System 
Säkerhet 
Process Specifika rättigheter utöver grupp-behörigheten — finkornig kontroll.
Där användargruppen sätter den grova behörighetsnivån (Ekonom, Attestant, etc.) ger roller specifika tilläggsrättigheter som inte hör hemma i en bred gruppdefinition. Det är finjusterings-axeln av behörighetsmodellen.
Vanliga roller
| Roll | Vad den ger |
|---|---|
AmberAdmin | Superadmin — alla rättigheter, syns även i Dold-fakturor |
GDPRAdmin | Får anonymisera personuppgifter i GDPR-fönstret |
SpreadsheetAdmin | Får skapa och ändra Kalkylrapport-mallar |
BluffAdmin | Får ändra bluffvarningar och justera leverantörskontroller |
AttestThresholdAdmin | Får ändra attestbelopps-trösklar |
MenuAdmin | Får ändra menystruktur (SY_Meny) |
Inte hierarkiska
Roller är inte hierarkiska. En användare kan ha flera roller och de kombineras. En person kan vara både SpreadsheetAdmin och GDPRAdmin utan att den ena innebär den andra.
Granulär nog för att vara säker
Tanken är att vanliga ekonomer inte ska ha alla rättigheter. Vill ekonomichefen att en specifik person kan ändra Kalkylrapport-mallar — bara den personen får SpreadsheetAdmin. Alla andra ekonomer kan fortfarande se mallarna men inte ändra dem.
Kontroll i koden
I varje fönster där en känslig åtgärd kan göras kollar koden:
If SY_Roles.HasRole("GDPRAdmin") Then
btnAnonymisera.Visible = True
End IfKnappar och menyalternativ försvinner för användare som saknar rollen. Inte bara “felmeddelande” — funktionen är osynlig.
Audit-spår
Tilldelning och borttagning av roller loggas i SY_Audit. Vid revision kan man se exakt när en person fick eller förlorade en specifik roll, och av vem.
Hantering vid offboarding
När en användare lämnar — ta bort rollerna före inaktivering. Det säkerställer att ingen kvarvarande rättighet finns kvar om kontot återaktiveras senare.