Schola
Schola
InicioBienvenidaPrimeros pasosGlosario
Identidad y autorización
Modelo de autorizaciónClases de identidadPlantillas de rol del sistemaExcepciones y auditoría
Familias
Admisiones públicasPortal estudiantilComprobantes de pago
Operación escolar
Navegación y módulosEscuela de pruebaMódulos de productoAlcances de asignaciónFlujos de aprobación
Referencia
Catálogo de capacidadesPreguntas frecuentes
Modelo de autorización

Modelo de autorización

Cómo se combinan clases de identidad, plantillas, capacidades y overrides.

La plataforma separa deliberadamente quién eres (clase de identidad) de qué puedes hacer (capacidades otorgadas por plantillas y excepciones).

Capas del modelo

flowchart TB
  subgraph identity [Identidad]
    AR[appRole: student / teacher / staff]
  end
  subgraph org [Organización]
    RT[Plantilla de rol]
    SC[Alcance: sede / jornada / escuela]
  end
  subgraph authz [Autorización]
    CAP[Capacidades efectivas]
    OVR[Overrides grant/deny]
    FF[Banderas de función]
  end
  AR --> RT
  RT --> CAP
  OVR --> CAP
  FF --> CAP
  SC --> CAP

Reglas de evaluación

  1. La lista efectiva parte de las capacidades de la plantilla asignada.
  2. Los overrides de concesión añaden capacidades; los de denegación las quitan (prevalecen sobre la plantilla).
  3. Cada capacidad declara para qué appRole aplica; si no coincide con la identidad activa, no se concede.
  4. Algunas capacidades dependen de banderas institucionales (p. ej. roles personalizados).
  5. La navegación y las rutas del shell consultan el mismo conjunto efectivo — no hay atajos solo en frontend.

No existe un mapa implícito “si eres rector entonces puedes publicar boletines”. Todo pasa por capacidades explícitas en plantilla o override.

Defaults vs. configuración del colegio

Los diagramas y tablas de esta documentación describen el modelo del producto y los valores por defecto que se siembran al crear una escuela. Cada institución puede personalizar plantillas y overrides; el permiso efectivo de un usuario puede diferir de los ejemplos aquí mostrados.

Dónde administrarlo

TareaUbicación en la app
Ver y editar plantillasAjustes → Autorización → Plantillas
Excepciones por usuarioAjustes → Autorización → Permisos efectivos
Asignar plantilla a personaPersonas → perfil → asignaciones
Banderas avanzadasAjustes → Autorización (requiere capacidad system.manage_feature_flags)

Lecturas relacionadas

  • Clases de identidad
  • Plantillas de rol del sistema
  • Excepciones y auditoría

Impersonación institucional (personal)

La capacidad users.impersonate permite a un actor abrir una sesión temporal como otra persona del personal o docencia. El alcance de a quién se puede impersonar depende de la plantilla del actor, no solo de tener la capacidad activa.

Pirámide de alcance (reglas de producto)

Plantilla del actorPuede impersonarNo puede impersonar
RectorTodo el personal y docentesA sí mismo; a otro rector
Jefe de sistemasPersonal y docentes salvo rectorAl rector; a sí mismo
Coordinador académico / convivenciaPersonal y docentes por debajo de su nivelAl rector, al jefe de sistemas; a sí mismo

Reglas bloqueadas (no personalizables)

  • El rector puede impersonar a todos los perfiles impersonables de la escuela. - Nadie puede impersonar al rector, sin excepción. - Estas dos reglas no se pueden relajar desde Ajustes → Autorización.

Capacidad por defecto y personalización

Al crear una escuela, estas plantillas reciben users.impersonate por defecto:

  • Rector y jefe de sistemas (siempre activa, no se puede quitar en la UI).
  • Coordinador académico y coordinador de convivencia (activa por defecto; el colegio puede retirarla si tiene system.manage_role_templates).

Otras plantillas pueden recibir la capacidad de forma explícita en la consola de autorización; el alcance efectivo sigue la pirámide según la plantilla del actor (plantillas sin nivel superior usan el mismo techo que los coordinadores).

Toda sesión de impersonación queda en authorizationAuditLogs y expira automáticamente tras una hora.

Glosario

Términos clave de identidad, autorización y operación escolar en Schola.

Clases de identidad

student, teacher y staff — semántica de producto sin ser permisos.

En esta página

Capas del modeloReglas de evaluaciónDónde administrarloLecturas relacionadasImpersonación institucional (personal)Pirámide de alcance (reglas de producto)Capacidad por defecto y personalización