Role a oprávnění

Systém rolí a oprávnění v mWork365 umožňuje flexibilní správu přístupových práv uživatelů.

Přehled

Každý uživatel má přiřazenu jednu nebo více rolí, které definují:

👁️ Co může vidět
✏️ Co může upravovat
➕ Co může vytvářet
🗑️ Co může mazat
⚙️ Jaká nastavení může měnit

Standardní role

🔧 Administrátor

Oprávnění:

✅ Úplná kontrola nad celým systémem
✅ Správa uživatelů - přidávání, úprava, mazání
✅ Nastavení systému - konfigurace, integrace
✅ Správa rolí - vytváření a úprava rolí
✅ Audit log - zobrazení všech aktivit
✅ Veškerá data - přístup ke všem záznamům

Typické použití:

IT správci
Majitelé společnosti
Administrátoři systému

📋 Manažer

Oprávnění:

Zákazníci:

✅ Zobrazit všechny
✅ Vytvořit nové
✅ Upravit existující
✅ Deaktivovat
❌ Smazat

Zakázky:

✅ Zobrazit všechny
✅ Vytvořit nové
✅ Upravit všechny
✅ Přiřazovat technikům
✅ Měnit stavy
❌ Smazat dokončené

Plánování:

✅ Zobrazit rozvrh všech techniků
✅ Přiřazovat a přesouvat zakázky
✅ Upravovat plán

Reporty:

✅ Zobrazit všechny reporty
✅ Exportovat data
✅ Vytvářet vlastní reporty

Nastavení:

✅ Zobrazit základní nastavení
❌ Měnit systémová nastavení
❌ Spravovat uživatele

Typické použití:

Dispečeři
Vedoucí týmů
Account manageři

👷 Technik

Oprávnění:

Zákazníci:

✅ Zobrazit přiřazené
❌ Vytvářet nové
❌ Upravovat
❌ Mazat

Zakázky:

✅ Zobrazit přiřazené zakázky
✅ Zahájit/ukončit práci
✅ Vyplňovat formuláře
✅ Přidávat fotografie a poznámky
✅ Zaznamenávat materiál
❌ Vytvářet nové zakázky
❌ Měnit přiřazení

Plánování:

✅ Zobrazit vlastní rozvrh
❌ Zobrazit rozvrh ostatních
❌ Měnit plánování

Reporty:

✅ Vlastní výkonnost
❌ Reporty ostatních

Typické použití:

Technici v terénu
Servisní pracovníci
Instalatéři

Vlastní role

Vytvoření vlastní role

Přejděte do Nastavení → Role a oprávnění
Klikněte na + Nová role
Zadejte:
- Název role (např. “Dispečer”, “Fakturant”)
- Popis role
- Barvu pro vizuální rozlišení
Vyberte oprávnění (viz níže)
Klikněte na Vytvořit roli

Kategorie oprávnění

Zákazníci

customers.view.all - Zobrazit všechny zákazníky
customers.view.assigned - Zobrazit pouze přiřazené
customers.create - Vytvářet nové
customers.edit - Upravovat existující
customers.delete - Mazat zákazníky
customers.export - Exportovat data

Zakázky

orders.view.all - Zobrazit všechny zakázky
orders.view.assigned - Zobrazit pouze přiřazené
orders.create - Vytvářet nové zakázky
orders.edit.all - Upravovat všechny zakázky
orders.edit.assigned - Upravovat pouze přiřazené
orders.delete - Mazat zakázky
orders.assign - Přiřazovat technikům
orders.change_status - Měnit stavy

Plánování

planning.view.all - Zobrazit rozvrh všech
planning.view.own - Zobrazit vlastní rozvrh
planning.edit - Upravovat plánování
planning.optimize - Používat optimalizaci tras

Servisní objekty

assets.view - Zobrazit
assets.create - Vytvářet
assets.edit - Upravovat
assets.delete - Mazat

Uživatelé

users.view - Zobrazit uživatele
users.create - Vytvářet uživatele
users.edit - Upravovat uživatele
users.delete - Mazat uživatele
users.manage_roles - Spravovat role

Reporty

reports.view.all - Zobrazit všechny reporty
reports.view.own - Vlastní reporty
reports.create - Vytvářet reporty
reports.export - Exportovat data

Nastavení

settings.view - Zobrazit nastavení
settings.edit - Upravovat nastavení
settings.forms - Spravovat formuláře
settings.integrations - Spravovat integrace

Fakturace

invoices.view - Zobrazit faktury
invoices.create - Vytvářet faktury
invoices.edit - Upravovat faktury
invoices.send - Odesílat faktury

Příklady vlastních rolí

Dispečer

Účel: Přijímá objednávky a plánuje zakázky

Oprávnění:

✅ customers.view.all
✅ orders.view.all
✅ orders.create
✅ orders.edit.all
✅ orders.assign
✅ planning.view.all
✅ planning.edit
❌ Bez přístupu k nastavení a financím

Vedoucí týmu

Účel: Řídí konkrétní tým techniků

Oprávnění:

✅ customers.view.all
✅ orders.view.all
✅ orders.create
✅ orders.assign (pouze svému týmu)
✅ planning.view.all (pouze svůj tým)
✅ planning.edit (pouze svůj tým)
✅ reports.view.all (pouze svůj tým)

Fakturant

Účel: Správa faktur a plateb

Oprávnění:

✅ customers.view.all
✅ orders.view.all (read-only)
✅ invoices.view
✅ invoices.create
✅ invoices.edit
✅ invoices.send
✅ reports.view.all (finanční)
❌ Bez úprav zakázek a plánování

Senior technik

Účel: Zkušený technik s rozšířenými právy

Oprávnění:

✅ customers.view.all
✅ orders.view.all (všechny zakázky)
✅ orders.view.assigned (upravovat pouze přiřazené)
✅ orders.create (může vytvářet následné zakázky)
✅ assets.view
✅ assets.edit (může aktualizovat servisní objekty)

Vícenásobné role

Přiřazení více rolí

Jeden uživatel může mít více rolí současně:

Příklad:

Uživatel: Jan Novák
Role:
  - Manažer
  - Senior technik

Výsledná oprávnění:

Sjednocení všech oprávnění
Má práva z obou rolí
Může pracovat jako manažer i technik

Použití

Typické kombinace:

Manažer + Technik - může plánovat i vykonávat
Administrátor + Manažer - plná kontrola + běžná práce
Vedoucí týmu + Senior technik - řídí tým i pracuje v terénu

Hierarchie oprávnění

Pravidla přístupu

Nejméně privilegovaný přístup - uživatel má pouze nutná oprávnění
Explicitní povolení - vše je zakázáno, pokud není povoleno
Sjednocení rolí - více rolí = sjednocení oprávnění
Žádné odebírání - role pouze přidávají oprávnění, neodebírají

Dědičnost

Administrátor
  └─ Všechna oprávnění

Manažer
  ├─ Zákazníci (vše kromě smazání)
  ├─ Zakázky (vše)
  ├─ Plánování (vše)
  └─ Reporty (vše)

Technik
  ├─ Vlastní rozvrh
  ├─ Přiřazené zakázky
  └─ Vlastní reporty

Omezení podle dat

Filtrování dat podle role

Můžete omezit přístup k datům:

Podle týmu

Technik vidí pouze:
- Zákazníky svého týmu
- Zakázky svého týmu

Podle oblasti

Manažer Praha vidí pouze:
- Zákazníky z oblasti Praha
- Zakázky v Praze

Podle typu

Specialista klimatizace vidí pouze:
- Zakázky typu "Klimatizace"

Nastavení omezení

Upravte uživatele
Sekce Omezení přístupu
Vyberte:
- Tým
- Oblast
- Typ zakázek
- Kategorie zákazníků
Uložte

Bezpečnostní politiky

Hesla

Administrátor může nastavit:

✅ Minimální délka hesla
✅ Složitost (velká/malá písmena, čísla, znaky)
✅ Expirace hesla (např. 90 dní)
✅ Historie hesel (zamezení opakování)
✅ Uzamčení účtu (po X neúspěšných pokusech)

Dvoufaktorové ověření (2FA)

Vyžadování 2FA:

Pro všechny uživatele
Pouze pro administrátory
Pouze pro manažery
Volitelné

Časové omezení přístupu

Omezit přihlášení podle:

Pracovní doby (např. 7:00-19:00)
Pracovní dny (Po-Pá)
IP adres (whitelist)

Audit a monitoring

Audit log

Sledování aktivit uživatelů:

🔍 Kdo se kdy přihlásil
📝 Kdo co upravil
🗑️ Kdo co smazal
⚙️ Změny nastavení

Přístup k audit logu

Pouze administrátoři mohou:

Zobrazit audit log
Exportovat záznamy
Filtrovat aktivity

Best practices

Správa rolí

✅ Doporučujeme:

Používejte princip nejmenšího oprávnění
Pravidelně kontrolujte přiřazené role
Vytvořte role podle funkcí, ne lidí
Dokumentujte účel každé role
Testujte nové role před nasazením

❌ Nedoporučujeme:

Dávat všem administrátorská práva
Vytvářet role pro konkrétní osoby
Příliš granulární oprávnění
Zanechávat neaktivní uživatele s právy

Onboarding nových uživatelů

Určete funkci uživatele
Přiřaďte odpovídající roli
Případně omezte přístup k datům
Proškolte uživatele
Zkontrolujte po zkušební době

Offboarding

Při odchodu uživatele:

Deaktivujte účet (nemazat!)
Odeberte všechna oprávnění
Přesuňte jeho zakázky
Archivujte data

Často kladené otázky

Můžu mít vlastní oprávnění mimo role?

Ne, oprávnění se nastavují pouze prostřednictvím rolí.

Co když potřebuji dočasně rozšířit oprávnění?

Dočasně přiřaďte uživateli další roli, po skončení ji odeberte.

Jak zamezit přístupu k citlivým datům?

Používejte omezení přístupu k datům podle týmu nebo oblasti.

Můžu vytvořit neomezeně rolí?

Ano, počet rolí není omezen. Doporučujeme však nepřekombinovat.

Související dokumentace

Nenašli jste co jste hledali a stále potřebujete pomoc?
Kontaktujte podporu prostřednictvím chatu v aplikaci.