RBAC y Roles Personalizados

Roles del sistema

goMeetalk incluye 4 roles predefinidos con jerarquia de permisos:

Owner Propietario

Control total sobre la organizacion. Solo puede haber un Owner.

Puede: Eliminar organizacion, transferir propiedad, gestionar todos los roles, acceso completo a todas las funciones.

Admin Administrador

Gestiona la configuracion de la organizacion y los miembros.

Puede: Gestionar miembros, invitaciones, SSO, SCIM, BYOK, politicas. No puede eliminar la organizacion ni transferir propiedad.

Manager Gestor

Supervision y acceso de lectura a funciones administrativas.

Puede: Ver audit logs, analytics, uso del equipo. Gestionar salas. No puede modificar configuracion de la org.

Member Miembro

Acceso basico para usuarios finales.

Puede: Unirse a salas, crear salas, actualizar su perfil. No tiene acceso a funciones administrativas.

Matriz de permisos

Permiso	Owner	Admin	Manager	Member
Eliminar organizacion	✓	-	-	-
Transferir propiedad	✓	-	-	-
Gestionar miembros	✓	✓	-	-
Gestionar admins	✓	-	-	-
Configurar SSO/SCIM	✓	✓	-	-
Configurar BYOK	✓	✓	-	-
Configurar politicas	✓	✓	-	-
Ver audit logs	✓	✓	✓	-
Exportar audit logs	✓	✓	✓	-
Ver analytics	✓	✓	✓	-
Crear/unirse a salas	✓	✓	✓	✓
Actualizar perfil	✓	✓	✓	✓

Roles personalizados

Enterprise permite crear roles adicionales con combinaciones especificas de permisos.

Solo Enterprise

La creacion de roles personalizados esta disponible exclusivamente para clientes Enterprise. Los clientes Business pueden usar los 4 roles del sistema.

Crear un rol personalizado

Ve a Perfil > Workspace > Roles
Haz clic en "Crear rol"
Asigna un nombre descriptivo (ej: "Auditor", "Soporte L1")
Selecciona los permisos necesarios
Guarda el rol

Ejemplos de roles personalizados

Auditor - Solo lectura de audit logs y analytics. Sin acceso a configuracion.
Soporte L1 - Puede ver miembros y revocar sesiones. Sin acceso a SSO/SCIM.
Billing Manager - Acceso a facturacion y uso. Sin acceso a seguridad.
Room Moderator - Puede gestionar salas. Sin acceso administrativo.

Catalogo de permisos

goMeetalk ofrece decenas de permisos granulares agrupados en categorias:

Organizacion

org:read - Ver info de la organizacion
org:write - Modificar nombre, logo, etc.
org:delete - Eliminar organizacion
org:transfer - Transferir propiedad

Miembros

members:read - Ver lista de miembros
members:write - Invitar, cambiar rol, suspender
members:manage_admins - Promover/degradar admins y managers

Seguridad

sso:read / sso:write - Configurar SSO
scim:read / scim:write - Configurar SCIM
policies:read / policies:write - Politicas de sesion
sessions:read / sessions:revoke - Gestionar sesiones

Auditoria

audit:read - Ver logs de auditoria
audit:export - Exportar logs
analytics:read - Ver metricas de uso

Principio de minimo privilegio

Recomendamos asignar solo los permisos necesarios para cada rol. Esto reduce el riesgo de acciones accidentales y mejora la postura de seguridad.

Asignar roles

Ve a Perfil > Workspace > Miembros
Busca al usuario
Haz clic en el dropdown de rol
Selecciona el nuevo rol
Confirma el cambio

El cambio de rol se registra en el audit log. La revocacion de sesiones activas depende de la politica de seguridad del workspace (revokeAllOnRoleChange).