Roles y Permisos · RBAC granular
Define quién puede ver qué y hacer qué. 6 roles preset (super_admin / hr_admin / manager / team_lead / employee / viewer) cubriendo la mayoría de casos. Roles custom extensibles.
Qué es
RBAC = Role-Based Access Control. Matriz module × action × scope.
6 SYSTEM ROLES preset (no editables):
· 👑 super_admin · todo el sistema. Solo 1-2 personas máximo.
· 🎩 hr_admin · todos los módulos RRHH del tenant. Sin billing.
· 👔 manager · su equipo directo (reportees con manager_id = self).
· ⭐ team_lead · vista del equipo, limitaciones en compensación.
· 👤 employee · solo sus propios datos.
· 👁️ viewer · solo lectura (auditores, comité igualdad, consultores).
8 MÓDULOS cubiertos: people, performance, compensation, wellbeing, aria, compliance, reports, admin.
4 SCOPES: self / team / dept / tenant.
Fallback graceful: si user no tiene roles RBAC asignados, usa role nativo (admin/manager/employee).
Asignaciones múltiples: un user puede tener varios roles · permisos se acumulan (toma el scope más alto).
Cómo se usa
- Sidebar admin · Roles y permisos
- Click en cualquier rol para ver su matriz completa de permisos
- Asignar rol a usuario: detail del rol · selector empleado · click 'Asignar rol'
- Quitar rol: click × junto al usuario en lista de asignados
- System roles son read-only · usa custom roles si necesitas variantes
- Empleados ya tienen role nativo de la app (admin/manager/employee) que actúa como fallback