Skip to content

Commit a1a634f

Browse files
committed
docs: add sistema de permisos granular sin jerarquia
- Add ADR-2025-005: documento decision arquitectonica grupos funcionales - Add INDICE_MAESTRO_PERMISOS_GRANULAR: documento maestro del sistema - Add prioridad_01_estructura_base_datos: 8 tablas + vistas + funciones Sistema de grupos funcionales sin roles jerarquicos que reemplaza RBAC tradicional. Incluye estructura completa de BD con 8 tablas, vistas auxiliares, y funciones de validacion. Sin emojis ni iconos - formato profesional ISO/IEEE 29148:2018.
1 parent 755b47d commit a1a634f

3 files changed

Lines changed: 1752 additions & 0 deletions

File tree

Lines changed: 368 additions & 0 deletions
Original file line numberDiff line numberDiff line change
@@ -0,0 +1,368 @@
1+
---
2+
id: ADR-2025-005
3+
estado: aceptada
4+
propietario: equipo-backend
5+
ultima_actualizacion: 2025-11-07
6+
relacionados: ["DOC-REQ-INDICE-MAESTRO-PERMISOS", "RF-001", "RF-002", "RF-003", "RF-004"]
7+
---
8+
9+
# ADR-2025-005: Sistema de Permisos con Grupos Funcionales Sin Jerarquía
10+
11+
**Estado:** aceptada
12+
13+
**Fecha:** 2025-11-07
14+
15+
**Decisores:** equipo-backend, equipo-ba, arquitecto-principal
16+
17+
**Contexto técnico:** Backend
18+
19+
---
20+
21+
## Contexto y Problema
22+
23+
El sistema actual utiliza un modelo de permisos granulares (RF-001 a RF-004) con 3 niveles de evaluación. Sin embargo, necesitamos escalar este modelo para soportar:
24+
25+
1. **Múltiples módulos:** 19 funciones diferentes (usuarios, dashboards, llamadas IVR, tickets, reportes, etc.)
26+
2. **130+ capacidades:** Acciones específicas sobre recursos
27+
3. **Flexibilidad organizacional:** Diferentes usuarios con combinaciones únicas de permisos
28+
4. **Sin jerarquías rígidas:** Evitar etiquetas como "Admin", "Supervisor", "Agente" que crean barreras
29+
30+
**Preguntas clave:**
31+
- ¿Cómo organizamos 130+ capacidades de forma manejable?
32+
- ¿Cómo evitamos la explosión combinatoria de "roles"?
33+
- ¿Cómo permitimos flexibilidad sin complejidad excesiva?
34+
- ¿Cómo mantenemos la claridad sobre "quién puede hacer qué"?
35+
36+
**Restricciones actuales:**
37+
- Sistema de permisos granulares ya implementado (3 niveles)
38+
- Base de datos PostgreSQL
39+
- Django backend con modelos in-memory para performance
40+
- Necesidad de auditoría completa (ISO 27001)
41+
42+
**Impacto del problema:**
43+
- Sin organización clara, 130+ capacidades son inmanejables
44+
- Roles tradicionales son rígidos y no se adaptan a la realidad operativa
45+
- Jerarquías crean barreras artificiales entre equipos
46+
- Dificulta onboarding de nuevos usuarios
47+
48+
---
49+
50+
## Factores de Decisión
51+
52+
- **Flexibilidad:** Usuarios deben poder tener combinaciones únicas de permisos
53+
- **Claridad:** Debe ser obvio QUÉ puede hacer cada usuario
54+
- **Escalabilidad:** Diseño debe soportar crecimiento a 200+ capacidades
55+
- **Mantenibilidad:** Fácil agregar nuevos permisos sin reestructurar todo
56+
- **Experiencia de Usuario:** Nomenclatura humana, no técnica
57+
- **Seguridad:** Auditoría completa, sin gaps de permisos
58+
- **Performance:** Evaluación de permisos < 50ms
59+
- **Sin Jerarquías:** No crear barreras artificiales entre usuarios
60+
61+
---
62+
63+
## Opciones Consideradas
64+
65+
### Opción 1: RBAC Tradicional (Role-Based Access Control)
66+
67+
**Descripción:**
68+
Sistema clásico de roles jerárquicos: Admin > Manager > Supervisor > Agent. Cada rol tiene permisos fijos.
69+
70+
**Pros:**
71+
- Estándar de industria, bien entendido
72+
- Frameworks existentes (Django Groups, etc.)
73+
- Fácil de implementar inicialmente
74+
- Menos tablas en base de datos
75+
76+
**Contras:**
77+
- Jerarquías rígidas no se adaptan a la realidad
78+
- Explosión de roles cuando crecen los permisos
79+
- Un usuario = un rol (inflexible)
80+
- Nomenclatura pretenciosa ("Admin", "Supervisor")
81+
- Dificulta cambios organizacionales
82+
83+
**Ejemplo/Implementación:**
84+
```python
85+
# Usuario tiene UN rol
86+
usuario.rol = "SUPERVISOR"
87+
88+
# Permisos fijos del rol
89+
if usuario.rol == "SUPERVISOR":
90+
permisos = ["ver_todo", "editar_equipo", "aprobar_tickets"]
91+
```
92+
93+
**Razón del rechazo:**
94+
No permite la flexibilidad necesaria. En la práctica, necesitamos usuarios con permisos mixtos (ej: "Coordinador que también hace atención al cliente").
95+
96+
---
97+
98+
### Opción 2: ABAC (Attribute-Based Access Control)
99+
100+
**Descripción:**
101+
Sistema basado en atributos y reglas dinámicas. Permisos se evalúan en runtime basándose en contexto (hora, ubicación, atributos del usuario, etc.).
102+
103+
**Pros:**
104+
- Máxima flexibilidad
105+
- Permisos contextuales (ej: "solo entre 9am-5pm")
106+
- Se adapta a cualquier escenario
107+
- Muy granular
108+
109+
**Contras:**
110+
- Complejidad extrema de implementación
111+
- Performance impact (evaluación en runtime)
112+
- Difícil de debuggear
113+
- Curva de aprendizaje alta
114+
- Overkill para nuestras necesidades
115+
- Difícil auditar "quién tiene qué permiso"
116+
117+
**Ejemplo/Implementación:**
118+
```python
119+
# Regla dinámica
120+
def puede_aprobar_pago(usuario, pago, contexto):
121+
return (
122+
usuario.departamento == "finanzas" and
123+
pago.monto < usuario.limite_aprobacion and
124+
contexto.hora_actual.hour >= 9 and
125+
contexto.hora_actual.hour <= 17 and
126+
not contexto.es_feriado
127+
)
128+
```
129+
130+
**Razón del rechazo:**
131+
Demasiado complejo para nuestras necesidades actuales. La mayoría de nuestros permisos son estáticos, no contextuales.
132+
133+
---
134+
135+
### Opción 3: Grupos Funcionales Sin Jerarquía (ELEGIDA)
136+
137+
**Descripción:**
138+
Sistema de "grupos de permisos" descriptivos que se pueden combinar libremente. No hay jerarquía entre grupos. Un usuario puede tener múltiples grupos simultáneamente.
139+
140+
**Conceptos clave:**
141+
- **Funciones:** Recursos del sistema (dashboards, usuarios, tickets, etc.)
142+
- **Capacidades:** Acciones sobre recursos (ver, crear, editar, eliminar)
143+
- **Grupos:** Colecciones de capacidades con nombres descriptivos
144+
- **Usuarios:** Pueden tener N grupos simultáneos
145+
146+
**Pros:**
147+
- Flexibilidad total: N grupos por usuario
148+
- Nomenclatura descriptiva: "Atención al Cliente", "Gestión de Equipos"
149+
- Sin jerarquías: todos los grupos son iguales
150+
- Escalable: fácil agregar nuevos grupos
151+
- Claro: se ve inmediatamente qué puede hacer cada usuario
152+
- Mantenible: grupos modulares, no monolíticos
153+
- Performance: evaluación simple con vistas SQL
154+
155+
**Contras:**
156+
- Más tablas en base de datos (8 tablas)
157+
- Requiere UI para gestión de grupos
158+
- Posible confusión inicial (no es RBAC tradicional)
159+
- Requiere definir bien los grupos iniciales
160+
161+
**Ejemplo/Implementación:**
162+
```python
163+
# Usuario tiene MÚLTIPLES grupos
164+
usuario.grupos = [
165+
"atencion_cliente",
166+
"gestion_equipos",
167+
"analisis_operativo"
168+
]
169+
170+
# Permisos = UNION de todos los grupos
171+
permisos = []
172+
for grupo in usuario.grupos:
173+
permisos.extend(grupo.capacidades)
174+
175+
# Verificación simple
176+
if "sistema.operaciones.tickets.crear" in permisos:
177+
crear_ticket()
178+
```
179+
180+
**Estructura de Base de Datos:**
181+
```
182+
funciones (19 recursos)
183+
184+
capacidades (~130 acciones)
185+
186+
grupos_permisos (17+ grupos descriptivos)
187+
188+
usuarios_grupos (N:M - múltiples grupos por usuario)
189+
```
190+
191+
**Ejemplos de Grupos:**
192+
- `atencion_cliente` - Operaciones básicas de call center
193+
- `gestion_equipos` - Administración de equipos
194+
- `analisis_operativo` - Métricas y reportes
195+
- `auditoria_llamadas` - Evaluación de calidad
196+
- `gestion_pagos` - Procesamiento financiero
197+
198+
---
199+
200+
## Decisión
201+
202+
**Opción elegida:** "Grupos Funcionales Sin Jerarquía"
203+
204+
**Justificación:**
205+
206+
1. **Flexibilidad real:** Usuarios pueden tener combinaciones únicas de permisos según sus necesidades reales, no forzadas por roles rígidos.
207+
208+
2. **Claridad y experiencia humana:** Nombres descriptivos ("Gestión de Equipos") en lugar de etiquetas jerárquicas ("Supervisor Nivel 2").
209+
210+
3. **Escalabilidad probada:** Fácil agregar nuevos grupos sin afectar existentes. Sistema crece de forma modular.
211+
212+
4. **Sin barreras artificiales:** No hay jerarquía entre grupos. Todos son iguales, solo agrupan capacidades diferentes.
213+
214+
5. **Balance complejidad/beneficio:** Más simple que ABAC, más flexible que RBAC tradicional.
215+
216+
6. **Compatible con sistema actual:** Extiende el sistema de permisos granulares (RF-001 a RF-004) sin romper lo existente.
217+
218+
**Trade-offs aceptados:**
219+
- Más tablas en BD (8 en lugar de 3-4 de RBAC tradicional)
220+
- Requiere UI de gestión de grupos (pero necesitaríamos UI de todas formas)
221+
- No hay jerarquía (pero esto es el objetivo, no un contra)
222+
223+
---
224+
225+
## Consecuencias
226+
227+
### Positivas
228+
229+
- **Flexibilidad total:** Usuarios con permisos exactos que necesitan
230+
- **Sin etiquetas jerárquicas:** Elimina barreras organizacionales artificiales
231+
- **Escalable:** Fácil agregar módulos nuevos (pagos, facturación, etc.)
232+
- **Mantenible:** Grupos modulares, cambios localizados
233+
- **Auditable:** Vista SQL consolidada de permisos efectivos
234+
- **Performance:** Evaluación < 50ms con índices apropiados
235+
- **Experiencia mejorada:** Nomenclatura clara y descriptiva
236+
237+
### Negativas
238+
239+
- **Complejidad inicial:** Requiere definir bien los 17+ grupos iniciales
240+
- **UI necesaria:** No se puede gestionar manualmente con SQL fácilmente
241+
- **Curva de aprendizaje:** Equipo debe entender el modelo nuevo
242+
- **Migración:** Si hay sistema previo, requiere migración de datos
243+
- **Más tablas:** 8 tablas principales vs 3-4 de RBAC tradicional
244+
245+
### Neutrales
246+
247+
- **No es estándar:** No es RBAC puro ni ABAC, es híbrido
248+
- **Documentación custom:** Necesitamos documentar bien el modelo
249+
- **Tests necesarios:** Requiere test suite completo de permisos
250+
251+
---
252+
253+
## Plan de Implementación
254+
255+
1. **Fase 1: Estructura Base (Semana 1)**
256+
- Crear 8 tablas principales en PostgreSQL
257+
- Crear vistas auxiliares (vista_capacidades_usuario, vista_grupos_usuario)
258+
- Crear función usuario_tiene_permiso()
259+
- Insertar datos de prueba
260+
- Validar estructura con queries de verificación
261+
- Timeframe: 1 semana
262+
263+
2. **Fase 2: Funciones Core (Semana 2)**
264+
- Insertar 3 funciones core (usuarios, dashboards, configuración)
265+
- Definir 16 capacidades core
266+
- Crear 3 grupos iniciales (administracion_usuarios, visualizacion_basica, configuracion_sistema)
267+
- Implementar PermissionService en Django
268+
- Crear endpoints API básicos
269+
- Timeframe: 1 semana
270+
271+
3. **Fase 3: Módulos Operativos (Semanas 3-4)**
272+
- Insertar 6 módulos operativos (llamadas IVR, tickets, clientes, métricas, reportes, alertas)
273+
- Definir ~50 capacidades operativas
274+
- Crear 3 grupos operativos
275+
- Integrar con módulos Django existentes (ivr_legacy, reports, analytics)
276+
- Timeframe: 2 semanas
277+
278+
4. **Fase 4: Módulos de Gestión y Finanzas (Semanas 5-6)**
279+
- Crear módulos nuevos (equipos, horarios, evaluaciones, auditoría)
280+
- Crear módulos financieros (pagos, facturas, cobranza)
281+
- Definir ~50 capacidades adicionales
282+
- Crear 8 grupos adicionales
283+
- Timeframe: 2 semanas
284+
285+
5. **Fase 5: Módulos Estratégicos y Finalización (Semanas 7-11)**
286+
- Crear módulos estratégicos (presupuestos, políticas, excepciones)
287+
- UI de gestión de grupos
288+
- Testing completo (unitarios, integración, E2E)
289+
- Documentación de usuario
290+
- Capacitación
291+
- Go-live
292+
- Timeframe: 5 semanas
293+
294+
**Total:** 11 semanas (~2.5 meses)
295+
296+
---
297+
298+
## Validación y Métricas
299+
300+
**Criterios de Éxito:**
301+
- Performance: Evaluación de permisos < 50ms (p95)
302+
- Cobertura: 100% de funcionalidades cubiertas con permisos
303+
- Flexibilidad: 80%+ de usuarios tienen combinaciones únicas de grupos
304+
- Claridad: Encuesta post-implementación > 4/5 en "entiendo mis permisos"
305+
- Escalabilidad: Agregar nuevo módulo < 2 días de trabajo
306+
307+
**Cómo medir:**
308+
- `SELECT AVG(query_time) FROM pg_stat_statements WHERE query LIKE '%usuario_tiene_permiso%'`
309+
- Análisis de combinaciones de grupos en producción
310+
- Encuesta de usuario post-capacitación
311+
- Tiempo de implementación de nuevos módulos
312+
313+
**Revisión:**
314+
- Fecha de revisión programada: 2026-02-07 (3 meses post-implementación)
315+
- Responsable de seguimiento: equipo-backend
316+
317+
---
318+
319+
## Alternativas Descartadas
320+
321+
### ACL (Access Control Lists)
322+
323+
**Por qué se descartó:**
324+
- Demasiado granular a nivel individual
325+
- No escala bien con 100+ usuarios
326+
- Difícil mantener consistencia
327+
- No proporciona agrupaciones lógicas
328+
329+
### Hybrid RBAC + ACL
330+
331+
**Por qué se descartó:**
332+
- Complejidad de tener dos sistemas simultáneos
333+
- Confusión sobre cuál usar cuando
334+
- Mantenimiento de dos modelos
335+
336+
---
337+
338+
## Referencias
339+
340+
- [ISO/IEC/IEEE 29148:2018 - Requirements Engineering](https://www.iso.org/standard/72089.html)
341+
- [OWASP ASVS - Authentication and Access Control](https://owasp.org/www-project-application-security-verification-standard/)
342+
- [NIST RBAC Model](https://csrc.nist.gov/projects/role-based-access-control)
343+
- [PostgreSQL Row Security Policies](https://www.postgresql.org/docs/current/ddl-rowsecurity.html)
344+
- [Django Permission System](https://docs.djangoproject.com/en/stable/topics/auth/default/)
345+
- Documento: `docs/backend/requisitos/INDICE_MAESTRO_PERMISOS_GRANULAR.md`
346+
- Documento: `docs/backend/requisitos/prioridad_01_estructura_base_datos.md`
347+
348+
---
349+
350+
## Notas Adicionales
351+
352+
- **Fecha de discusión inicial:** 2025-11-04
353+
- **Participantes:** equipo-backend (3 personas), equipo-ba (1 persona), arquitecto-principal
354+
- **Experimentos realizados:**
355+
- POC con Django Groups tradicionales (rechazado por inflexibilidad)
356+
- POC con django-guardian (rechazado por complejidad object-level)
357+
- Benchmark de performance: 3 niveles de evaluación < 10ms
358+
- **Decisiones relacionadas:**
359+
- ADR-2025-002: Suite de Calidad de Código
360+
- ADR-2025-003: DORA Metrics Integration
361+
- ADR-2025-004: Centralized Log Storage (para auditoría)
362+
363+
---
364+
365+
**Documento:** ADR-2025-005
366+
**Fecha:** 07 de Noviembre, 2025
367+
**Estado:** Aceptada
368+
**Próxima revisión:** 2026-02-07

0 commit comments

Comments
 (0)