Roles y Permisos
Queria implementa un sistema de control de acceso basado en roles (RBAC) que garantiza que cada usuario solo pueda acceder a las funcionalidades y contenidos apropiados para su nivel de responsabilidad.
Jerarquia de roles
La plataforma tiene tres niveles de acceso, desde el mas amplio al mas restringido:
Company Admin
El administrador empresarial es el rol con el nivel de acceso mas alto. Gestiona su empresa: usuarios, configuracion, documentos, knowledge base, topics y configuracion de las fuentes externas. Cada empresa opera en aislamiento completo.
Editor
El editor puede subir documentos a los topics asignados y usar todas las herramientas habilitadas por la suscripcion (Chat, Search, Web Search). No tiene acceso a la gestion de usuarios, configuracion empresarial, Knowledge Base o creacion de topics.
Reader
El lector tiene acceso de solo lectura: puede usar las herramientas habilitadas por la suscripcion (Chat, Search, Web Search), pero no puede subir documentos ni acceder al panel de administracion.
Matriz de permisos
| Funcionalidad | Company Admin | Editor | Reader |
|---|---|---|---|
| Chat IA | Si | Si | Si |
| Search | Si | Si | Si |
| Web Search | Si | Si | Si |
| Visualizacion documentos | Si | Si (solo topics propios) | No |
| Upload documentos | Si | Si (solo topics propios) | No |
| Monitor documentos | Si | Si (solo topics propios) | No |
| Papelera (ver/restaurar) | Si | Si (solo topics propios) | No |
| Eliminacion permanente | Si | No | No |
| Creacion/modificacion Topic | Si | No | No |
| Knowledge Base | Si | No | No |
| Bot Knowledge | Si | No | No |
| Gestion Usuarios | Si | No | No |
| Configuracion Empresa | Si | No | No |
| Logo Empresa | Si | No | No |
| Fuentes Externas | Si | No | No |
| Widget Demo | Si | Si | No |
Comportamiento al login
Cada rol tiene una experiencia distinta:
| Rol | Pagina inicial | Acceso al Dashboard |
|---|---|---|
| Company Admin | Dashboard (panel CMS) | Directo |
| Editor | Chat (herramientas) | Mediante logo Queria en el header |
| Reader | Chat (herramientas) | No disponible |
Navegacion para Editor
El Editor accede directamente a la pagina Chat en el primer login. Para llegar al panel CMS (upload documentos, monitor, etc.), haz clic en el logo Queria arriba a la izquierda en el header.
Control de accesos por Topic
Cada Editor y Reader debe tener al menos un topic asignado. Los topics determinan que documentos puede ver el usuario y donde puede subir.
- Un usuario puede asignarse a varios topics simultaneamente
- Los documentos asociados a un topic son visibles solo a los usuarios autorizados
- El chat IA respeta las restricciones: no cita documentos a los que el usuario no tiene acceso
- El Editor debe asignar al menos un topic al subir un documento
- Si el Editor tiene un solo topic, se asigna automaticamente
Ejemplo de configuracion
Una empresa con los topics "Contratos", "HR" y "Tecnico" podria configurar:
- Mario (Editor): acceso a "Contratos" y "Tecnico" - puede subir y ver documentos en ambos
- Laura (Editor): acceso a "HR" y "Contratos" - ve solo documentos HR y Contratos
- Giuseppe (Reader): acceso solo a "Tecnico" - puede chatear solo sobre documentos Tecnico
Cada usuario vera en el chat solo los documentos de los topics a los que esta autorizado.
Como modificar los roles
La modificacion de los roles esta reservada al Company Admin:
- Accede a la seccion Gestion Usuarios del menu lateral
- Selecciona el usuario a modificar
- En el campo Rol, elige el nuevo nivel de acceso
- Asigna uno o mas topics (obligatorio para Editor y Reader)
- Guarda los cambios
Las nuevas autorizaciones surten efecto inmediato: en el siguiente acceso el usuario vera la interfaz actualizada.
Invitar nuevos usuarios
Para anadir un nuevo usuario:
- Ve a Gestion Usuarios y haz clic en Nuevo Usuario
- Introduce email, nombre y password temporal
- Selecciona el rol a asignar
- Asigna uno o mas topics (obligatorio para Editor y Reader)
- Comparte las credenciales con el usuario
Buenas practicas
- Principio del minimo privilegio: asigna siempre el rol mas restrictivo suficiente para las actividades del usuario
- Revision periodica: controla regularmente los roles asignados y elimina accesos ya no necesarios
- Topic RBAC para datos sensibles: usa las restricciones por topic cuando gestionas documentos restringidos o confidenciales
- Company Admin dedicado: cada empresa deberia tener al menos dos Company Admin para garantizar continuidad operativa
- Asignacion topic dirigida: asigna solo los topics estrictamente necesarios para el trabajo del usuario
Atencion
La modificacion del rol de un usuario surte efecto inmediato. Si reduces los permisos de un usuario que esta actualmente trabajando en la plataforma, el acceso a las funcionalidades eliminadas sera denegado en la siguiente navegacion.
Queria v3.5.0 -- Arquitectura Cog-RAG