Usuarios, Roles, Grupos de seguridad y Registro de cambios

From SinergiaCRM - Wikisuite
Jump to navigation Jump to search

Gestión de Usuarios

El término "Usuario" se utiliza en este apartado -y en general en toda la guía- para referirse a cualquier persona que utiliza SinergiaCRM, para lo que debe contar con un identificador (o "nombre de usuario") y una contraseña. En otros casos un usuario (a veces también denominado beneficiario o destinatario) es aquella persona que participa en los proyectos o recibe los servicios gestionados por la entidad. Habitualmente el contexto permite diferenciar claramente a qué acepción se está haciendo referencia en cada momento.

En nuestro canal de Youtube tenéis a vuestra disposición un vídeo formativo sobre los módulos de Usuarios y Roles que pueden gestionarse desde el área de Administración del CRM.



Perfil del usuario y contraseña

El CRM puede ser utilizado por tantos usuarios como convenga. Para añadirlos hay que ir a Administrador / Usuarios / Administración de usuarios.

Aparecerá el listado de usuarios existentes y se podrán crear otros nuevos a través de la opción Crear nuevo usuario, que dará paso al formulario correspondiente.


A ACCES nuevousr.jpg


Para crear un usuario deben rellenarse obligatoriamente los siguientes campos:

- En la pestaña Información del usuario: Identificador (o nombre de usuario, que se utilizará para acceder al sistema), Estado (Activo/Inactivo), Apellidos y Dirección de correo electrónico. Por defecto el usuario es creado de tipo Usuario Normal, pero se puede decidir que sea Usuario Administrador del Sistema si se quiere que tenga acceso a todo el CRM.

- En la pestaña Contraseña: Nueva clave de paso (es decir, la contraseña), por duplicado.Los campos Estado y Estado del Empleado, pueden generar cierta duda. El campo Estado, indica si el usuario podrá acceder al CRM o no, el campo Estado del Empleado, lo que nos indica es si ese empleado está activo/en excedencia/ de baja/etc en nuestra entidad.

Existe la posibilidad de activar la Autenticación de dos factores desde la configuración del usuario.


Para dar de baja a un usuario se recomienda cambiar el Estado a Inactivo y no eliminar el registro. Eliminarlo podria causar problemas de registros que quedaran sin asignar.


Opciones avanzadas

La pestaña de Avanzado, permite al usuario establecer sus preferencias como usuario del CRM, utilizando las preferencias de usuario por encima de las preferencias generales por defecto del CRM. En Avanzado podemos por ejemplo, definir si queremos recibir notificaciones por parte del CRM o no.


2020-12-10 10h41 21.jpg


Opciones de diseño

La pestaña Opciones de diseño, nos permite configurar nuestras preferencias de visualización, al igual que las opciones avanzadas, estas preferencias únicamente se aplican al usuario y no de forma general.


2020-12-10 10h48 11.jpg


Recuperación de contraseñas

Para poder realizar el procedimiento que se describe a continuación deben cumplirse dos requisitos previos:

- Tener configurado el correo saliente del CRM

- En el apartado Administrador / Administración de contraseñas tener creada una plantilla en "Plantilla de Email que contiene un enlace generado por el sistema para restaurar la contraseña", que contenga la variable $contact_user_link_guid.

Si los dos requisitos indicados se cumplen, cualquier usuario de SinergiaCRM que pierda o no recuerde su contraseña de acceso podrá realizar el siguiente procedimiento:

1. Acceder a la instancia correspondiente (TEST o producción) y pinchar en el enlace que aparece "¿Ha olvidado su contraseña?".


Pw recovery1.jpg


2. Aparecerá un formulario a continuación. Se deben completar sus campos Identificador (nombre del usuario que ha perdido la contraseña) y Correo electrónico (email del usuario), y pinchar Enviar.


Pw recovery2.jpg


3. Si los campos se han rellenado correctamente aparecerá el aviso “Su petición ha sido enviada” y se recibirá en la dirección de correo electrónico indicada un correo para restablecer la contraseña de acceso a SinergiaCRM.


Pw recovery3.jpg


4. El correo electrónico recibido contendrá un enlace. Se debe pinchar en este enlace (por temas de seguridad permanecerá activo únicamente durante 24h).

5. La página que se abrirá contiene un formulario que se debe rellenar con el nombre de usuario (Identificador) y la nueva contraseña que se introducirá dos veces. Se aconseja que la contraseña tenga un mínimo de 8 caracteres y contenga letras mayúsculas y minúsculas y números. Cuando estén rellenados los tres campos, pinchar en Log In.


Pw recovery4.jpg


A partir de este momento el usuario ya podrá acceder de forma habitual a SinergiaCRM con su nombre de usuario y esta nueva contraseña.


Autenticación de dos factores

Como se ha visto en la configuración de los usuarios, existe la posibilidad de activar la autenticación de dos factores. Si el campo "Autenticación de dos factores", está habilitado, se le pedirá al usuario que ingrese un código recibido por correo electrónico cada vez que inicie sesión en SinergiaCRM. El correo electrónico donde se recibirá el código es el que tenga especificado el usuario.


Autenticación dos factores codigo.png


Esta configuración se debe hacer individualmente para cada uno de los usuarios, marcando la casilla que se encuentra en la pestaña "Perfil de usuario" cuando se está editando un usuario.


Autenticación dos factores Usuarios.png


Además, se debe tener especificada la plantilla de correo que enviará SinergiaCRM con el código de doble autenticación. Para revisar si se tiene especificada o si se debe notificar la plantilla usar se debe ir desde Administración a "Administración de contraseñas".


Administración de contraseñas.png


Y una vez dentro, desde el subapartado "Plantillas de Email", en el campo "Para código de autenticación de dos niveles generado por el sistema", se debe seleccionar la plantilla "Doble factor de autenticación", que ya tiene SinergiaCRM creada por defecto.


Autenticación dos factores plantilla correo.png


En caso de que se desee modificar la plantilla de correo para adaptarla a la imagen de la entidad, esta debe incluir obligatoriamente el parámetro $code. De no ser así, el correo que reciban los usuarios no contendrá el código de verificación en dos pasos.


Usuarios y Empleados

Existe en el CRM el módulo Empleados, cuya arquitectura es diferente del resto de los módulos del sistema. El módulo Empleados no gestiona registros propios sino que muestra los mismos registros que aparecen en el módulo de Usuarios. La razón de esta duplicidad es una cuestión de enfoque: mientras que por Usuarios entendemos personas que utilizan el CRM y la información que nos interesa tiene que ver con este uso (configuración individual de la herramienta, nombre de usuario y contraseña, etc.) al hablar de Empleados pensamos en la información relevante de esas mismas personas desde la perspectiva de su pertenencia a la organización (datos de contacto, ubicación departamental, etc.), a modo de directorio interno.

Algunas consideraciones sobre la gestión de Usuarios y Empleados:

- Todo usuario creado aparece en Empleados salvo que se desactive la casilla Visualización de registro de empleados)

- Todo empleado creado aparece Usuarios, aunque con estado inactivo.


95.jpg


- Los diseños de las vistas (de lista, edición, detalle, etc.) de Empleados y Usuarios son independientes, por lo que es posible ocultar determinados datos en las vistas del módulo Empleados, que por defecto es accesible con carácter general, y que estos aparezcan sólo en las vistas de Usuarios (cabe tener en cuenta que el módulo de Usuarios sólo es accesible para los usuarios administradores).


Como en otros casos, si el usuario tiene permiso para crear informes, podría acceder a cualquiera de los dos módulos ("Empleados" o "Usuarios"), listar sus datos y/o exportarlos.


Roles

Es habitual que una organización que cuenta con un CRM considere pertinente limitar el acceso a determinadas partes del mismo en función del perfil de los usuarios, ya sea por razones de seguridad, ya sea por simplificar su entorno de trabajo. El CRM permite modificar el acceso estándar a la información que almacena mediante la definición y el uso de Roles.

Cabe tener en cuenta que por defecto el sistema cuenta con dos tipos de usuario: Administradores y Normales. Estos últimos no pueden acceder al Área de Administración pero por lo demás, en ausencia de roles definidos, tienen acceso a todos los módulos que aparezcan en el menú principal.

Para gestionar los roles es necesario acceder a Administrador / Usuarios / Administración de Roles.

Los Roles permiten determinar qué operaciones pueden realizar sobre determinados módulos los usuarios que los tengan asignados. Por ejemplo, un rol podría determinar que un determinado usuario tenga acceso al módulo de Personas y pueda ver los registros que contiene pero no pueda modificarlos ni eliminarlos.

Cabe insistir en el hecho que los roles trabajan exclusivamente sobre módulos completos, no sobre registros ni campos concretos.

- Para el control de acceso a nivel de registro, véase más adelante el apartado "Control de acceso a registros: Security Suite".

- Para el control de acceso a nivel de campos la solución consistiría en crear un módulo nuevo con los campos a controlar y relacionarlo 1 a 1 con el principal. Sobre el nuevo módulo deberían aplicarse los roles deseados según lo ya descrito anteriormente.


Al crear un rol el sistema solicita un Nombre. Opcionalmente es posible añadir una descripción.


96.jpg


Al guardar el rol se muestra en pantalla una matriz encabezada por los módulos del CRM (columna izquierda) y las acciones realizables sobre los mismos (fila superior). Las posibles acciones son:

- Acceso: posibilidad de acceso general al módulo.

- Eliminar: posibilidad de eliminar (y combinar) registros.

- Editar: posibilidad de crear o editar registros.

- Exportar: posibilidad de exportar registros desde la vista de lista del módulo.

- Importar: posibilidad de importar registros.

- Listar: posibilidad de acceder a la vista de lista del módulo y a los subpaneles del mismo módulo que puedan mostrarse en las vistas de detalle de otros módulos.

- Actualización masiva: posibilidad de actualizar masivamente una selección de registros en la vista de lista del módulo.

- Ver: posibilidad de acceder a la vista de detalle del módulo.


97.jpg


En el caso de Acceso los posibles valores son:

- No establecido: valor por defecto. Indica que el rol no contradice lo que puedan indicar otros roles sobre el acceso al mismo módulo. En caso de no existir otros roles aplicables, el usuario podrá acceder al módulo de forma normal.

- Deshabilitado: impide que el usuario tenga acceso al módulo. No verá ninguna referencia a él en toda la aplicación y, en consecuencia, no podrá interactuar con el mismo de ninguna forma.

- Habilitado: permite al usuario acceder al módulo.


Para el resto de las acciones los posibles valores son:

- No establecido: valor por defecto. Indica que el rol no contradice lo que puedan indicar otros roles sobre la misma combinación de módulo y acción. En caso de no existir otros roles aplicables, el usuario podrá ejecutar la acción de forma normal.

- Todo: la acción puede realizarse sin restricciones sobre todos los registros del módulo.

- Nada: la acción no puede realizarse sobre ningún registro del módulo.

- Propietario: la acción puede realizarse solamente sobre los registros del módulo que estén asignados al usuario.

- Grupo: la acción puede realizarse únicamente si el usuario pertenece a alguno de los grupos asignados al registro. Los grupos se crean y asignan mediante las opciones de Security Suite.


Una vez definidos los roles es posible asignarlos a los usuarios, a través del subpanel correspondiente de la vista de detalle del rol. Un usuario podrá tener diversos roles asignados y un rol podrá asignarse a varios usuarios.

En caso de que un usuario esté vinculado a más de un rol que afecte a un mismo módulo y acción, por defecto prevaldrá el más restrictivo de ellos. Así, por ejemplo, si un usuario tiene dos roles aplicados y para un determinado módulo se establece acceso habilitado en un caso y acceso deshabilitado en el otro el usuario no podrá acceder al módulo. Cabe tener en cuenta que este comportamiento se invertirá al activar la casilla Privilegios agregados en la configuración de Security Suite (ver más adelante).


No es infrecuente que el administrador de un CRM, ante la posibilidad de controlar el acceso a la información mediante el uso de los roles decida crear un buen número de ellos a fin de delimitar con precisión los espacios de trabajo de los diferentes usuarios. De todos modos, la experiencia indica que cuantas más limitaciones iniciales se establezcan más inconvenientes aparecerán posteriormente en el uso cotidiano del CRM, derivados, precisamente, de la falta de acceso a datos y acciones. En este sentido, se recomienda empezar creando los mínimos roles posibles (aquellos que realmente sean indiscutibles sin necesidad de demostración empírica) e incrementarlos a medida que el uso habitual del sistema así lo recomiende.


En algunas ocasiones es posible que módulos recién creados no aparezcan en el apartado de configuración de Roles. En estos casos un usuario administrador deberá ejecutar la función "Reparar roles" que se encuentra en "Admin / Sistema / Reparación".


Control de acceso a registros: Security Suite

Conceptos básicos

Tal y como se ha comentado anteriormente la gestión de Roles permite limitar el acceso de los usuarios a cualquiera de los módulos de la aplicación. Con carácter general las autorizaciones o limitaciones a nivel de roles se establecen para el conjunto de un módulo, con la salvedad de usar el valor Propietario, que restringe la autorización a los registros del módulo asignados al usuario afectado (ver Roles).

Esta visión de Propietario puede resultar insuficiente cuando es un conjunto de usuarios -una delegación territorial, un departamento, etc.- el que debe tener un acceso especial a un conjunto determinado de registros de un módulo. Por ejemplo, dos personas de la entidad gestionan el voluntariado y se desea que sólo esos dos usuarios tengan la posibilidad de editar los registros del módulo Personas que se corresponden con voluntarios de la entidad. Este escenario no sería gestionable únicamente con los Roles, pues los permisos se asignarían sobre todo el módulo Personas y no solamente sobre las voluntarias.

El módulo Security Suite permite abordar escenarios de mayor complejidad en lo que a configuración de la capacidad de acceso se refiere, permitiendo el trabajo a nivel de registro.


Configuración y uso

Además de Usuarios y Roles, Security Suite incorpora un tercer elemento al engranaje del control de acceso: los Grupos de seguridad.

A un Grupo de seguridad se le pueden asignar registros de cualquier módulo (desde la vista de lista de cada módulo), usuarios y roles. En síntesis, sobre esos registros que hayan sido asignados a un grupo de seguridad, sólo podrán operar aquellos usuarios que pertenezcan a ese grupo y podrán hacerlo sobre la base de lo que permitan los roles vinculados a ese mismo grupo.

A partir del momento en que se trabaja con Security Suite suele ser razonable dejar de asignar roles directamente a los usuarios y empezar a hacerlo vía grupos (aunque es posible compatibilizar ambas posibilidades).

Un usuario, un rol o un registro de cualquier módulo pueden ser asignados a tantos grupos de seguridad como sea necesario.

Security Suite se encuentra en el Área de Administración.


9.jpg


Desde Configuración de Grupos de Seguridad es posible establecer el modo general de actuación del módulo en base a los parámetros que aparecen, con su correspondiente descripción, en la siguiente imagen:


10.jpg


La creación de grupos de seguridad y la asignación de roles y usuarios a los mismos puede hacerse desde Administración de Grupos de Seguridad.


En caso de que sea necesario aplicar grupos de seguridad en un módulo creado por la entidad, será necesario pedir a través del foro que se active el subpanel que lo posibilita, ya que este no aparece de forma automática.

Nota: a partir de la actualización del 17/01/2022 ya no es necesaria esta solicitud para los nuevos módulos creados, pues el CRM ya crea el subpanel de forma automática.

Para que Security Suite pueda gestionar un módulo de nueva creación es necesario crear una relación de tipo "Muchos a Muchos" entre dicho módulo y el módulo "Administración de Grupos de Seguridad".


Un ejemplo práctico

Una entidad que tiene varios centros de trabajo desea proteger los datos de las personas a las que atiende de modo que solo puedan acceder a ellos los trabajadores del mismo centro en el que es atendida cada persona. Usando Security Suite:

1) Crear un rol y asignar la opción Grupo a todas las acciones (eliminar, editar, etc.) de todos los módulos que queramos gestionar mediante grupos de seguridad.

2) Crear un grupo de seguridad para cada centro de trabajo.

3) Asignar el rol creado a los nuevos grupos de seguridad.

4) Asignar los usuarios al grupo de seguridad correspondiente (el de su centro de trabajo).

5) Asignar las personas atendidas al grupo de seguridad correspondiente (el del centro al que asisten).

Una vez completados estos pasos los trabajadores de cada centro solo podrán acceder a los datos de las personas de su propio centro pero no verán los datos de personas de otros centros. Del mismo modo, los usuarios de otros centros no podrán ver los datos de las personas de este centro.


Es importante tener presente que los usuarios que no pertenecen a ningún grupo podrán gestionar todos los registros. En caso de que creen nuevos registros deberán asignarlos al grupo de seguridad correspondiente para que puedan ser gestionados según el modelo indicado.


Recursos adicionales

Security Suite Groups Administration Guide


Registro de cambios

En ocasiones es necesario poder saber si un determinado campo de un registro ha cambiado de valor. El CRM ofrece la posibilidad de registrar estos cambios. Para ello debe accederse vía Administrador / Herramientas de Desarrollo / Estudio al campo deseado en el módulo que corresponda y marcar la casilla Auditar. A partir de este momento el CRM almacenará todos los cambios que se produzcan en ese campo para cualquier registro del módulo.


11.jpg


Para consultar las modificaciones históricas realizadas sobre cualquier registro de cualquier módulo basta con acceder a la opción Registro de cambios en el botón del menú de acciones de la vista de detalle del registro. Aparecerá un listado en el que se indicarán los cambios con la siguiente información: Campo modificado - Valor anterior - Valor nuevo - Usuario que hizo el cambio - Fecha y hora del cambio.


12.jpg


La adición de un número significativo de campos a auditar puede afectar negativamente al rendimiento de la aplicación, por lo que se recomienda utilizar esta funcionalidad solamente sobre los campos que realmente lo demanden.


Volver al índice