System 
Säkerhet 
Process Specifika rättigheter utöver grupp-behörigheten — finkornig kontroll.
Där användargruppen sätter den grova behörighetsnivån (Ekonom, Attestant, etc.) ger roller specifika tilläggsrättigheter som inte hör hemma i en bred gruppdefinition. Det är finjusterings-axeln av behörighetsmodellen.
Vanliga roller
| Roll | Vad den ger |
|---|---|
AmberAdmin | Superadmin — alla rättigheter, syns även i Dold-fakturor |
GDPRAdmin | Får anonymisera personuppgifter i GDPR-fönstret |
SpreadsheetAdmin | Får skapa och ändra Kalkylrapport-mallar |
BluffAdmin | Får ändra bluffvarningar och justera leverantörskontroller |
AttestThresholdAdmin | Får ändra attestbelopps-trösklar |
MenuAdmin | Får ändra menystrukturen |
Inte hierarkiska
Roller är inte hierarkiska. En användare kan ha flera roller och de kombineras. En person kan vara både SpreadsheetAdmin och GDPRAdmin utan att den ena innebär den andra.
Granulär nog för att vara säker
Tanken är att vanliga ekonomer inte ska ha alla rättigheter. Vill ekonomichefen att en specifik person kan ändra Kalkylrapport-mallar — bara den personen får SpreadsheetAdmin. Alla andra ekonomer kan fortfarande se mallarna men inte ändra dem.
Osynligt snarare än spärrat
I varje fönster där en känslig åtgärd kan göras kontrolleras rollerna automatiskt. Knappar och menyalternativ försvinner helt för användare som saknar rätt roll. Inte bara “felmeddelande vid klick” — funktionen är osynlig från start. Det är säkrare och mindre frustrerande än att visa något man inte får använda.
Audit-spår
Tilldelning och borttagning av roller loggas i audit-spåret. Vid revision kan man se exakt när en person fick eller förlorade en specifik roll, och av vem.
Hantering vid offboarding
När en användare lämnar — ta bort rollerna före inaktivering. Det säkerställer att ingen kvarvarande rättighet finns kvar om kontot återaktiveras senare.