Equipo y roles
Invitar usuarios, matriz RBAC (admin/director/csm/viewer), SSO/SAML y asignación de carteras.
Esta página cubre cómo dejar a tu equipo operando dentro de LealUp con los permisos correctos.
Los 4 roles
LealUp tiene 4 roles de aplicación. Cada rol tiene un set de permisos por feature (ver matriz abajo).
| Rol | Para quién | Puede hacer |
|---|---|---|
| admin | Quien configura y mantiene la plataforma | Todo. Crear/editar/borrar clientes, playbooks, modelo de salud, campos, integraciones, usuarios. |
| director | Head of CS, CSO, CS Ops | Ver toda la cartera, editar salud y playbooks, ver dashboards agregados, exportar. No edita clientes directamente (para eso hay CSM). |
| csm | Customer Success Managers | Ver y editar los clientes de su cartera, ejecutar playbooks, registrar actividad, ver su dashboard personal. |
| viewer | Stakeholders externos, auditoría, sales | Solo lectura sobre todo lo que tiene acceso. No edita nada. |
Matriz de permisos (completa)
Los permisos están definidos por feature × acción. Las features que LealUp controla:
customer_360, health_scoring, segments, playbooks,
notifications, renewals, dashboard, data_export,
team_management, analytics, custom_fieldsLas acciones: view, create, update, delete, config, execute, personalize, export.
Resumen por rol
| Feature | Admin | Director | CSM | Viewer |
|---|---|---|---|---|
| Customer 360 | full | view | view+edit (cartera) | view |
| Health scoring | full | view+config | view | view |
| Segments | full | view+config | view | view |
| Playbooks | full | view+config+execute | view+execute | view |
| Renewals | full | view+config | view | view |
| Dashboard | full | full | view+personalize | view |
| Data export | full | export | export (propia) | — |
| Team management | full | view | — | — |
| Analytics | full | view+config | — | view |
| Custom fields | full | view | view+update | view |
La matriz detallada está en el código (backend/app/core/permissions.py). Si necesitas un rol custom, actualmente no es configurable por UI — contacta soporte para plan Scale/Enterprise.
Invitar usuarios
Admin → Equipo → Invitar
- Ingresa email y rol.
- Opcionalmente asigna cartera inicial (qué clientes va a ver/editar este CSM).
- Click Enviar invitación — llega un email con link único al subdominio de tu workspace.
Los invitados aceptan, completan su perfil (nombre, timezone, idioma) y quedan activos.
Bulk invite
Si vas a invitar a 10+ personas:
- Admin → Equipo → Importar CSV con columnas
email,role,territory_id(opcional). - Cada fila se procesa como una invitación individual.
- Los errores (email inválido, rol no reconocido) se reportan al final.
Asignación de carteras
Cada cliente tiene un owner principal (un solo CSM) y opcionalmente co-owners.
Formas de asignar:
1. Asignación manual
En la ficha del cliente → menú ••• → Cambiar owner → seleccionar CSM.
2. Asignación por reglas
Admin → Equipo → Reglas de asignación
Ej. "Todos los clientes con segmento Enterprise LATAM y ARR > $50k → owner = Maria".
Las reglas se evalúan al crear el cliente o cuando cambia un campo involucrado.
3. Round-robin
Distribución automática equitativa entre CSMs de un territorio. Configurable por segmento.
Rebalancear
Si un CSM deja la empresa o cambia de rol, Admin → Equipo → Rebalancear permite reasignar masivamente su cartera a otros CSMs (por reglas o manual).
SSO / SAML
Admin → Seguridad → SSO
LealUp soporta OIDC y SAML 2.0 con:
- Google Workspace — OIDC automático con domain verification.
- Microsoft Entra ID (Azure AD) — SAML 2.0.
- Okta — OIDC o SAML.
- Auth0 — OIDC.
- Custom IdP — OIDC genérico (requiere issuer URL + client credentials).
Activar SSO
- Admin → Seguridad → SSO → Configurar → elegir proveedor.
- Ingresar metadatos del IdP (issuer URL, cert, ACS URL).
- Test con tu propio usuario.
- Forzar SSO — una vez testeado, activa "Forzar login via SSO". A partir de ahí, los usuarios no pueden login por password.
JIT provisioning
Cuando un usuario nuevo hace login via SSO con email de tu dominio, se crea automáticamente con rol viewer (configurable por grupo del IdP).
Mapping de grupos
Si tu IdP envía claims de grupos, puedes mapear:
- Grupo
[email protected]→ roldirector. - Grupo
[email protected]→ rolcsm. - Grupo
[email protected]→ rolviewer.
Los cambios de grupo en el IdP se reflejan al siguiente login.
MFA obligatorio
Admin → Seguridad → MFA
- Opcional (default) — cada usuario decide activarlo.
- Obligatorio para admins — solo fuerza para el rol admin.
- Obligatorio para todos — fuerza para todos los usuarios.
Métodos soportados: TOTP (Google Authenticator, Authy, 1Password), security keys (WebAuthn), SMS (no recomendado).
Audit log
Admin → Audit log
Todas las acciones sensibles se registran:
- Login / logout / fallo de login.
- Cambios de rol.
- Invitaciones y remociones.
- Modificación del modelo de salud.
- Exports.
- Eliminación de clientes.
Consultable por usuario, fecha, acción. Exportable a CSV/JSON.
Remover usuarios
Admin → Equipo → [usuario] → Desactivar
- El usuario pierde acceso inmediato.
- Su cartera queda en limbo hasta que la reasignes (LealUp te avisa al desactivar).
- Los emails/notas que dejó quedan visibles, atribuidos a él.
- Puedes reactivarlo en cualquier momento.
Eliminar definitivamente es distinto — requiere confirmación doble y borra el perfil. Los emails quedan atribuidos a "Usuario eliminado". Solo disponible para cumplimiento GDPR.
Buenas prácticas
- 1 admin primario + 1 backup. No dejes un solo admin — si se va, alguien debe poder tomar el control.
- Revisar audit log cada semana los primeros 2 meses post-deploy.
- Renombrar grupos SSO con prefijos claros (
lealup-) para que sean obvios al mantener. - Rotar credenciales cada 180 días si usas OIDC con client secret.