Referencia de control de acceso
Copie un prompt de configuración con los pasos de instalación y la guía de markdown completa para este plugin.
Capgo utiliza control de acceso basado en rol (RBAC) para gestionar qué puede hacer cada miembro del equipo. Los roles se organizan por ámbito desde la organización completa hasta un solo paquete.
Para una guía visual de la gestión de miembros en la consola, consulte Organización.
Ámbitos de rol
Título de la sección “Ámbitos de rol”Cada rol pertenece a un ámbito que determina qué recurso concede acceso.
| Ámbito | Aplica a | Uso de ejemplo |
|---|---|---|
| Organización | La organización completa y todas sus aplicaciones | Tu cofundador obtiene Super Administrador; tu contable obtiene Administrador de Facturación |
| Aplicación | Una sola aplicación y sus canales | Un contratista que trabaja en una aplicación obtiene Desarrollador de Aplicación |
| Canal | Un solo canal dentro de una aplicación | Un ingeniero de pruebas solo gestiona el staging canal |
| Paquete | Una sola versión de paquete | A un revisor se le requiere acceso de lectura a una versión específica |
Un miembro puede tener un rol por ámbito objetivo por ejemplo, un rol de organización, un rol en App A y un rol diferente en App B
Roles de organización
Título de la sección “Roles de organización”Estos roles se asignan cuando se invita a un miembro. Otorgan acceso a toda la organización
| Rol | Nombre interno | Descripción |
|---|---|---|
| Administrador superior | org_super_admin | Equivalente a propietario. Control total incluyendo la eliminación de la org, la gestión de facturación y la transferencia de aplicaciones. Se concede automáticamente al creador de la org |
| Administrador | org_admin | Administración completa — gestione miembros, aplicaciones, canales. No se puede eliminar la organización, actualizar facturación, transferir aplicaciones o promover usuarios a Super Administrador. |
| Gerente de Facturación | org_billing_admin | Acceso solo a facturación: ver y actualizar información de facturación, facturas e historial de auditoría de facturación. Sin acceso a aplicaciones o miembros. |
| Miembro | org_member | Acceso de solo lectura a la organización y a todas sus aplicaciones. |
Matriz de permisos de la organización
Sección titulada “Matriz de permisos de la organización”| Permiso | Descripción | Super Administrador | Administrador | Administrador de facturación | Miembro |
|---|---|---|---|---|---|
org.read | Ver la organización | ✅ | ✅ | ✅ | ✅ |
org.update_settings | Editar nombre de la organización, logo y correo electrónico de administración | ✅ | ✅ | ❌ | ❌ |
org.delete | Eliminar la organización permanentemente | ✅ | ❌ | ❌ | ❌ |
org.read_members | Ver la lista de miembros | ✅ | ✅ | ❌ | ✅ |
org.invite_user | Invitar nuevos miembros | ✅ | ✅ | ❌ | ❌ |
org.update_user_roles | Cambiar roles de miembros (el administrador no puede promover a Super Administrador — bloqueado por jerarquía de roles) | ✅ | ✅ | ❌ | ❌ |
org.read_billing | Ver información de facturación y plan actual | ✅ | ✅ | ✅ | ❌ |
org.update_billing | Actualizar método de pago y plan | ✅ | ❌ | ✅ | ❌ |
org.read_invoices | Ver facturas | ✅ | ✅ | ✅ | ❌ |
org.read_audit | Ver registro de actividad de la organización | ✅ | ✅ | ❌ | ❌ |
org.read_billing_audit | Ver registro de auditoría específico de facturación | ✅ | ✅ | ✅ | ❌ |
Roles de la aplicación
Sección titulada “Roles de la aplicación”Scoped a un solo app. Utiliza estos cuando un miembro del equipo solo debe trabajar en una app, no toda la organización.
| Rol | Nombre interno | Descripción |
|---|---|---|
| Administrador de App | app_admin | Control total de una app — canales, dispositivos, roles de usuario para la app. No se puede eliminar ni transferir la app (esas son operaciones de nivel de organización). |
| Desarrollador de App | app_developer | Subir paquetes, gestionar dispositivos, desencadenar compilaciones nativas, actualizar configuraciones de canal. Sin eliminación, sin cambios en configuraciones de app, sin creación de canales. |
| Subidor de App | app_uploader | Acceso de lectura + subir nuevas versiones de paquetes. |
| Lector de App | app_reader | Solo lectura — estadísticas, paquetes, canales, registros, dispositivos. |
Matriz de permisos de la aplicación
Sección titulada “Matriz de permisos de la aplicación”| Permiso | Descripción | Administrador de la aplicación | Desarrollador de la aplicación | Subidor de la aplicación | Lector de la aplicación |
|---|---|---|---|---|---|
app.read | Ver detalles de la aplicación, estadísticas y metadatos | ✅ | ✅ | ✅ | ✅ |
app.update_settings | Editar ajustes de la aplicación | ✅ | ❌ | ❌ | ❌ |
app.read_bundles | Ver la lista de paquetes subidos | ✅ | ✅ | ✅ | ✅ |
app.upload_bundle | Subir una nueva versión del paquete | ✅ | ✅ | ✅ | ❌ |
app.create_channel | Crear un nuevo canal | ✅ | ❌ | ❌ | ❌ |
app.read_channels | Ver canales | ✅ | ✅ | ✅ | ✅ |
app.read_logs | Ver registros de entrega de actualizaciones | ✅ | ✅ | ✅ | ✅ |
app.manage_devices | Asignar, sobreescribir o desvincular dispositivos | ✅ | ✅ | ❌ | ❌ |
app.read_devices | Ver la lista de dispositivos | ✅ | ✅ | ✅ | ✅ |
app.build_native | Desencadenar una construcción nube nativa | ✅ | ✅ | ❌ | ❌ |
app.read_audit | Ver el registro de actividad de nivel de aplicación | ✅ | ✅ | ✅ | ✅ |
app.update_user_roles | Administrar asignaciones de roles de nivel de aplicación | ✅ | ❌ | ❌ | ❌ |
bundle.delete | Eliminar una paquete | ✅ | ❌ | ❌ | ❌ |
Roles de canal
Título de sección “Roles de canal”Limitados a un solo canal. Útil para dar acceso objetivo a un canal de lanzamiento específico.
| Rol | Nombre interno | Descripción |
|---|---|---|
| Administrador de canal | channel_admin | Control total de un canal: configuración, promoción/retorno de paquetes, gestión de dispositivos forzados. |
| Vista de canal | channel_reader | Leer solo — paquete actual, historia, dispositivos forzados, registro de auditoría. |
Matriz de permisos de canal
Título de la sección “Matriz de permisos de canal”| Permiso | Descripción | Administrador del canal | Vista del canal y su paquete actual |
|---|---|---|---|
channel.read | Ver el canal y su paquete actual | ✅ | ✅ |
channel.update_settings | Editar ajustes del canal (toggler de plataforma, política de actualización…) | ✅ | ❌ |
channel.delete | Eliminar el canal | ✅ | ❌ |
channel.read_history | Ver historial de asignación de paquetes | ✅ | ✅ |
channel.promote_bundle | Establecer el paquete activo en el canal | ✅ | ❌ |
channel.rollback_bundle | Revertir a un paquete anterior | ✅ | ❌ |
channel.manage_forced_devices | Forzar dispositivos específicos a este canal | ✅ | ❌ |
channel.read_forced_devices | Ver lista de dispositivos forzados | ✅ | ✅ |
channel.read_audit | Ver registro de actividad del canal | ✅ | ✅ |
Roles de paquete
Título de la sección “Roles de paquete”Limitado a una sola versión de paquete. Raramente necesario — la mayoría de los equipos utilizan roles de nivel de aplicación en su lugar.
| Rol | Nombre interno | Descripción |
|---|---|---|
| Administrador de paquete | bundle_admin | Lee, actualiza y elimina metadatos de un paquete específico. |
| Vista de paquetes | bundle_reader | Acceso de solo lectura a un paquete específico. |
Permisos de canal (Panel de control)
Título de la sección “Permisos de canal (Panel de control)”En el panel de control, el acceso a los canales se determina por defecto por el rol de la aplicación del usuario. Para un control más detallado, puedes superar permisos de canal específicos por usuario o grupo sin cambiar su rol de aplicación.
Los superadores se configuran desde la pestaña Acceso del panel de control haciendo clic en el botón de permisos de canal (ícono de escudo) junto a un usuario. Consulte Organización — Sobreponiendo permisos de canal para una guía visual.
Permisos sobreescritos
Sección titulada “Permisos sobreescritos”| Permiso | Descripción | Comportamiento por defecto |
|---|---|---|
| Leer | Ver el canal y su paquete actual | Herencia de rol de app |
| Historial | Ver el historial de asignación de paquetes | Herencia de rol de app |
| Asociar paquete | Establecer o cambiar el paquete activo en el canal | Herencia del rol de aplicación |
Cada permiso se puede configurar para:
- Predeterminado – heredar del rol de la aplicación (por defecto)
- Permitir – conceder explícitamente, sin importar el rol de la aplicación
- Denegar – bloquear explícitamente, sin importar el rol de la aplicación
Esto te permite, por ejemplo, dar a un lector de aplicación la capacidad de asociar paquetes en el staging canal sin promoverlos a desarrollador de aplicación.
Jerarquía de roles
Sección titulada “Jerarquía de roles”Los roles forman una jerarquía. Un rol padre hereda todos los permisos de sus hijos. Esto significa que un org_admin puede hacer todo lo que un app_admin puede, lo que a su vez puede hacer todo lo que un channel_admin puede, y así sucesivamente.
Super Admin (org_super_admin) └── Admin (org_admin) └── App Admin (app_admin) ├── App Developer (app_developer) │ └── App Uploader (app_uploader) │ └── App Reader (app_reader) ├── Bundle Admin (bundle_admin) │ └── Bundle Viewer (bundle_reader) └── Channel Admin (channel_admin) └── Channel Viewer (channel_reader)¿Cómo funciona en la práctica:
- Un Administrador en el nivel de la organización puede hacer todo lo que un App Admin puede, en cada aplicación de la organización.
- Un App Admin en una aplicación específica puede hacer todo lo que un Channel Admin puede, en cada canal de esa aplicación.
- Un Desarrollador de Aplicación puede hacer todo lo que un Subidor de Aplicación puedes, más aún.
La jerarquía solo fluye abajo — nunca obtiene permisos de nivel de organización, incluso si también posee un rol de nivel de aplicación. channel_admin Grupos
Título de la sección “Grupos”
En lugar de asignar roles a cada usuario individualmente, puedes creargrupos y asignar roles al grupo. Cada miembro del grupo hereda automáticamente esos roles. Cómo funcionan los grupos
Título de la sección “Cómo funcionan los grupos”
downward__CAPGO_KEEP_0__- Un grupo pertenece a una organización — no puede abarcar varias orgs.
- Los grupos pueden contener vinculaciones de rol en cualquier ámbito: org, app, canal, o paquete. Por ejemplo, un grupo puede asignarse el Desarrollador de Aplicación rol en App A y el Administrador de Canal rol en el
stagingcanal de App B. - Cuando se evalúan los permisos de un usuario, todas sus pertenencias de grupo se resuelven de manera transparente. Si alguno de sus grupos concede el permiso requerido, se permite el acceso.
- Un usuario puede pertenecer a grupos múltiples, y los permisos de todos los grupos son acumulativos.
- Los permisos basados en grupos solo se aplican a principales de usuario — las API claves no heredan roles de grupo.
Cuándo usar grupos
Sección titulada “Cuándo usar grupos”| Escenario | Sin grupos | Con grupos |
|---|---|---|
| 5 ingenieros de pruebas necesitan acceso de Desarrollador a 3 aplicaciones | 15 vinculaciones de roles individuales | 1 grupo + 3 vinculaciones de roles |
| Alguien se une al equipo de pruebas | Agregar 3 vinculaciones de roles manualmente | Agregarlos al grupo |
| Alguien deja el equipo de pruebas | Eliminar 3 vinculaciones de roles manualmente | Eliminarlos del grupo |
Gestionar grupos a través de API
Título de la sección “Gestionar grupos a través de API”Todas las endpoints de grupo requieren autenticación y se sirven bajo /private/groups.
Lista de grupos
Sección titulada “Listar grupos”curl -X GET "https://api.capgo.app/private/groups/<ORG_ID>" \ -H "authorization: <API_KEY>"Requiere org.read_members permiso.
Crear un grupo
Sección titulada “Crear un grupo”curl -X POST "https://api.capgo.app/private/groups/<ORG_ID>" \ -H "authorization: <API_KEY>" \ -H "Content-Type: application/json" \ -d '{ "name": "QA Team", "description": "Quality assurance engineers" }'Requiere org.update_user_roles permiso (Administrador Super o Administrador).
Actualizar un grupo
Sección titulada “Actualizar un grupo”curl -X PUT "https://api.capgo.app/private/groups/<GROUP_ID>" \ -H "authorization: <API_KEY>" \ -H "Content-Type: application/json" \ -d '{ "name": "QA Team", "description": "Updated description" }'Eliminar un grupo
Sección titulada “Eliminar un grupo”curl -X DELETE "https://api.capgo.app/private/groups/<GROUP_ID>" \ -H "authorization: <API_KEY>"Eliminar un grupo también elimina todas sus vinculaciones de rol. Los miembros no se eliminan de la organización.
Lista de miembros del grupo
Sección titulada “Miembros del grupo”curl -X GET "https://api.capgo.app/private/groups/<GROUP_ID>/members" \ -H "authorization: <API_KEY>"Agregar un miembro a un grupo
Sección titulada “Agregar un miembro a un grupo”curl -X POST "https://api.capgo.app/private/groups/<GROUP_ID>/members" \ -H "authorization: <API_KEY>" \ -H "Content-Type: application/json" \ -d '{ "user_id": "<USER_UUID>" }'El usuario debe ya ser miembro de la organización. Agregar un miembro existente es una operación sin efecto.
Quitar a un miembro de un grupo
Sección titulada “Quitar a un miembro de un grupo”curl -X DELETE "https://api.capgo.app/private/groups/<GROUP_ID>/members/<USER_UUID>" \ -H "authorization: <API_KEY>"Asignar roles mediante API
Sección titulada “Asignar roles mediante API”Lista de miembros
Sección titulada “Lista de miembros”curl -X GET "https://api.capgo.app/organization/members" \ -H "authorization: <API_KEY>" \ -H "Content-Type: application/json" \ -d '{ "orgId": "<ORG_ID>" }'Respuesta:
[ { "uid": "user-uuid", "email": "alice@example.com", "image_url": "https://...", "role": "org_admin", "is_tmp": false }]Invitar a un miembro
Sección titulada “Invitar a un miembro”curl -X POST "https://api.capgo.app/organization/members" \ -H "authorization: <API_KEY>" \ -H "Content-Type: application/json" \ -d '{ "orgId": "<ORG_ID>", "email": "bob@example.com", "invite_type": "org_admin" }'Valores aceptados para invite_type:
| Valor | Rol asignado |
|---|---|
org_super_admin | Administrador Super |
org_admin | Administrador |
org_billing_admin | Gerente de facturación |
org_member | Miembro |
Eliminar a un miembro
Sección titulada “Eliminar a un miembro”curl -X DELETE "https://api.capgo.app/organization/members" \ -H "authorization: <API_KEY>" \ -H "Content-Type: application/json" \ -d '{ "orgId": "<ORG_ID>", "email": "bob@example.com" }'Asignar roles a través de CLI
Sección titulada “Asignar roles a través de CLI”Listar organizaciones
Sección titulada “Listar organizaciones”npx @capgo/cli organization list --apikey <API_KEY>Listar miembros
Sección titulada “Listar miembros”npx @capgo/cli organization members <ORG_ID> --apikey <API_KEY>Roles personalizados
Sección titulada “Roles personalizados”Los roles incorporados cubren la mayoría de las estructuras de equipo. La creación de roles personalizados está en nuestra ruta de desarrollo — si su equipo necesita esto, háganos llegar su caso de usoSu caso de uso ayudará directamente a priorizar esta función.
Siga adelante desde la referencia de control de acceso
Sección titulada “Siga adelante desde la referencia de control de acceso”If you are using Referencia de Control de Acceso para planificar operaciones de panel de control y API , conecte con API Resumen para obtener detalles de implementación en API Resumen, Introducción para obtener detalles de implementación en Introducción, API Claves para obtener detalles de implementación en API Claves, Dispositivos para obtener detalles de implementación en Dispositivos, y Paquetes para los detalles de implementación en Bundles.