Usuarios y Roles - Seguridad de la información

De SinergiaCRM
Saltar a: navegación, buscar

Usuarios

El término "Usuario" se utiliza en este apartado -y en general en toda la guía- para referirse a cualquier persona que utiliza SinergiaCRM, para lo que debe contar con un identificador (o "nombre de usuario") y una contraseña. En otros casos un usuario (a veces también denominado beneficiario o destinatario) es aquella persona que participa en los proyectos o recibe los servicios gestionados por la entidad. Habitualmente el contexto permite diferenciar claramente a qué acepción se está haciendo referencia en cada momento.


El CRM puede ser utilizado por tantos usuarios como convenga. Para añadirlos hay que ir a Admin / Usuarios / Administración de usuarios.

Aparecerá el listado de usuarios existentes y se podrán crear otros nuevos a través de la opción Crear nuevo usuario, que dará paso al formulario correspondiente.


A ACCES nuevousr.jpg


Para crear un usuario deben rellenarse obligatoriamente los siguientes campos:

- En la pestaña Información del usuario: Identificador (o nombre de usuario, que se utilizará para acceder al sistema), Estado (Activo/Inactivo), Apellidos y Dirección de correo electrónico. Por defecto el usuario es creado de tipo Usuario Normal, pero se puede decidir que sea Usuario Administrador del Sistema si se quiere que tenga acceso a todo el CRM.

- En la pestaña Contraseña: Nueva clave de paso (es decir, la contraseña), por duplicado.


Recuperación de contraseñas

Si cualquier usuario de SinergiaCRM pierde o no recuerda su contraseña de acceso a la plataforma, deberá realizar el siguiente procedimiento:


Para poder realizar este procedimiento se deben cumplir dos requisitos:

- Tener configurado el correo saliente del CRM

- En el apartado Admin / Administración de contraseñas tener creada una plantilla en Plantilla de Email que contiene un enlace generado por el sistema para restaurar la contraseña, que contenga la variable $contact_user_user_hash


1. Acceder a la instancia correspondiente (TEST o producción) y pinchar en el enlace que aparece "¿Ha olvidado su contraseña?".

Pw recovery1.jpg


2. Aparecerá un formulario a continuación. Se deben completar sus campos Identificador (nombre del usuario que ha perdido la contraseña) y Correo electrónico (email del usuario), y pinchar Enviar.

Pw recovery2.jpg


3. Si los campos se han rellenado correctamente aparecerá el aviso “Su petición ha sido enviada” y se recibirá en la dirección de correo electrónico indicada un correo para restablecer la contraseña de acceso a SinergiaCRM.

Pw recovery3.jpg


4. El correo electrónico recibido contendrá un enlace. Se debe pinchar en este enlace (por temas de seguridad permanecerá activo únicamente durante 24h).


5. La página que se abrirá contiene un formulario que se debe rellenar con el nombre de usuario (Identificador) y la nueva contraseña que se introducirá dos veces. Se aconseja que la contraseña tenga un mínimo de 8 caracteres y contenga letras mayúsculas y minúsculas y números. Cuando estén rellenados los tres campos, pinchar en Log In.

Pw recovery4.jpg


A partir de este momento el usuario ya podrá acceder de forma habitual a SinergiaCRM con su nombre de usuario y esta nueva contraseña.

Usuarios y Empleados

Existe en el CRM el módulo Empleados, cuya arquitectura es diferente del resto de los módulos del sistema. El módulo Empleados no gestiona registros propios sino que muestra los mismos registros que aparecen en el módulo de Usuarios. La razón de esta duplicidad es una cuestión de enfoque: mientras que por Usuarios entendemos personas que utilizan el CRM y la información que nos interesa tiene que ver con este uso (configuración individual de la herramienta, nombre de usuario y contraseña, etc.) al hablar de Empleados pensamos en la información relevante de esas mismas personas desde la perspectiva de su pertenencia a la organización (datos de contacto, ubicación departamental, etc.), a modo de directorio interno.

Algunas consideraciones sobre la gestión de Usuarios y Empleados:

- Todo usuario creado aparece en Empleados salvo que se desactive la casilla Visualización de registro de empleados)

- Todo empleado creado aparece Usuarios, aunque con estado inactivo.


95.jpg


- Los diseños de las vistas (de lista, edición, detalle, etc.) de Empleados y Usuarios son independientes, por lo que es posible ocultar determinados datos en las vistas del módulo Empleados, que por defecto es accesible con carácter general, y que estos aparezcan sólo en las vistas de Usuarios (cabe tener en cuenta que el módulo de Usuarios sólo es accesible para los usuarios administradores).

Como en otros casos, si el usuario tiene permiso para crear informes, podría acceder a cualquiera de los dos módulos ("Empleados" o "Usuarios"), listar sus datos y/o exportarlos.


Roles

Es habitual que una organización que cuenta con un CRM considere pertinente limitar el acceso a determinadas partes del mismo en función del perfil de los usuarios, ya sea por razones de seguridad, ya sea por simplificar su entorno de trabajo. El CRM permite modificar el acceso estándar a la información que almacena mediante la definición y el uso de Roles.

Cabe tener en cuenta que por defecto el sistema cuenta con dos tipos de usuario: Administradores y Normales. Estos últimos no pueden acceder al Área de Administración pero por lo demás, en ausencia de roles definidos, tienen acceso a todos los módulos que aparezcan en el menú principal.

Para gestionar los roles es necesario acceder a Admin / Usuarios / Administración de Roles.

Los Roles permiten determinar qué operaciones pueden realizar sobre determinados módulos los usuarios que los tengan asignados. Por ejemplo, un rol podría determinar que un determinado usuario tenga acceso al módulo de Personas y pueda ver los registros que contiene pero no pueda modificarlos ni eliminarlos.

Cabe insistir en el hecho que los roles trabajan exclusivamente sobre módulos completos, no sobre registros ni campos concretos. Para el control de acceso a nivel de registro, véase más adelante el apartado "Control de acceso a registros: Security Suite".

Al crear un rol el sistema solicita un Nombre. Opcionalmente es posible añadir una descripción.


96.jpg


Al guardar el rol se muestra en pantalla una matriz encabezada por los módulos del CRM (columna izquierda) y las acciones realizables sobre los mismos (fila superior). Las posibles acciones son:

- Acceso: posibilidad de acceso global al módulo. Si se deshabilita, el usuario no verá ninguna referencia al módulo en toda la aplicación y, en consecuencia, no podrá interactuar con el mismo de ninguna forma.

- Eliminar: posibilidad de eliminar (y combinar) registros.

- Editar: posibilidad de crear o editar registros.

- Exportar: posibilidad de exportar registros desde la vista de lista del módulo.

- Importar: posibilidad de importar registros.

- Listar: posibilidad de acceder a la vista de lista del módulo y a los subpaneles del mismo módulo que puedan mostrarse en las vistas de detalle de otros módulos.

- Actualización Masiva: posibilidad de actualizar masivamente una selección de registros en la vista de lista del módulo.

- Ver: posibilidad de acceder a la vista de detalle del módulo.


97.jpg


Cada combinación (módulo, acción) puede tomar alguno de los siguientes valores:

- No establecido: es el valor por defecto. Si el rol no especifica un valor diferente de No establecido se usa el criterio aplicable con carácter general. Así, habitualmente, si no se establece nada para ninguna acción de un determinado módulo se entiende que el usuario podrá interactuar con normalidad con dicho módulo.

- Todo: la acción puede realizarse sin restricciones sobre todos los registros del módulo.

- Nada: la acción no puede realizarse sobre ningún registro del módulo.

- Propietario: la acción puede realizarse solamente sobre los registros del módulo que estén asignados al usuario.

En el caso del Acceso los posibles valores son Habilitado/Deshabilitado/No Especificado.


Una vez definidos los roles es posible asignarlos a los usuarios, a través del subpanel correspondiente de la vista de detalle del rol. Un usuario podrá tener diversos roles asignados y un rol podrá asignarse a varios usuarios. En caso de que un usuario esté vinculado a más de un rol que afecte a un mismo módulo y acción, prevaldrá el más restrictivo de ellos.


No es infrecuente que el administrador de un CRM, ante la posibilidad de controlar el acceso a la información mediante el uso de los roles decida crear un buen número de ellos a fin de delimitar con precisión los espacios de trabajo de los diferentes usuarios. De todos modos, la experiencia indica que cuantas más limitaciones iniciales se establezcan más inconvenientes aparecerán posteriormente en el uso cotidiano del CRM, derivados, precisamente, de la falta de acceso a datos y acciones. En este sentido, se recomienda empezar creando los mínimos roles posibles (aquellos que realmente sean indiscutibles sin necesidad de demostración empírica) e incrementarlos a medida que el uso habitual del sistema así lo recomiende.


Control de acceso a registros: Security Suite

Conceptos básicos

Tal y como se ha comentado anteriormente la gestión de Roles permite limitar el acceso de los usuarios a cualquiera de los módulos de la aplicación. Con carácter general las autorizaciones o limitaciones a nivel de roles se establecen para el conjunto de un módulo, con la salvedad de usar el valor Propietario, que restringe la autorización a los registros del módulo asignados al usuario afectado (ver Roles).

Esta visión de Propietario puede resultar insuficiente cuando es un conjunto de usuarios -una delegación territorial, un departamento, etc.- el que debe tener un acceso especial a un conjunto determinado de registros de un módulo. Por ejemplo, dos personas de la entidad gestionan el voluntariado y se desea que sólo esos dos usuarios tengan la posibilidad de editar los registros del módulo Personas que se corresponden con voluntarios de la entidad. Este escenario no sería gestionable únicamente con los Roles, pues los permisos se asignarían sobre todo el módulo Personas y no solamente sobre las voluntarias.

El módulo Security Suite, que no forma parte de la estructura estándar del CRM, permite abordar escenarios de mayor complejidad en lo que a configuración de la capacidad de acceso se refiere, permitiendo el trabajo a nivel de registro.

Del mismo modo que "Security Suite" aporta mayor flexibilidad también incrementa la complejidad en la gestión del sistema. Por esta razón el módulo no aparece por defecto instalado. Aquellas entidades que necesiten utilizarlo pueden solicitarlo a través de los foros de SinergiaCRM.


Configuración y uso

Además de Usuarios y Roles, Security Suite incorpora un tercer elemento al engranaje del control de acceso: los Grupos de seguridad.

A un Grupo de seguridad se le pueden asignar registros de cualquier módulo (desde la vista de lista de cada módulo), usuarios y roles. En síntesis, sobre esos registros que hayan sido asignados a un grupo de seguridad, sólo podrán operar aquellos usuarios que pertenezcan a ese grupo y podrán hacerlo sobre la base de lo que permitan los roles vinculados a ese mismo grupo.

A partir del momento en que se trabaja con Security Suite suele ser razonable dejar de asignar roles directamente a los usuarios y empezar a hacerlo vía grupos.

Un usuario, un rol o un registro de cualquier módulo pueden ser asignados a tantos grupos de seguridad como sea necesario.


Al instalar Security Suite en el Área de Administración aparece una nueva sección con este nombre.


9.jpg


Desde Security Suite Settings es posible configurar el modo general de actuación del módulo en base a los parámetros que aparecen, con su correspodiente descripción, en la siguiente imagen:


10.jpg


La creación de grupos de seguridad y la asignación de roles y usuarios a los mismos puede hacerse desde Security Suite Group Management.

Cabe destacar que al instalar Security Suite, la gestión de roles incorpora el valor Grupo a la lista de valores asignables a una combinación (módulo, acción). Esta lista está inicialmente compuesta por los valores: No Establecido, Nada, Todo y Propietario. El nuevo valor Grupo indica que el rol se aplicará sobre aquellos registros del módulo que estén asignados a los grupos de seguridad a los cuales también se asigne el rol en cuestión.


Recursos adicionales

Security Suite Administration Guide 2.0

Cabe tener en cuenta que SinergiaCRM utiliza la versión gratuita de "Security Suite", por lo que determinadas funcionalidades que aparecen documentadas en la guía pueden no estar realmente disponibles.


Registro de cambios

En ocasiones es necesario poder saber si un determinado campo de un registro ha cambiado de valor. El CRM ofrece la posibilidad de registrar estos cambios. Para ello debe accederse vía Admin / Herramientas de Desarrollo / Estudio al campo deseado en el módulo que corresponda y marcar la casilla Auditar. A partir de este momento el CRM almacenará todos los cambios que se produzcan en ese campo para cualquier registro del módulo.


11.jpg


Para consultar las modificaciones históricas realizadas sobre cualquier registro de cualquier módulo basta con acceder a la opción Registro de cambios en el botón del menú de acciones de la vista de detalle del registro. Aparecerá un listado en el que se indicarán los cambios con la siguiente información: Campo modificado - Valor anterior - Valor nuevo - Usuario que hizo el cambio - Fecha y hora del cambio.


12.jpg


La adición de un número significativo de campos a auditar puede afectar negativamente al rendimiento de la aplicación, por lo que se recomienda utilizar esta funcionalidad solamente sobre los campos que realmente lo demanden.


Volver al índice