Pular al contenido

Referencia de control de acceso

Capgo utiliza control de acceso basado en rol (RBAC) para gestionar qué puede hacer cada miembro del equipo. Los roles se organizan por ámbito desde la organización completa hasta un solo paquete.

Para una guía visual de la gestión de miembros en la consola, consulte Organización.


Cada rol pertenece a un ámbito que determina qué recurso concede acceso.

ÁmbitoAplica aUso de ejemplo
OrganizaciónLa organización completa y todas sus aplicacionesTu cofundador obtiene Super Administrador; tu contable obtiene Administrador de Facturación
AplicaciónUna sola aplicación y sus canalesUn contratista que trabaja en una aplicación obtiene Desarrollador de Aplicación
CanalUn solo canal dentro de una aplicaciónUn ingeniero de pruebas solo gestiona el staging canal
PaqueteUna sola versión de paqueteA un revisor se le requiere acceso de lectura a una versión específica

Un miembro puede tener un rol por ámbito objetivo por ejemplo, un rol de organización, un rol en App A y un rol diferente en App B


Estos roles se asignan cuando se invita a un miembro. Otorgan acceso a toda la organización

RolNombre internoDescripción
Administrador superiororg_super_adminEquivalente a propietario. Control total incluyendo la eliminación de la org, la gestión de facturación y la transferencia de aplicaciones. Se concede automáticamente al creador de la org
Administradororg_adminAdministración completa — gestione miembros, aplicaciones, canales. No se puede eliminar la organización, actualizar facturación, transferir aplicaciones o promover usuarios a Super Administrador.
Gerente de Facturaciónorg_billing_adminAcceso solo a facturación: ver y actualizar información de facturación, facturas e historial de auditoría de facturación. Sin acceso a aplicaciones o miembros.
Miembroorg_memberAcceso de solo lectura a la organización y a todas sus aplicaciones.
PermisoDescripciónSuper AdministradorAdministradorAdministrador de facturaciónMiembro
org.readVer la organización
org.update_settingsEditar nombre de la organización, logo y correo electrónico de administración
org.deleteEliminar la organización permanentemente
org.read_membersVer la lista de miembros
org.invite_userInvitar nuevos miembros
org.update_user_rolesCambiar roles de miembros (el administrador no puede promover a Super Administrador — bloqueado por jerarquía de roles)
org.read_billingVer información de facturación y plan actual
org.update_billingActualizar método de pago y plan
org.read_invoicesVer facturas
org.read_auditVer registro de actividad de la organización
org.read_billing_auditVer registro de auditoría específico de facturación

Scoped a un solo app. Utiliza estos cuando un miembro del equipo solo debe trabajar en una app, no toda la organización.

RolNombre internoDescripción
Administrador de Appapp_adminControl total de una app — canales, dispositivos, roles de usuario para la app. No se puede eliminar ni transferir la app (esas son operaciones de nivel de organización).
Desarrollador de Appapp_developerSubir paquetes, gestionar dispositivos, desencadenar compilaciones nativas, actualizar configuraciones de canal. Sin eliminación, sin cambios en configuraciones de app, sin creación de canales.
Subidor de Appapp_uploaderAcceso de lectura + subir nuevas versiones de paquetes.
Lector de Appapp_readerSolo lectura — estadísticas, paquetes, canales, registros, dispositivos.
PermisoDescripciónAdministrador de la aplicaciónDesarrollador de la aplicaciónSubidor de la aplicaciónLector de la aplicación
app.readVer detalles de la aplicación, estadísticas y metadatos
app.update_settingsEditar ajustes de la aplicación
app.read_bundlesVer la lista de paquetes subidos
app.upload_bundleSubir una nueva versión del paquete
app.create_channelCrear un nuevo canal
app.read_channelsVer canales
app.read_logsVer registros de entrega de actualizaciones
app.manage_devicesAsignar, sobreescribir o desvincular dispositivos
app.read_devicesVer la lista de dispositivos
app.build_nativeDesencadenar una construcción nube nativa
app.read_auditVer el registro de actividad de nivel de aplicación
app.update_user_rolesAdministrar asignaciones de roles de nivel de aplicación
bundle.deleteEliminar una paquete

Limitados a un solo canal. Útil para dar acceso objetivo a un canal de lanzamiento específico.

RolNombre internoDescripción
Administrador de canalchannel_adminControl total de un canal: configuración, promoción/retorno de paquetes, gestión de dispositivos forzados.
Vista de canalchannel_readerLeer solo — paquete actual, historia, dispositivos forzados, registro de auditoría.
PermisoDescripciónAdministrador del canalVista del canal y su paquete actual
channel.readVer el canal y su paquete actual
channel.update_settingsEditar ajustes del canal (toggler de plataforma, política de actualización…)
channel.deleteEliminar el canal
channel.read_historyVer historial de asignación de paquetes
channel.promote_bundleEstablecer el paquete activo en el canal
channel.rollback_bundleRevertir a un paquete anterior
channel.manage_forced_devicesForzar dispositivos específicos a este canal
channel.read_forced_devicesVer lista de dispositivos forzados
channel.read_auditVer registro de actividad del canal

Limitado a una sola versión de paquete. Raramente necesario — la mayoría de los equipos utilizan roles de nivel de aplicación en su lugar.

RolNombre internoDescripción
Administrador de paquetebundle_adminLee, actualiza y elimina metadatos de un paquete específico.
Vista de paquetesbundle_readerAcceso de solo lectura a un paquete específico.

En el panel de control, el acceso a los canales se determina por defecto por el rol de la aplicación del usuario. Para un control más detallado, puedes superar permisos de canal específicos por usuario o grupo sin cambiar su rol de aplicación.

Los superadores se configuran desde la pestaña Acceso del panel de control haciendo clic en el botón de permisos de canal (ícono de escudo) junto a un usuario. Consulte Organización — Sobreponiendo permisos de canal para una guía visual.

PermisoDescripciónComportamiento por defecto
LeerVer el canal y su paquete actualHerencia de rol de app
HistorialVer el historial de asignación de paquetesHerencia de rol de app
Asociar paqueteEstablecer o cambiar el paquete activo en el canalHerencia del rol de aplicación

Cada permiso se puede configurar para:

  • Predeterminado – heredar del rol de la aplicación (por defecto)
  • Permitir – conceder explícitamente, sin importar el rol de la aplicación
  • Denegar – bloquear explícitamente, sin importar el rol de la aplicación

Esto te permite, por ejemplo, dar a un lector de aplicación la capacidad de asociar paquetes en el staging canal sin promoverlos a desarrollador de aplicación.


Los roles forman una jerarquía. Un rol padre hereda todos los permisos de sus hijos. Esto significa que un org_admin puede hacer todo lo que un app_admin puede, lo que a su vez puede hacer todo lo que un channel_admin puede, y así sucesivamente.

Super Admin (org_super_admin)
└── Admin (org_admin)
└── App Admin (app_admin)
├── App Developer (app_developer)
│ └── App Uploader (app_uploader)
│ └── App Reader (app_reader)
├── Bundle Admin (bundle_admin)
│ └── Bundle Viewer (bundle_reader)
└── Channel Admin (channel_admin)
└── Channel Viewer (channel_reader)

¿Cómo funciona en la práctica:

  • Un Administrador en el nivel de la organización puede hacer todo lo que un App Admin puede, en cada aplicación de la organización.
  • Un App Admin en una aplicación específica puede hacer todo lo que un Channel Admin puede, en cada canal de esa aplicación.
  • Un Desarrollador de Aplicación puede hacer todo lo que un Subidor de Aplicación puedes, más aún.

La jerarquía solo fluye abajo — nunca obtiene permisos de nivel de organización, incluso si también posee un rol de nivel de aplicación. channel_admin Grupos


grupos y asignar roles al grupo. Cada miembro del grupo hereda automáticamente esos roles. Cómo funcionan los grupos

Título de la sección “Cómo funcionan los grupos”

downward__CAPGO_KEEP_0__
  • Un grupo pertenece a una organización — no puede abarcar varias orgs.
  • Los grupos pueden contener vinculaciones de rol en cualquier ámbito: org, app, canal, o paquete. Por ejemplo, un grupo puede asignarse el Desarrollador de Aplicación rol en App A y el Administrador de Canal rol en el staging canal de App B.
  • Cuando se evalúan los permisos de un usuario, todas sus pertenencias de grupo se resuelven de manera transparente. Si alguno de sus grupos concede el permiso requerido, se permite el acceso.
  • Un usuario puede pertenecer a grupos múltiples, y los permisos de todos los grupos son acumulativos.
  • Los permisos basados en grupos solo se aplican a principales de usuario — las API claves no heredan roles de grupo.
EscenarioSin gruposCon grupos
5 ingenieros de pruebas necesitan acceso de Desarrollador a 3 aplicaciones15 vinculaciones de roles individuales1 grupo + 3 vinculaciones de roles
Alguien se une al equipo de pruebasAgregar 3 vinculaciones de roles manualmenteAgregarlos al grupo
Alguien deja el equipo de pruebasEliminar 3 vinculaciones de roles manualmenteEliminarlos del grupo

Todas las endpoints de grupo requieren autenticación y se sirven bajo /private/groups.

ventana de terminal
curl -X GET "https://api.capgo.app/private/groups/<ORG_ID>" \
-H "authorization: <API_KEY>"

Requiere org.read_members permiso.

ventana de terminal
curl -X POST "https://api.capgo.app/private/groups/<ORG_ID>" \
-H "authorization: <API_KEY>" \
-H "Content-Type: application/json" \
-d '{
"name": "QA Team",
"description": "Quality assurance engineers"
}'

Requiere org.update_user_roles permiso (Administrador Super o Administrador).

Ventana de terminal
curl -X PUT "https://api.capgo.app/private/groups/<GROUP_ID>" \
-H "authorization: <API_KEY>" \
-H "Content-Type: application/json" \
-d '{
"name": "QA Team",
"description": "Updated description"
}'
Ventana de terminal
curl -X DELETE "https://api.capgo.app/private/groups/<GROUP_ID>" \
-H "authorization: <API_KEY>"

Eliminar un grupo también elimina todas sus vinculaciones de rol. Los miembros no se eliminan de la organización.

Ventana de terminal
curl -X GET "https://api.capgo.app/private/groups/<GROUP_ID>/members" \
-H "authorization: <API_KEY>"
Ventana de terminal
curl -X POST "https://api.capgo.app/private/groups/<GROUP_ID>/members" \
-H "authorization: <API_KEY>" \
-H "Content-Type: application/json" \
-d '{ "user_id": "<USER_UUID>" }'

El usuario debe ya ser miembro de la organización. Agregar un miembro existente es una operación sin efecto.

Ventana de terminal
curl -X DELETE "https://api.capgo.app/private/groups/<GROUP_ID>/members/<USER_UUID>" \
-H "authorization: <API_KEY>"

Ventana de terminal
curl -X GET "https://api.capgo.app/organization/members" \
-H "authorization: <API_KEY>" \
-H "Content-Type: application/json" \
-d '{ "orgId": "<ORG_ID>" }'

Respuesta:

[
{
"uid": "user-uuid",
"email": "alice@example.com",
"image_url": "https://...",
"role": "org_admin",
"is_tmp": false
}
]
Ventana de terminal
curl -X POST "https://api.capgo.app/organization/members" \
-H "authorization: <API_KEY>" \
-H "Content-Type: application/json" \
-d '{
"orgId": "<ORG_ID>",
"email": "bob@example.com",
"invite_type": "org_admin"
}'

Valores aceptados para invite_type:

ValorRol asignado
org_super_adminAdministrador Super
org_adminAdministrador
org_billing_adminGerente de facturación
org_memberMiembro
Ventana de terminal
curl -X DELETE "https://api.capgo.app/organization/members" \
-H "authorization: <API_KEY>" \
-H "Content-Type: application/json" \
-d '{
"orgId": "<ORG_ID>",
"email": "bob@example.com"
}'

Ventana de terminal
npx @capgo/cli organization list --apikey <API_KEY>
Ventana de terminal
npx @capgo/cli organization members <ORG_ID> --apikey <API_KEY>

Los roles incorporados cubren la mayoría de las estructuras de equipo. La creación de roles personalizados está en nuestra ruta de desarrollo — si su equipo necesita esto, háganos llegar su caso de usoSu caso de uso ayudará directamente a priorizar esta función.

Siga adelante desde la referencia de control de acceso

Sección titulada “Siga adelante desde la referencia de control de acceso”

If you are using Referencia de Control de Acceso para planificar operaciones de panel de control y API , conecte con API Resumen para obtener detalles de implementación en API Resumen, Introducción para obtener detalles de implementación en Introducción, API Claves para obtener detalles de implementación en API Claves, Dispositivos para obtener detalles de implementación en Dispositivos, y Paquetes para los detalles de implementación en Bundles.