Referencia de control de acceso

Copie una solicitud de configuración con los pasos de instalación y la guía de markdown completa para este complemento.

Capgo uses Ajustes de seguridad para administrar qué puede hacer cada miembro del equipo. Los roles se organizan por ámbito — desde la organización completa hasta un solo paquete.

Para una guía visual de la gestión de miembros en la consola, consulte Organización.

Ámbitos de rol

Cada rol pertenece a un ámbito que determina qué recurso concede acceso.

Ámbito	Aplica a	Uso de ejemplo
Organización	La organización completa y todas sus aplicaciones	Tu cofundador obtiene Super Administrador; tu contable obtiene Administrador de Facturación
Aplicación	Una sola aplicación y sus canales	Un contratista que trabaja en una aplicación obtiene Desarrollador de Aplicación
Canal	Un canal individual dentro de una aplicación	Un ingeniero de pruebas solo gestiona el `staging` canal
Paquete	Una versión de paquete individual	Un revisor necesita acceso de lectura a una versión de lanzamiento específica

A un miembro se le puede asignar un rol por ámbito objetivo — por ejemplo, un rol de organización, un rol en App A, y un rol diferente en App B.

Roles de organización

Estos roles se asignan cuando se invita a un miembro. Otorgan acceso a toda la organización.

Rol	Nombre interno	Descripción
Administrador principal	`org_super_admin`	Equivalente a propietario. Control total incluyendo la eliminación de la org, la gestión de facturación y la transferencia de aplicaciones. Se asigna automáticamente al creador de la org.
__CAPGO_KEEP_0__	`org_admin`	Administración completa — gestione miembros, aplicaciones, canales. No se puede eliminar la organización, actualizar facturación, transferir aplicaciones o promover usuarios a Super Administrador.
Administrador de facturación	`org_billing_admin`	Acceso solo a facturación: ver y actualizar información de facturación, facturas e historial de auditoría de facturación. Sin acceso a aplicaciones o miembros.
Miembro	`org_member`	Acceso de solo lectura a la organización y a todas sus aplicaciones.

Matriz de permisos de la organización

Permiso	Descripción	Super Administrador	Administrador	Administrador de facturación	Miembro
`org.read`	Ver la organización	✅	✅	✅	✅
`org.update_settings`	Editar nombre de la organización, logo y correo electrónico de administración	✅	✅	❌	❌
`org.delete`	Eliminar la organización permanentemente	✅	❌	❌	❌
`org.read_members`	Ver la lista de miembros	✅	✅	❌	✅
`org.invite_user`	Invitar nuevos miembros	✅	✅	❌	❌
`org.update_user_roles`	Cambiar roles de miembros (El administrador no puede promover a Super Administrador — bloqueado por jerarquía de roles)	✅	✅	❌	❌
`org.read_billing`	Ver información de facturación y plan actual	✅	✅	✅	❌
`org.update_billing`	Actualizar método de pago y plan	✅	❌	✅	❌
`org.read_invoices`	Ver facturas	✅	✅	✅	❌
`org.read_audit`	Ver registro de actividad de la organización	✅	✅	❌	❌
`org.read_billing_audit`	Ver registro de auditoría específico de facturación	✅	✅	✅	❌

Roles de aplicación

Limitado a una sola aplicación. Utilícelos cuando un miembro del equipo solo debe trabajar en una aplicación, no en toda la organización.

Rol	Nombre interno	Descripción
Administrador de Aplicación	`app_admin`	Control total de una aplicación — canales, dispositivos, roles de usuario para la aplicación. No se puede eliminar o transferir la aplicación (esas son operaciones de nivel de organización).
Desarrollador de Aplicación	`app_developer`	Subir paquetes, gestionar dispositivos, desencadenar compilaciones nativas, actualizar configuraciones de canal. Sin eliminación, sin cambios en la configuración de la aplicación, sin creación de canales.
Subidor de Aplicación	`app_uploader`	Acceso de lectura + subir nuevas versiones de paquetes.
Lector de Aplicación	`app_reader`	Solo lectura — estadísticas, paquetes, canales, registros, dispositivos.

Matriz de permisos de la aplicación

Permiso	Descripción	Administrador de la aplicación	Desarrollador de la aplicación	Subidor de la aplicación	Lector de la aplicación
`app.read`	Ver detalles de la aplicación, estadísticas y metadatos	✅	✅	✅	✅
`app.update_settings`	Editar ajustes de la aplicación	✅	❌	❌	❌
`app.read_bundles`	Ver la lista de paquetes subidos	✅	✅	✅	✅
`app.upload_bundle`	Subir una nueva versión de paquete	✅	✅	✅	❌
`app.create_channel`	Crear un nuevo canal	✅	❌	❌	❌
`app.read_channels`	Ver canales	✅	✅	✅	✅
`app.read_logs`	Ver registros de entrega de actualizaciones	✅	✅	✅	✅
`app.manage_devices`	Asignar, sobreescribir o desvincular dispositivos	✅	✅	❌	❌
`app.read_devices`	Ver lista de dispositivos	✅	✅	✅	✅
`app.build_native`	Desencadenar una compilación nativa en la nube	✅	✅	❌	❌
`app.read_audit`	Ver registro de actividad de nivel de aplicación	✅	✅	✅	✅
`app.update_user_roles`	Administrar asignaciones de roles de nivel de aplicación	✅	❌	❌	❌
`bundle.delete`	Eliminar una paquete	✅	❌	❌	❌

Roles de canal

Limitado a un canal en particular. Útil para dar acceso objetivo a un canal de liberación específico.

Rol	Nombre interno	Descripción
Administrador de canal	`channel_admin`	Control total de un canal: configuración, promoción/retorno de paquetes, gestión de dispositivos forzados.
Vista de canal	`channel_reader`	Leer solo — paquete actual, historia, dispositivos forzados, registro de auditoría.

Matriz de permisos de canal

Permiso	Descripción	Administrador de canal	Vista de canal
`channel.read`	Ver el canal y su paquete actual	✅	✅
`channel.update_settings`	Editar ajustes del canal (toggler de plataforma, política de actualización…)	✅	❌
`channel.delete`	Eliminar el canal	✅	❌
`channel.read_history`	Ver historial de asignación de paquetes	✅	✅
`channel.promote_bundle`	Establecer el paquete activo en el canal	✅	❌
`channel.rollback_bundle`	Volver a un paquete anterior	✅	❌
`channel.manage_forced_devices`	Forzar dispositivos específicos a este canal	✅	❌
`channel.read_forced_devices`	Ver lista de dispositivos forzados	✅	✅
`channel.read_audit`	Ver registro de actividad del canal	✅	✅

Roles de paquete

Limitado a una versión de paquete única. Rara vez es necesario — la mayoría de los equipos utilizan roles de nivel de aplicación en su lugar.

Rol	Nombre interno	Descripción
Administrador de paquete	`bundle_admin`	Leer, actualizar metadatos y eliminar un paquete específico.
Vista de paquete	`bundle_reader`	Acceso de solo lectura a un paquete específico.

Permisos de canal (Panel de control)

En el panel de control, el acceso a los canales se determina por defecto por el rol de la aplicación del usuario. Para un control más detallado, puede sobreescribir permisos de canal específicos por usuario o grupo sin cambiar su rol de aplicación.

Las sobrescripciones se configuran desde la pestaña Acceso del panel de configuración del app, haciendo clic en el botón de permisos de canal (ícono de escudo) junto a un usuario. Consulte Organización — Sobreescribiendo permisos de canal para una guía visual.

Permisos sobrepasables

Permiso	Descripción	Comportamiento por defecto
Lectura	Ver el canal y su paquete actual	Herencia del rol de la aplicación
Historial	Ver el historial de asignación de paquetes	Herencia del rol de la aplicación
Asociar paquete	Establecer o cambiar el paquete activo en el canal	Herencia del rol de la aplicación

Cada permiso se puede configurar para:

Predeterminado — heredar del rol de la aplicación (por defecto)
Permitir — otorgar explícitamente, sin importar el rol de la aplicación
Denegar — bloquear explícitamente, sin importar el rol de la aplicación

Esto te permite, por ejemplo, dar a un lector de aplicaciones la capacidad de asociar paquetes en el staging canal sin promoverlos a desarrollador de aplicaciones.

Estructura de roles

Los roles forman una jerarquía. Un rol padre hereda todos los permisos de sus hijos. Esto significa que un org_admin puede hacer todo lo que un app_admin puede, lo que a su vez puede hacer todo lo que un channel_admin puede, y así sucesivamente.

Super Admin (org_super_admin)
  └── Admin (org_admin)
        └── App Admin (app_admin)
              ├── App Developer (app_developer)
              │     └── App Uploader (app_uploader)
              │           └── App Reader (app_reader)
              ├── Bundle Admin (bundle_admin)
              │     └── Bundle Viewer (bundle_reader)
              └── Channel Admin (channel_admin)
                    └── Channel Viewer (channel_reader)

¿Cómo funciona en la práctica:

Un Administrador a nivel de organización puede hacer todo lo que un App Admin puede, en cada aplicación de la organización.
Un App Admin en una aplicación específica puede hacer todo lo que un Administrador de Canal puede, en cada canal de esa aplicación.
Un Desarrollador de Aplicación puede hacer todo lo que un Subidor de Aplicación puede, más aún.

La jerarquía solo fluye hacia abajo — un channel_admin nunca obtiene permisos de nivel de organización, incluso si también tienen un rol de nivel de aplicación.

Grupos

En lugar de asignar roles a cada usuario individualmente, puede crear grupos y asignar roles al grupo. Cada miembro del grupo hereda automáticamente esos roles.

Cómo funcionan los grupos

Un grupo pertenece a Una organización — no puede abarcar varias organizaciones. Los grupos pueden contener vinculaciones de rol en
any scope : organización, aplicación, canal o paquete. Por ejemplo, un grupo puede asignarse elDesarrollador de Aplicación rol en la aplicación A y el Administrador de Canal rol en el canal de la aplicación B. staging Cuando se evalúan los permisos de un usuario, todas sus pertenencias de grupo se resuelven de manera transparente. Si alguno de sus grupos concede el permiso requerido, se permite el acceso.
Un usuario puede pertenecer a
__CAPGO_KEEP_0__ grupos múltiplesy permisos de todos los grupos son acumulativos.
Los permisos basados en grupos solo se aplican a principales de usuario — las API claves no heredan roles de grupo.

Cuándo usar grupos

Escenario	Sin grupos	Con grupos
5 ingenieros de pruebas necesitan acceso de Desarrollador a 3 aplicaciones	15 vinculaciones de roles individuales	1 grupo + 3 vinculaciones de rol
Alguien se une al equipo de QA	Agregar 3 vinculaciones de rol manualmente	Agregarlos al grupo
Alguien deja el equipo de QA	Eliminar 3 vinculaciones de rol manualmente	Eliminarlos del grupo

Gestionar grupos a través de API

Todas las endpoints de grupo requieren autenticación y se sirven bajo /private/groups.

Lista de grupos

curl -X GET "https://api.capgo.app/private/groups/<ORG_ID>" \
  -H "authorization: <API_KEY>"

Requiere org.read_members permiso.

Crear un grupo

curl -X POST "https://api.capgo.app/private/groups/<ORG_ID>" \
  -H "authorization: <API_KEY>" \
  -H "Content-Type: application/json" \
  -d '{
    "name": "QA Team",
    "description": "Quality assurance engineers"
  }'

Requiere org.update_user_roles permiso (Administrador Super o Administrador).

Actualizar un grupo

curl -X PUT "https://api.capgo.app/private/groups/<GROUP_ID>" \
  -H "authorization: <API_KEY>" \
  -H "Content-Type: application/json" \
  -d '{
    "name": "QA Team",
    "description": "Updated description"
  }'

Eliminar un grupo

curl -X DELETE "https://api.capgo.app/private/groups/<GROUP_ID>" \
  -H "authorization: <API_KEY>"

Eliminar un grupo también elimina todas sus vinculaciones de rol. Los miembros no se eliminan de la organización.

Lista de miembros del grupo

curl -X GET "https://api.capgo.app/private/groups/<GROUP_ID>/members" \
  -H "authorization: <API_KEY>"

Agregar un miembro a un grupo

curl -X POST "https://api.capgo.app/private/groups/<GROUP_ID>/members" \
  -H "authorization: <API_KEY>" \
  -H "Content-Type: application/json" \
  -d '{ "user_id": "<USER_UUID>" }'

El usuario debe ya ser miembro de la organización. Agregar un miembro existente es una operación sin efecto.

Quitar un miembro de un grupo

curl -X DELETE "https://api.capgo.app/private/groups/<GROUP_ID>/members/<USER_UUID>" \
  -H "authorization: <API_KEY>"

Asignación de roles mediante API

Lista de miembros

curl -X GET "https://api.capgo.app/organization/members" \
  -H "authorization: <API_KEY>" \
  -H "Content-Type: application/json" \
  -d '{ "orgId": "<ORG_ID>" }'

Respuesta:

[
  {
    "uid": "user-uuid",
    "email": "alice@example.com",
    "image_url": "https://...",
    "role": "org_admin",
    "is_tmp": false
  }
]

Invita a un miembro

curl -X POST "https://api.capgo.app/organization/members" \
  -H "authorization: <API_KEY>" \
  -H "Content-Type: application/json" \
  -d '{
    "orgId": "<ORG_ID>",
    "email": "bob@example.com",
    "invite_type": "org_admin"
  }'

Valores aceptados para invite_type:

Valor	Rol asignado
`org_super_admin`	Administrador Super
`org_admin`	Administrador
`org_billing_admin`	Gerente de facturación
`org_member`	Miembro

Eliminar a un miembro

curl -X DELETE "https://api.capgo.app/organization/members" \
  -H "authorization: <API_KEY>" \
  -H "Content-Type: application/json" \
  -d '{
    "orgId": "<ORG_ID>",
    "email": "bob@example.com"
  }'

Asignar roles a través de CLI

Lista de organizaciones

npx @capgo/cli organization list --apikey <API_KEY>

Lista de miembros

npx @capgo/cli organization members <ORG_ID> --apikey <API_KEY>

Roles personalizados

Los roles incorporados cubren la mayoría de las estructuras de equipo. La creación de roles personalizados está en nuestra ruta de desarrollo — si este es algo que necesita su equipo, háganos llegar. Su caso de uso ayudará directamente a priorizar esta función.

Siga adelante desde la Referencia de Control de Acceso

Si está utilizando Referencia de Control de Acceso para planificar la consola y las operaciones API, conecte con API Vista General para los detalles de implementación en API Vista General, Introducción para los detalles de implementación en Introducción, API Claves para los detalles de implementación en API Claves, Dispositivos para los detalles de implementación en Dispositivos, y Paquetes para los detalles de implementación en Paquetes.