Ir al contenido principal

📘 Gestión de Grupos y usuarios e invitados

Actualizado hace más de 3 semanas

1. Introducción

Hybo permite gestionar el acceso y las capacidades de los usuarios a través de roles, grupos, y ámbitos (ambits).
Además, Hybo combina dos orígenes de grupos para otorgar permisos:

  1. Azure Entra ID Groups → Grupos corporativos administrados desde el tenant Microsoft del cliente.

  2. Hybo B2C Groups → Grupos internos administrados en el Panel de Administración de Hybo.

Este documento explica cómo funciona cada sistema, cómo influyen en los permisos de la plataforma y cómo deben gestionarse correctamente.

2. Conceptos clave de permisos en Hybo

Hybo utiliza una relación jerárquica simple:

Roles → Grupos → Usuarios

  • Un rol describe qué acciones puede realizar un conjunto de usuarios.

  • Un grupo agrupa usuarios que comparten un comportamiento o permiso.

  • Los usuarios pertenecen a uno o más grupos, que a su vez tienen uno o más roles asignados.

De esta forma:

  • No asignas permisos a usuarios → se asignan a grupos.

  • No asignas grupos a roles → se asignan roles a grupos.

  • Los usuarios heredan permisos del grupo al que pertenecen.

3. Tipos de grupos en Hybo

Hybo trabaja con dos tipos de grupos:

3.1. Grupos de Azure Entra ID (corporativos)

✔️ Se administran en Azure, no en Hybo.
✔️ Se utilizan especialmente cuando el cliente usa Microsoft SSO.
✔️ Hybo solo consume esta información durante el login.

✔️ Permiten funcionalidades avanzadas:

  • Permisos sobre módulos

  • Permisos por sedes o edificios

  • Preferencias para algoritmos (parking, escritorios, etc.)

  • Penalizaciones por grupo

  • Reserva anticipada

  • Gestión granular de administradores

Cómo funcionan:

  1. El usuario inicia sesión con Microsoft.

  2. Hybo pregunta a Azure si ese usuario pertenece a algún grupo configurado para Hybo.

  3. Si pertenece, Hybo permite el acceso y crea/actualiza al usuario en nuestra base interna.

  4. Si no pertenece, se deniega el acceso a Hybo.

Importante sobre usuarios invitados (Microsoft Guest Users)

Los usuarios invitados (“B2B Guest Users”) pueden iniciar sesión solo si:

  • Están correctamente invitados al tenant del cliente

  • Deben pertenecen a los grupos de Entra ID válidos para Hybo

  • Tipoo Login:

    • Microsoft: la empresa externa autorizó a Hybo como app corporativa en su tenant siempre

    • Custom: deben finalizar la creación de cuenta cuando les llega el correo de invitados.

Importante:
Los usuarios invitados NO pueden usar Microsoft SSO para entrar en Hybo a menos que su organización autorice explícitamente a Hybo como aplicación.
Por defecto → deben entrar mediante Custom Login (Hybo B2C).

3.2. Grupos Hybo B2C

✔️ Se administran desde Hybo → Permissions → Groups
✔️ Son independientes del sistema corporativo del cliente
✔️ Permiten funcionalidades avanzadas:

  • Crear todos los grupos que necesiten desde el Admin

  • Permisos sobre módulos

  • Permisos por sedes o edificios

  • Preferencias para algoritmos (parking, escritorios, etc.)

  • Penalizaciones por grupo

  • Reserva anticipada

  • Gestión granular de administradores

Cómo funcionan:

  1. Usuario debe loguearse por primera vez para poder ser añadido a un grupo y a la BBDD de Hybo.

  2. Los grupos por defecto sera "User"en caso de darle permisos de "Admin" debe ser modificado manualmente en el ADMIN.

  3. Los usuarios se asignan manualmente a estos grupos desde Hybo.

Importante:

Esta asignación de grupos y permisos tiene zero dependencia con Entra ID

3.2.1 Crear y gestionar grupos Hybo B2C

📍 Ruta:
Permissions → Groups

Para crear un grupo:

  1. Haz clic en Add Group

  2. Define:

    • Prefix (nombre técnico)

    • Display Name

  3. Añade usuarios desde la pestaña Users

  4. Opcional: habilita Ambits (ámbitos)

  5. Asigna los roles correspondientes

4. Ámbitos (Ambits)

Los ámbitos permiten limitar los permisos de un grupo a:

  • Por oficina

  • Por edificio

  • Por módulo específico (ej: Parking, Desk, Rooms)

  • Por Zonas

  • Por Planta

📍 Aparecen al editar un grupo:
Pestaña Basic Information → Add ambits

Ejemplos:

Grupo

Ámbito

Comportamiento

Managers Barcelona

Office = Barcelona

Permisos aplican solo a esa sede

Parking Supervisors Roma

Module = Parking, Office = Roma

Administran solo el parking de Roma

RRHH

Global

Acceso completo a información transversal

5. Usuarios: cómo se asignan y qué permisos heredan

Los usuarios no tienen permisos propios.
Siempre heredan permisos desde los grupos a los que pertenecen.

📍 Para asignarlos:
Permissions → Groups → Edit Group → Users

Reglas clave:

  • Un usuario puede estar en varios grupos

  • La suma de roles de esos grupos define sus permisos finales

  • La primera vez que el usuario inicia sesión (Microsoft, Google o Custom), se crea internamente en la base de Hybo

  • Si se elimina de un grupo → tiene que re loguear para perder los permisos o pasado 1 hr se auto renuevan

  • Si se elimina del tenant Microsoft → no podrá iniciar sesión aunque siga en un grupo Hybo B2C

6. Comportamiento de usuarios invitados

Es el método recomendado cuando:

  • Una empresa externa participa ocasionalmente

  • Un proveedor necesita acceso puntual

6.1 Invitados via Grupos Entra ID con Login SSO Microsoft

✔️ Pueden iniciar sesión en Hybo solo si:

  • Fueron invitados al tenant del cliente,

  • Pertenecen a un grupo Entra ID autorizado,

  • La empresa del usuario autorizó la aplicación Hybo en su propio tenant. (ver autorización Microsoft APP)

✔️ Beneficios:

  • La seguridad del login de los externos es de Microsoft/Google

  • Se gestionan los Grupos con Entra ID

Cómo funcionan:

  1. No requiere invitación simpelente deben entrar a app.hybo.app via Login Micro

Importante:

  • Requiere que el usuario de forma obligatoria sea invitado en el tenante del cliente a los Grupos de Entra ID para que pueda loguearse.

  • Si su empresa NO autoriza Hybo → el login de microsoft fallara, es por ello que se recomienda login custom para esto casos.

6.2 Invitados vía Grupos Entra ID con Login Custom

✔️ Pueden iniciar sesión en Hybo solo si:

  • Fueron invitados al tenant del cliente,

  • Pertenecen a un grupo Entra ID autorizado.

✔️ Beneficios:

  • Se quiere evitar dependencias IT externas

  • El cliente gestiona permisos con Entra ID

  • No necesita autorizar Hybo como aplicación en el tenante del invitado

Cómo funcionan con dominios autorizados:

  1. No requiere invitación simpelente deben entrar a app.hybo.app y hacer sign un

  2. Si el usuario esta correctamente dado de alta en ENTRA ID con sus grupos y permisos no hara falta mas gestion.

PROXIMAMENTE - Cómo funcionan sin restricción de Domain:

  1. Requiere invitación desde el Admin.hybo.app

  2. Se envia un correo al invitado para que se logue y cambie sus credenciales

Importante:

Si el entorno tiene restricción de dominios asegurar de agergar los dominios nuevos o no tener restricción de dominios contactar con [email protected]

6.3 Invitados vía Hybo Groups con Login Custom

✔️ Pueden iniciar sesión en Hybo solo si:

  • Fueron invitados al tenant del cliente o realizan sign up cuando tengan un dominio autorizado.

✔️ Beneficios:

Es el método recomendado cuando:

  • Se quiere evitar dependencias IT externas

  • El cliente no quiere gestionar invitados en Entra ID

  • No depende de Microsoft ni de Google

  • No necesita autorizar Hybo como aplicación

  • Totalmente gestionado desde Hybo

Cómo funcionan:

  1. Debe ser invitado desde el admin.hybo.app o realizar Sign up

  2. Se envia un correo al invitado para que se logue y cambie sus credenciales

Artículos relacionados
🔑🧠 Integración con Dorlet para accesos inteligentes
🔐 Integración de Hybo con Azure Active Directory (AAD)
👥📅 Gestión de Visitas
Gestionar visitas en el panel de administración
Gestionar visitas como anfitrión y como invitado
¿Ha quedado contestada tu pregunta?