paquetes.
Lector de Aplicación	`app_reader`	Solo lectura — estadísticas, paquetes, canales, registros, dispositivos.

Matriz de permisos de Aplicación

Permiso	Descripción	Administrador de la aplicación	Desarrollador de la aplicación	Subidor de la aplicación	Lector de la aplicación
`app.read`	Ver detalles de la aplicación, estadísticas y metadatos	✅	✅	✅	✅
`app.update_settings`	Editar ajustes de la aplicación	✅	❌	❌	❌
`app.read_bundles`	Ver la lista de paquetes subidos	✅	✅	✅	✅
`app.upload_bundle`	Subir una nueva versión del paquete	✅	✅	✅	❌
`app.create_channel`	Crear un nuevo canal	✅	❌	❌	❌
`app.read_channels`	Ver canales	✅	✅	✅	✅
`app.read_logs`	Ver registros de entrega de actualizaciones	✅	✅	✅	✅
`app.manage_devices`	Asignar, sobreescribir o desvincular dispositivos	✅	✅	❌	❌
`app.read_devices`	Ver lista de dispositivos	✅	✅	✅	✅
`app.build_native`	Desencadenar una compilación nativa en la nube	✅	✅	❌	❌
`app.read_audit`	Ver registro de actividad de nivel de aplicación	✅	✅	✅	✅
`app.update_user_roles`	Administrar asignaciones de roles de nivel de aplicación	✅	❌	❌	❌
`bundle.delete`	Eliminar una paquete	✅	❌	❌	❌

Roles de canal

Limitado a un canal en particular. Útil para dar acceso objetivo a un canal de liberación específico.

Rol	Nombre interno	Descripción
Administrador de canal	`channel_admin`	Control total de un canal: configuración, promoción/retorno de paquetes, gestión de dispositivos forzados.
Vista de canal	`channel_reader`	Solo lectura — paquete actual, historia, dispositivos forzados, registro de auditoría.

Matriz de permisos de canal

Permiso	Descripción	Administrador de canal	Vista de canal
`channel.read`	Ver el canal y su paquete actual	✅	✅
`channel.update_settings`	Editar ajustes del canal (también incluye ajustes de plataforma, política de actualización…)	✅	❌
`channel.delete`	Eliminar el canal	✅	❌
`channel.read_history`	Ver historial de asignación de paquetes	✅	✅
`channel.promote_bundle`	Establecer el paquete activo en el canal	✅	❌
`channel.rollback_bundle`	Volver a un paquete anterior	✅	❌
`channel.manage_forced_devices`	Forzar dispositivos específicos a este canal	✅	❌
`channel.read_forced_devices`	Ver lista de dispositivos forzados	✅	✅
`channel.read_audit`	Ver registro de actividad del canal	✅	✅

Roles de paquetes

Limitado a una versión de paquete específica. Raramente necesario — la mayoría de los equipos utilizan roles de nivel de aplicación en su lugar.

Rol	Nombre interno	Descripción
Administrador de paquete	`bundle_admin`	Leer, actualizar metadatos y eliminar un paquete específico.
Vista de paquetes	`bundle_reader`	Acceso de solo lectura a un paquete específico.

Sobreescripciones de permisos de canal (Panel de control)

En el panel de control, el acceso a los canales se determina por defecto por el rol de la aplicación del usuario. Para un control más detallado, puede sobreescribir permisos de canal específicos por usuario o grupo sin cambiar su rol de aplicación.

Las sobreescripciones se configuran desde la pestaña Acceso del aplicativo haciendo clic en el botón de permisos de canal (ícono de escudo) junto a un usuario. Consulte Organización — Sobreescribiendo permisos de canal para una guía visual.

Permisos sobrepasables

Permiso	Descripción	Comportamiento por defecto
Lectura	Ver el canal y su paquete actual	Herencia del rol de aplicación
Historial	Ver el historial de asignación de paquetes	Herencia del rol de aplicación
Asociar paquete	Establecer o cambiar el paquete activo en el canal	Herencia del rol de la aplicación

Cada permiso se puede configurar para:

Predeterminado — heredar del rol de la aplicación (por defecto)
Permitir — conceder explícitamente, sin importar el rol de la aplicación
Denegar — bloquear explícitamente, sin importar el rol de la aplicación

Esto te permite, por ejemplo, dar a un Lector de Aplicación la capacidad de asociar paquetes en el staging canal sin promoverlo a Desarrollador de Aplicación.

Jerarquía de roles

Los roles forman una jerarquía. Un rol padre hereda todos los permisos de sus hijos. Esto significa que un org_admin puede hacer todo lo que un app_admin puede, lo que a su vez puede hacer todo lo que un channel_admin puede, y así sucesivamente.

Super Admin (org_super_admin)
  └── Admin (org_admin)
        └── App Admin (app_admin)
              ├── App Developer (app_developer)
              │     └── App Uploader (app_uploader)
              │           └── App Reader (app_reader)
              ├── Bundle Admin (bundle_admin)
              │     └── Bundle Viewer (bundle_reader)
              └── Channel Admin (channel_admin)
                    └── Channel Viewer (channel_reader)

Cómo funciona en la práctica:

Un Administrador a nivel de organización puede hacer todo lo que un Administrador de Aplicación puede, en cada aplicación de la organización.
Un Administrador de Aplicación en una aplicación específica puede hacer todo lo que un Administrador de Canal puede, en cada canal de esa aplicación.
Un Desarrollador de Aplicación puede hacer todo lo que un Subidor de Aplicación puede, más aún.

La jerarquía solo fluye hacia abajo — un channel_admin nunca obtiene permisos de nivel de organización, incluso si también poseen un rol de nivel de aplicación.

Grupos

En lugar de asignar roles a cada usuario individualmente, puede crear grupos y asignar roles al grupo. Cada miembro del grupo hereda automáticamente esos roles.

Cómo funcionan los grupos

Un grupo pertenece a una organización — no puede abarcar varias orgs.
Los grupos pueden contener vinculaciones de rol en cualquier ámbito: org, app, canal, o paquete. Por ejemplo, un grupo puede asignarse el Desarrollador de Aplicación rol en App A y el Administrador de Canal rol en el staging canal de App B.
Cuando se evalúan las permisos de un usuario, todas sus pertenencias de grupo se resuelven de manera transparente. Si alguno de sus grupos concede el permiso requerido, se permite el acceso.
Un usuario puede pertenecer a grupos múltiples, y permisos de todos los grupos son acumulativos.
Los permisos basados en grupos solo se aplican a principales de usuario — las API claves no heredan roles de grupo.

Cuándo usar grupos

Escenario	Sin grupos	Con grupos
5 ingenieros de pruebas necesitan acceso de Desarrollador a 3 aplicaciones	15 vinculaciones de roles individuales	1 grupo + 3 vinculaciones de rol
Alguien se une al equipo de QA	Agregar 3 vinculaciones de rol manualmente	Agregarlos al grupo
Alguien deja el equipo de QA	Eliminar 3 vinculaciones de rol manualmente	Eliminarlos del grupo

Administrar grupos a través de API

Todos los puntos finales de grupo requieren autenticación y se sirven bajo /private/groups.

Lista de grupos

curl -X GET "https://api.capgo.app/private/groups/<ORG_ID>" \
  -H "authorization: <API_KEY>"

Requiere org.read_members permiso.

Crear un grupo

curl -X POST "https://api.capgo.app/private/groups/<ORG_ID>" \
  -H "authorization: <API_KEY>" \
  -H "Content-Type: application/json" \
  -d '{
    "name": "QA Team",
    "description": "Quality assurance engineers"
  }'

Requiere org.update_user_roles permiso (Administrador Super o Administrador).

Actualizar un grupo

curl -X PUT "https://api.capgo.app/private/groups/<GROUP_ID>" \
  -H "authorization: <API_KEY>" \
  -H "Content-Type: application/json" \
  -d '{
    "name": "QA Team",
    "description": "Updated description"
  }'

Eliminar un grupo

curl -X DELETE "https://api.capgo.app/private/groups/<GROUP_ID>" \
  -H "authorization: <API_KEY>"

Eliminar un grupo también elimina todas sus vinculaciones de rol. Los miembros no se eliminan de la organización.

Lista de miembros del grupo

curl -X GET "https://api.capgo.app/private/groups/<GROUP_ID>/members" \
  -H "authorization: <API_KEY>"

Agregar un miembro a un grupo

curl -X POST "https://api.capgo.app/private/groups/<GROUP_ID>/members" \
  -H "authorization: <API_KEY>" \
  -H "Content-Type: application/json" \
  -d '{ "user_id": "<USER_UUID>" }'

El usuario debe ya ser miembro de la organización. Agregar un miembro existente es una operación sin efecto.

Quitar un miembro de un grupo

curl -X DELETE "https://api.capgo.app/private/groups/<GROUP_ID>/members/<USER_UUID>" \
  -H "authorization: <API_KEY>"

Asignar roles mediante API

Lista de miembros

curl -X GET "https://api.capgo.app/organization/members" \
  -H "authorization: <API_KEY>" \
  -H "Content-Type: application/json" \
  -d '{ "orgId": "<ORG_ID>" }'

Respuesta:

[
  {
    "uid": "user-uuid",
    "email": "alice@example.com",
    "image_url": "https://...",
    "role": "org_admin",
    "is_tmp": false
  }
]

Invita a un miembro

curl -X POST "https://api.capgo.app/organization/members" \
  -H "authorization: <API_KEY>" \
  -H "Content-Type: application/json" \
  -d '{
    "orgId": "<ORG_ID>",
    "email": "bob@example.com",
    "invite_type": "org_admin"
  }'

Valores aceptados para invite_type:

Valor	Rol asignado
`org_super_admin`	Super Administrador
`org_admin`	Administrador
`org_billing_admin`	Gerente de facturación
`org_member`	Miembro

Eliminar a un miembro

curl -X DELETE "https://api.capgo.app/organization/members" \
  -H "authorization: <API_KEY>" \
  -H "Content-Type: application/json" \
  -d '{
    "orgId": "<ORG_ID>",
    "email": "bob@example.com"
  }'

Asignar roles a través de CLI

Lista de organizaciones

npx @capgo/cli organization list --apikey <API_KEY>

Lista de miembros

npx @capgo/cli organization members <ORG_ID> --apikey <API_KEY>

Roles personalizados

Los roles integrados cubren la mayoría de las estructuras de equipo. La creación de roles personalizados está en nuestra ruta de desarrollo — si esto es algo que necesita su equipo, contacte con nosotros. Su caso de uso ayudará directamente a priorizar esta función.