Derechos de acceso

📍 ¿Dónde se encuentra este módulo?
Ajustes > Gestión de usuarios > Derechos de acceso

---

Introducción

El sistema de derechos de acceso de Kafinea permite controlar con precisión lo que cada usuario puede ver y hacer en la aplicación. Se basa en cuatro niveles complementarios:

Es bueno saberlo: un usuario administrador estándar tiene acceso completo a todos los módulos y datos, independientemente de los roles, perfiles y reglas de uso compartido configurados. En Kafinea hay dos tipos de administradores:

• El administrador estándar: Acceso completo a los datos y a toda la configuración del sistema.
• El administrador con privilegios limitados: derechos sobre los datos idénticos a los de un usuario normal (definidos por su perfil y su rol), pero con acceso a la configuración del sistema, salvo a la gestión de permisos (usuarios, perfiles, roles, grupos y reglas de uso compartido).

Las restricciones de derechos solo se aplican a los usuarios que no son administradores (y a los administradores con derechos limitados en lo que respecta a los datos).

---

1. Los administradores #

Por defecto, las restricciones de derechos no se aplican a los administradores. Kafinea ofrece dos tipos de cuentas administrativas:

El administrador estándar #

El administrador estándar tiene plenos poderes sobre toda la aplicación.

• Acceso a los datos: puede ver, modificar y eliminar cualquier registro en cualquier módulo, independientemente de la jerarquía o de las reglas de uso compartido.
• Configuración: acceso completo a todas las pantallas de configuración (usuarios, perfiles, roles, gestor de módulos, parámetros del sistema, etc.).
• Seguridad: es el único perfil que puede activar o desactivar otras cuentas de administrador.

El administrador con privilegios limitados #

El administrador con privilegios limitados es un perfil híbrido diseñado para delegar la gestión de los parámetros sin riesgo de escalada de privilegios.

• Acceso a los datos: igual que el de un usuario normal; sus derechos vienen determinados por su perfil y su función. Solo ve lo que su perfil le permite ver.
• Acceso a la configuración: permite acceder a la mayoría de las pantallas de configuración (flujos de trabajo, SMTP, funciones, registros, etc.).
• Restricciones: no puede acceder a la gestión de permisos; las pantallas «Usuarios», «Perfiles», «Roles», «Grupos» y «Reglas de uso compartido» están ocultas para él. Esto evita cualquier escalada de privilegios (no puede otorgarse derechos adicionales).
• Uso recomendado: responsable de TI que gestiona los flujos de trabajo o el SMTP, pero que no debe tener acceso a la facturación ni a la contabilidad.

Ejemplo concreto: un responsable de TI con el perfil «Soporte interno» (acceso limitado a los módulos de RR. HH. y contabilidad) puede tener permisos de administrador limitados para gestionar los flujos de trabajo y el SMTP, sin poder ver nunca las nóminas ni modificar los derechos de otros usuarios.

¿Cómo se activa un administrador con derechos limitados?: En la ficha de un usuario, marque la casilla «Administrador con derechos limitados». Esta opción solo está disponible para los administradores estándar.

---

2. Los roles #

Principio n. º

Un rol define la posición de un usuario en la jerarquía de la organización. Los roles se organizan en forma de árbol (organigrama). Esta jerarquía determina qué datos puede ver un usuario:

• Un rol principal puede ver los datos de sus roles secundarios (subordinados)
• Un rol de usuario solo puede ver sus propios datos (a menos que las reglas de uso compartido lo permitan)

Configuración #

Para gestionar los roles: Configuración > Gestión de usuarios > Roles.

1. La pantalla muestra el árbol completo de roles
2. Haz clic en un rol para modificarlo, o utiliza el botón «Añadir un rol» para crear uno nuevo
3. Cada rol debe estar vinculado a un rol principal (excepto el rol raíz)
4. Asigna uno o varios perfiles al rol: es el perfil el que determina los permisos detallados

Importante: Cada usuario está asociado a un único rol. Este rol determina tanto su posición jerárquica como sus permisos (a través de los perfiles asociados al rol).

La jerarquía en la práctica #

Ejemplo: una empresa con la siguiente estructura:

Directeur Général
├── Directeur Commercial
│   ├── Responsable Ventes France
│   │   └── Commercial France
│   └── Responsable Ventes Export
│       └── Commercial Export
└── Directeur Financier
    ├── Comptable
    └── Contrôleur de gestion

En esta configuración:

• El director general puede ver los datos de todas las funciones
• El director comercial puede ver los datos de sus subordinados (jefes y comerciales), pero no los del director financiero
• Un comercial en Francia solo ve sus propios datos

---

3. Los perfiles #

Principio n. º

Un perfil define los permisos detallados módulo por módulo. Es el núcleo del sistema de derechos de acceso. Un perfil determina:

1. Acceso al módulo: ¿es el módulo visible y accesible para este perfil?
2. Acciones permitidas: crear, ver, modificar, eliminar
3. Acceso a los campos: para cada módulo, ¿qué campos son visibles y/o editables?
4. Derechos generales: «Ver todo» y «Modificar todo» (opcionales)
5. Derechos sobre las herramientas: importación, exportación, fusión de duplicados, etc.

Configuración #

Para gestionar los perfiles: Configuración > Gestión de usuarios > Perfiles.

1. Haz clic en un perfil existente para editarlo, o haz clic en «Añadir un perfil» para crear uno nuevo
2. En la pantalla de edición, verás la lista de todos los módulos con sus opciones

Permisos globales #

Nota: Estas opciones no suelen aparecer de forma predeterminada en la interfaz de Kafinea para evitar errores graves de configuración. Solo se muestran si ya están activadas en un perfil existente.

En la parte superior de la pantalla de edición de un perfil, pueden aparecer dos opciones generales:

Atención: «Ver todo» y «Modificar todo» son permisos muy potentes. Anulan las reglas de acceso compartido y la jerarquía de roles. Resérvalos para los perfiles que realmente los necesiten (por ejemplo: dirección, personal de apoyo administrativo).

Permisos por módulo #

Para cada módulo, puedes configurar:

Acceso al módulo (casilla de selección):

• Marcado: el módulo está disponible para este perfil
• Desactivado: el módulo es completamente invisible e inaccesible

Acciones disponibles (cuando el módulo está accesible):

Es bueno saberlo: si se desmarca un módulo (se retira el acceso), todas las acciones se bloquean automáticamente, aunque antes estuvieran marcadas individualmente. Al volver a marcar el módulo, se restablecen los permisos de las acciones tal y como estaban configurados.

Permisos a nivel de campo #

Para cada módulo accesible, puedes definir la visibilidad de cada campo:

Es bueno saberlo: algunos campos del sistema (como el nombre del registro) no se pueden ocultar.

Derechos sobre las herramientas de utilidades #

Cada perfil también puede configurar el acceso a las herramientas transversales:

Combinación de varios perfiles #

Un rol puede estar asociado a varios perfiles. En ese caso, los permisos se acumulan según el principio del más permisivo:

• Si el perfil A permite la creación en el módulo Facturas y el perfil B la prohíbe, el usuario puede crear (prevalece el derecho más permisivo)
• Si el perfil A da acceso al módulo «Contactos» y el perfil B da acceso al módulo «Facturas», el usuario tiene acceso a ambos módulos

Consejo: Para simplificar la gestión, cree perfiles temáticos (por ejemplo, «Acceso a ventas», «Acceso a contabilidad») que pueda combinar según las necesidades de cada función, en lugar de crear un perfil único para cada función.

---

4. Las reglas para compartir #

Principio n. º

Las reglas de uso compartido definen la visibilidad predeterminada de los datos entre los usuarios. Complementan la jerarquía de roles al especificar, módulo por módulo, si los usuarios pueden ver los datos de los demás.

Configuración #

Para gestionar las reglas de uso compartido: Configuración > Gestión de usuarios > Reglas de uso compartido.

Los tres niveles de intercambio #

Importante: Las reglas de uso compartido definen el comportamiento predeterminado. Se pueden añadir excepciones para conceder permisos adicionales a roles, grupos o usuarios específicos.

Excepciones de uso compartido #

Cuando la regla predeterminada es «Privado» o «Público: solo lectura», puedes crear excepciones para ampliar el acceso:

1. En la pantalla de reglas de uso compartido, haz clic en «Añadir una excepción» para el módulo que desees
2. Elige quién comparte (un rol, un grupo o un rol y sus subordinados)
3. Elige con quién (un rol, un grupo o un rol y sus subordinados)
4. Elige el nivel de acceso: solo lectura o lectura y escritura

Ejemplo: El módulo «Facturas» está en modo «Privado». Quieres que el equipo de cobros pueda consultar las facturas de toda la empresa. Crea una excepción que comparta las facturas de «Todos los roles y subordinados» con el grupo «Cobros» en modo «Solo lectura».

Recálculo de las reglas de reparto #

Una vez modificadas las reglas de reparto, haz clic en el botón «Recalcular» para que los cambios surtan efecto.

Atención: el recálculo puede tardar unos segundos en instancias con muchos usuarios y datos.

---

5. Los grupos #

Principio n. º

Un grupo es un conjunto de usuarios, roles u otros grupos. Los grupos sirven principalmente para:

• Asignar registros a un equipo en lugar de a un solo usuario
• Crear excepciones de uso compartido para dar acceso a un equipo interdepartamental

Configuración #

Para gestionar los grupos: Configuración > Gestión de usuarios > Grupos.

Un grupo puede contener:

• Usuarios particulares
• Roles completos (todos los usuarios que tengan ese rol)
• Roles y subordinados (el rol y todos sus elementos subordinados en la jerarquía)
• Otros grupos (interrelación)

Ejemplo: El grupo «Comité de dirección» incluye los puestos de «Director comercial», «Director financiero» y «Director general».

---

6. Cómo se evalúan los permisos #

Cuando un usuario intenta acceder a un registro o realizar una acción, Kafinea comprueba los permisos en el siguiente orden:

1. ¿Es el usuario un administrador estándar? → En caso afirmativo, tiene acceso completo a los datos, sin verificaciones adicionales. En el caso de un administrador con privilegios limitados, normalmente se aplican las siguientes verificaciones.
2. ¿Está activo el módulo? → Si el módulo está desactivado, nadie (excepto los administradores) tiene acceso a él
3. ¿Permite el perfil el acceso al módulo? → Si ninguno de los perfiles del usuario permite el acceso al módulo, se deniega el acceso
4. ¿Está permitida la acción según el perfil? → Comprobación de la acción específica (crear, ver, modificar, eliminar)
5. ¿Permiten las reglas de uso compartido el acceso a este archivo? → Comprobación del propietario, la jerarquía y las excepciones

Es bueno saberlo: cuando un usuario tiene varios perfiles, Kafinea aplica el principio del más permisivo: si al menos un perfil autoriza una acción, esta queda autorizada.

---

7. Casos habituales de configuración #

Escenario 1: Un comercial que solo se fija en sus clientes #

1. Crea un perfil de «Comercial» con acceso a los módulos de Contactos, Cuentas, Presupuestos y Pedidos
2. En la configuración de acceso compartido, configura los módulos «Contactos» y «Cuentas» como «Privado»
3. Crea un puesto de «Comercial» bajo el puesto de «Responsable comercial»
4. Asigna el perfil «Comercial» al rol

Resultado: el comercial solo ve a sus propios clientes y a los de sus posibles subordinados. Su responsable, en cambio, ve los datos de todos sus comerciales.

Escenario 2: Un contable con acceso de solo lectura a los datos de ventas #

1. Crea un perfil de «Contabilidad» con acceso completo a los módulos contables (Facturas, Pagos, etc.)
2. Crea un segundo perfil «Lectura de ventas» con acceso de solo lectura a los módulos de ventas (Presupuestos, Pedidos): marca la casilla «Ver detalles», pero desmarca «Crear», «Modificar» y «Eliminar»
3. Asigna ambos perfiles al puesto de «Contable»

Resultado: el contable puede gestionar la contabilidad con total libertad, consultando los presupuestos y los pedidos sin poder modificarlos.

Escenario 3: Un equipo de proyecto transversal #

1. Crea un grupo llamado «Equipo del Proyecto Alfa» que incluya a los usuarios correspondientes
2. En las reglas de uso compartido del módulo Proyectos (en modo «Privado»), añade una excepción que conceda acceso de «Lectura/Escrita» al grupo «Equipo del Proyecto Alfa».

Resultado: todos los miembros del equipo pueden colaborar en los proyectos que se les asignan, independientemente de su posición jerárquica.

Escenario 4: Restringir el acceso a las solicitudes de baja #

1. En el perfil del rol en cuestión, asegúrese de que el módulo «Solicitudes de ausencia» esté marcado (activado).
2. Comprueba que las opciones «Crear», «Ver detalles» y «Modificar» estén marcadas
3. Si el usuario sigue sin poder modificar las solicitudes, comprueba las reglas de uso compartido del módulo

Es bueno saberlo: si un módulo no aparece en la pantalla de edición de perfiles, es posible que esté desactivado. Ponte en contacto con tu administrador para comprobar el estado del módulo en Configuración > Administrador de módulos.

---

8. Resolución de problemas #

Un usuario no ve un módulo en el menú #

Posibles causas:

1. El módulo está desmarcado en su perfil → Edita el perfil en Ajustes > Gestión de usuarios > Perfiles y marca el módulo
2. El módulo está desactivado a nivel del sistema → Compruébalo en Ajustes > Gestor de módulos
3. El módulo no aparece en el menú del usuario → Comprueba la configuración del menú

Un usuario no puede modificar un registro #

Posibles causas:

1. La opción «Modificar » está desmarcada en su perfil → Edita el perfil y marca «Modificar» para el módulo en cuestión
2. El archivo pertenece a otro usuario y las reglas de uso compartido no permiten su modificación → Comprueba las reglas de uso compartido o añade una excepción
3. El registro está bloqueado → Algunos módulos permiten bloquear los registros (por ejemplo, las facturas validadas)

Un usuario puede crear, pero no modificar #

Causa probable: El perfil permite «Crear», pero no «Modificar». Estos dos derechos son independientes.

Solución: Edita el perfil en Ajustes > Gestión de usuarios > Perfiles, marca la casilla «Modificar» correspondiente al módulo en cuestión y, a continuación, guarda los cambios.

Las listas compartidas no son visibles para un usuario #

Posibles causas:

1. No se puede acceder al módulo en cuestión desde el perfil del usuario → Las listas de un módulo solo son visibles si el usuario tiene acceso al módulo
2. El módulo está desactivado → Compruébalo en Ajustes > Gestor de módulos

Cómo comprobar los permisos reales de un usuario #

Para diagnosticar un problema relacionado con los permisos, comprueba lo siguiente, en este orden:

1. El rol del usuario: Ajustes > Gestión de usuarios > Usuarios → comprueba el rol asignado
2. Perfiles asociados al rol: Configuración > Gestión de usuarios > Roles → consulte los perfiles del rol
3. Permisos del perfil: Ajustes > Gestión de usuarios > Perfiles → edita el perfil para ver los permisos módulo por módulo
4. Reglas de uso compartido: Ajustes > Gestión de usuarios > Reglas de uso compartido → comprueba el modo de uso compartido del módulo

Consejo: Si eres administrador y utilizas el asistente de IA de Kafinea, puedes plantearle directamente preguntas como «¿Por qué el usuario Jean no puede modificar las solicitudes de ausencia?». El asistente cuenta con una herramienta de diagnóstico de permisos que analiza la configuración y te indica con precisión la causa del problema.

---

9. Buenas prácticas #

• En primer lugar, define tu estructura jerárquica: crea los roles que reflejen tu organigrama
• Crea perfiles temáticos reutilizables: «Ventas», «Contabilidad», «Recursos Humanos», en lugar de un perfil por persona
• Aplica el principio del privilegio mínimo: concede solo los derechos estrictamente necesarios para cada función
• Utiliza los grupos para los equipos transversales en lugar de modificar la jerarquía de funciones
• Documenta tus decisiones: anota por qué se ha configurado cada perfil de esa manera, para facilitar el mantenimiento
• Comprueba los permisos: tras realizar un cambio, inicia sesión con una cuenta de prueba que tenga el perfil modificado para comprobar el comportamiento

---

10. Preguntas frecuentes #

¿Cómo se puede dar acceso a un módulo a un solo usuario?
Crea un perfil específico con acceso al módulo deseado y, a continuación, asigna ese perfil al rol del usuario. Si hay otros usuarios con el mismo rol que no deben tener ese acceso, crea un rol específico para ese usuario.

¿Se aplican los cambios de inmediato?
Sí, los cambios en los perfiles se aplican de inmediato. El usuario en cuestión verá los cambios la próxima vez que actualice la página. En cuanto a las reglas de uso compartido, no olvides hacer clic en el botón «Recalcular» después de realizar los cambios.

¿Cómo se puede permitir que dos equipos compartan sus datos?
Crea un grupo que incluya a los miembros de ambos equipos y, a continuación, añade una excepción en las reglas de uso compartido para conceder acceso a ese grupo.

¿Cómo se puede eliminar por completo el acceso a un módulo?
Edita el perfil del usuario y desmarca el módulo. El módulo desaparecerá del menú y se bloquearán todas las acciones.

¿Qué ocurre cuando un usuario tiene varios perfiles?
Los permisos se acumulan según el principio del más permisivo. Si un perfil autoriza una acción y otro la prohíbe, la acción queda autorizada. Esto resulta útil para combinar perfiles temáticos (por ejemplo: «Acceso a Ventas» + «Acceso a Contabilidad»).

Un usuario dice que no ve el botón «Editar» en un registro. ¿Qué hay que comprobar?
Comprueba lo siguiente, en este orden: 1) ¿Está marcada la opción «Editar» en el perfil? 2) ¿Está bloqueado el registro? 3) ¿Permiten las reglas de uso compartido que este usuario modifique dicho registro?

---

Glosario #

---

Referencias relacionadas 🔗 #

• Los usuarios
• El gestor de diseño