Un usuario autorizado del tenant, con acceso vigente al sistema UMS, debe poder delegar a otro usuario del mismo tenant capacidades limitadas de gestión de UMS. Esta delegación permite operar tareas administrativas sin abrir escalamiento de privilegios ni administración cross-tenant.
La delegación aplica únicamente al scope interno de UMS y debe mantenerse dentro de los permisos originales del delegante.
Organization, Department, System o Team si esos scopes no están habilitados explícitamente para esta historia.| Actor | Responsabilidad |
|---|---|
| Delegante | Concede, modifica o revoca una delegación limitada dentro de su propio alcance UMS. |
| Receptor | Ejecuta acciones de gestión UMS dentro de los permisos delegados y del tenant correspondiente. |
| Aprobador autorizado | Aprueba la delegación cuando la política del tenant lo exige. |
| Administrador superior autorizado | Puede revocar o suspender delegaciones por control o seguridad. |
| Auditor | Verifica quién delegó, qué se delegó, cuándo, por cuánto tiempo y bajo qué resultado. |
Si el delegante intenta otorgar un permiso que no tiene en su perfil efectivo, el sistema rechaza la operación.
Si el receptor no pertenece al mismo tenant, está bloqueado, desactivado o no cumple la elegibilidad definida, el sistema rechaza la delegación.
Si la política del tenant exige aprobación, la delegación permanece pendiente hasta obtener decisión final. La aprobación puede aceptar, limitar o rechazar la solicitud.
Si el delegante pierde permisos, se desactiva, cambia de perfil o pierde acceso vigente a UMS, las delegaciones derivadas deben revisarse, suspenderse o revocarse según la regla definida por la política del tenant.
Si la operación produce auto-delegación, ciclo de delegación o encadenamiento inseguro, el sistema la rechaza.
| Regla | Descripción |
|---|---|
| BR-01 | La delegación solo aplica al scope interno de UMS dentro del tenant. |
| BR-02 | No se permite delegación cross-tenant. |
| BR-03 | El delegante solo puede delegar permisos que ya posee en su perfil UMS efectivo. |
| BR-04 | El receptor debe pertenecer al mismo tenant y ser elegible para recibir permisos UMS. |
| BR-05 | La delegación no puede otorgar más autoridad que la del delegante. |
| BR-06 | Toda delegación debe ser trazable por tenant, delegante, receptor, permisos delegados, vigencia y estado. |
| BR-07 | La delegación puede requerir aprobación según la política o sensibilidad del permiso. |
| BR-08 | Toda creación, modificación, aprobación, activación, rechazo, revocación, suspensión o expiración debe quedar auditada. |
| BR-09 | La delegación debe poder revocarse por el delegante o por un administrador superior autorizado. |
| BR-10 | Deben prevenirse ciclos, auto-delegación y escalamiento inseguro. |
| BR-11 | Si el delegante pierde acceso o permisos, las delegaciones derivadas deben revisarse o suspenderse. |
| BR-12 | La delegación puede limitarse adicionalmente por tiempo. |
| # | Criterio de Aceptación |
|---|---|
| 1 | El sistema permite delegar gestión UMS solo dentro del mismo tenant. |
| 2 | El sistema impide la delegación cross-tenant. |
| 3 | El sistema impide que el delegado reciba permisos que el delegante no posee. |
| 4 | El receptor solo obtiene capacidades UMS explícitamente delegadas. |
| 5 | La delegación puede requerir aprobación cuando la política del tenant lo define. |
| 6 | El delegante puede modificar la delegación sin exceder su propio alcance. |
| 7 | La delegación puede ser revocada por el delegante o por un administrador superior autorizado. |
| 8 | La delegación queda auditada en todas sus transiciones de estado. |
| 9 | El sistema previene auto-delegación, ciclos y escalamiento inseguro. |
| 10 | Si el delegante pierde acceso o permisos, las delegaciones derivadas se revisan o se suspenden según la política. |
UserManagementDelegation, debe alinearse a este alcance mínimo: tenant, usuario delegante, usuario receptor, permisos UMS delegados, aprobación, auditoría y revocación.| Tipo | Referencias |
|---|---|
| Entidades | UserManagementDelegation, UserAccount, Profile |
| Permisos UMS relacionados | Gestión de usuarios, bloqueo/revocación, asignación de perfiles, modificación de permisos permitidos |
| Eventos de dominio | Creación, modificación, aprobación, activación, rechazo, revocación y expiración de la delegación |
| Historias relacionadas | FS-10, FS-12, FS-21, FS-22, FS-24 |
| ADRs | ADR-0038, ADR-0044 |