Plantilla de organización

La plantilla de organización en Logto define un conjunto coherente de roles y permisos disponibles para cada organización (tenant) en tu producto SaaS. Al centralizar estas definiciones, puedes reforzar la seguridad, habilitar una incorporación escalable y garantizar una excelente experiencia de usuario en todas las organizaciones.

info:

Si no estás construyendo una aplicación multi-tenant o no necesitas roles/permisos específicos por organización, puedes omitir esta sección. Los roles y permisos globales de Logto son suficientes para aplicaciones de un solo tenant o que no se basan en organizaciones.

¿Qué es la plantilla de organización?

Una plantilla de organización es un plano que especifica qué roles y permisos están disponibles en cada organización. Cada organización creada en tu tenant de Logto hereda automáticamente la plantilla, garantizando un modelo de autorización coherente en todos los tenants.

¿Por qué usar una plantilla?
- Refuerza políticas de control de acceso uniformes para cada organización.
- Simplifica la incorporación de nuevos tenants y miembros del equipo.
- Facilita las actualizaciones y auditorías del control de acceso basado en roles (RBAC) a medida que tu producto crece.

Conceptos clave

Roles de organización: Colecciones de permisos otorgados a usuarios o clientes M2M (máquina a máquina) dentro de una organización. Los roles definen "quién puede hacer qué" dentro de cada organización.
Permisos de organización: Acciones no relacionadas con la API (por ejemplo, funciones de la interfaz de usuario, lógica de negocio) que pueden asignarse a roles.
Recursos de API: Endpoints / servicios de API protegidos por permisos. Los roles de organización pueden vincularse a recursos de API para acceso a la API con alcance organizacional.
Mapeo rol-permiso: Cada rol de organización en la plantilla puede mapearse a uno o más permisos.
Propagación de la plantilla: Los cambios en la plantilla actualizan los roles y permisos disponibles para todas las organizaciones.

nota:

Los roles y permisos de organización (incluidos los permisos de recursos de API) son distintos de los roles globales y sus permisos. Sin embargo, los recursos de API y sus permisos se definen de forma centralizada y pueden referenciarse tanto en contextos globales como de organización.

Comparación con roles y permisos globales

Comparación de tipos de roles

Tipo de rol	¿Puede tener permisos de recursos de API?	¿Puede tener permisos de organización (no API)?
Global	Sí	No
Organización	Sí	Sí

Comparación de tipos de permisos

Tipo de permiso	Definido en	¿Asignable a roles globales?	¿Asignable a roles de organización?
Recurso de API	Entidad de recurso de API	Sí	Sí
Organización	Plantilla de organización	No	Sí

Anatomía de una plantilla de organización

Una plantilla de organización se compone de:

Roles: Ej., Admin, Member, Viewer, Billing
Permisos de organización: Ej., invite:member, manage:billing, view:analytics
Matriz rol-permiso: Un mapeo de qué permisos (incluidos los permisos de organización y de recursos de API) otorga cada rol.

Resumen visual

Este diagrama ilustra cómo los roles de organización, permisos y recursos de API se conectan en una plantilla de organización de Logto.

Cada organización creada en Logto tendrá este mismo conjunto de roles y permisos, y los usuarios / clientes pueden recibir roles por organización según sea necesario.

Usa la plantilla de organización en tu producto

La plantilla de organización de Logto está diseñada para aplicaciones SaaS modernas y multi-tenant donde:

Cada organización debe tener las mismas opciones de roles y permisos para incorporación, colaboración y gestión.
Quieres evitar definir manualmente roles / permisos para cada nueva organización.
Un RBAC coherente es fundamental para el cumplimiento, la seguridad y la confianza del cliente.
Necesitas evolucionar el control de acceso a medida que tu producto cambia, sin afectar a las organizaciones existentes.

Ejemplos de uso

Productos SaaS que ofrecen espacios de trabajo, equipos o empresas (cada uno un tenant).
Plataformas con roles granulares de admin / miembro / visualizador por organización.
Productos con permisos tanto de API como no API.

Mejores prácticas y versionado

Mantén los roles y permisos orientados al negocio: Usa nombres claros que correspondan a acciones reales (no solo endpoints técnicos).
Evita la proliferación de roles / permisos: Comienza simple; añade nuevos roles / permisos solo cuando tu producto realmente los necesite.
Comunica los cambios: Informa a los usuarios / administradores si las opciones de roles o permisos en sus organizaciones están a punto de cambiar.
Evoluciona la plantilla: A medida que tu producto crece, puedes actualizar la plantilla en cualquier momento. Todas las organizaciones tendrán automáticamente acceso a los nuevos roles / permisos.
Versionado (opcional): Para cambios importantes, considera versionar tu plantilla y comunicar los planes de migración a tus clientes.

Gestión de tu plantilla de organización

Puedes gestionar la plantilla de organización desde la Consola → Plantilla de organización o mediante la Management API de Logto.

Crear roles: Añade roles de usuario y roles M2M a tu plantilla. Cada rol está disponible para todas las organizaciones en tu tenant de Logto.
Crear permisos: Define permisos tanto para recursos de API como para acciones no API (dentro de la aplicación).
Editar la matriz rol-permiso: Asigna permisos a roles usando la Consola de Logto o la Management API.
Actualizar o eliminar roles / permisos: Los cambios en la plantilla se aplican automáticamente a todas las organizaciones. (Los usuarios / clientes mantienen sus asignaciones de roles; solo cambia el conjunto de permisos.)

Para guías paso a paso sobre la gestión de roles y permisos de organización, consulta Control de acceso basado en roles.

Preguntas frecuentes

¿Tengo que usar permisos de organización?

No, los permisos de organización son opcionales. Puedes usar la plantilla de organización solo para definir roles y permisos de recursos de API si lo prefieres.

¿Qué sucede si cambio la plantilla de organización?

Los cambios en roles o permisos se reflejan inmediatamente en todas las organizaciones. Los usuarios y clientes mantienen sus asignaciones de roles; solo puede cambiar lo que esos roles permiten.

¿Puedo personalizar roles o permisos por organización?

No directamente. Las plantillas de organización refuerzan un modelo coherente en todos los tenants. (Aún puedes asignar diferentes roles a distintos usuarios / clientes en cada organización.)

¿Cómo deshago o migro cambios?

Actualiza manualmente la plantilla para restaurar roles / permisos anteriores. Para migraciones complejas, considera estrategias de versionado.

¿Qué pasa si elimino un rol o permiso?

Los usuarios / clientes con ese rol pierden acceso a los permisos vinculados a él. Eliminar un permiso lo elimina de todos los roles que lo tenían.

¿Hay limitaciones?

La personalización es a nivel de plantilla, no por organización. Contáctanos si necesitas excepciones avanzadas por tenant.

Más información

Proteger permisos de organización (no API)

Proteger recursos de API a nivel de organización

Personalización de reclamos de token

¿Qué es la plantilla de organización?​

Conceptos clave​

Comparación con roles y permisos globales​

Anatomía de una plantilla de organización​

Usa la plantilla de organización en tu producto​

Mejores prácticas y versionado​

Gestión de tu plantilla de organización​

Preguntas frecuentes​

¿Tengo que usar permisos de organización?​

¿Qué sucede si cambio la plantilla de organización?​

¿Puedo personalizar roles o permisos por organización?​

¿Cómo deshago o migro cambios?​

¿Qué pasa si elimino un rol o permiso?​

¿Hay limitaciones?​

Más información​