Questo articolo spiega come funziona il controllo degli accessi nelle Organizzazioni, chi può fare cosa e su quali account. Per capire come le policy di approvazione regolano tali azioni, consulta Policy, approvazioni e governance. Per una panoramica di alto livello, consulta Informazioni sulle Organizzazioni.
L'accesso nelle Organizzazioni si basa su due livelli:
Le autorizzazioni definiscono cosa un Membro è autorizzato a fare e su quali account.
Le policy determinano se un'azione viene completata immediatamente o deve prima essere approvata da altri Membri.
L'accesso effettivo di un Membro dipende da entrambi i livelli. Le autorizzazioni determinano cosa può fare un Membro; la policy del flusso di lavoro determina se l'azione viene completata immediatamente o richiede prima un'approvazione indipendente.
Puoi consentire ad alcuni Membri di completare immediatamente le azioni, mentre richiedi a tutti gli altri di passare attraverso un'approvazione, oppure richiedere l'approvazione per ogni richiesta, indipendentemente da chi la avvia.
Per capire come funzionano le policy e le approvazioni, consulta Policy, approvazioni e governance.
Le autorizzazioni definiscono ciò che un Membro è autorizzato a fare. Si dividono in due categorie in base all'ambito di accesso che definiscono.
Le autorizzazioni dell'account definiscono quali azioni un Membro può eseguire e su quali account. Ogni concessione è limitata a un account specifico — l'accesso a un account non si estende a un altro. Durante la fase Beta, è disponibile un solo account — consulta Limitazioni della Beta. L'accesso effettivo è una combinazione della concessione dell'autorizzazione, dell'ambito dell'account e della policy del flusso di lavoro.
Autorizzazione | Cosa consente |
|---|---|
Trade | Piazzare e gestire ordini sui mercati Spot e Margin |
Earn: Alloca | Allocare asset nei prodotti Earn (staking e rendimento) |
Earn: Disalloca | Disallocare (togliere dallo staking) asset dai prodotti Earn |
Le autorizzazioni dell'account hanno effetto immediato per le operazioni di trading e Earn. Man mano che il supporto multi-account diventerà disponibile, il rischio sarà gestito anche attraverso la segregazione degli account, controllando su quali account un Membro può operare.
Le autorizzazioni del flusso di lavoro regolano come vengono eseguite le azioni all'interno di ogni flusso di lavoro. Queste autorizzazioni si applicano solo ai Membri. Gli Utenti del servizio sono autorizzati tramite autorizzazioni di chiave API — consulta Utenti del servizio per i dettagli.
Ogni flusso di lavoro supporta gli stessi quattro livelli:
Livello di autorizzazione | Cosa consente |
|---|---|
Visualizza | Accesso in sola lettura ai dati del workflow e alla cronologia delle richieste |
Avvia | Crea una nuova richiesta. La richiesta entra nella coda di approvazione a meno che il Membro non detenga anche Execute e la politica consenta il completamento immediato. |
Approva | Rivedi e approva o rifiuta una richiesta in sospeso creata da un altro Membro |
Esegui | Completa le azioni immediatamente senza attendere l'approvazione, ma solo quando la politica del workflow lo consente |
Il modo in cui una richiesta viene completata dipende dalle autorizzazioni del Membro e dalla politica del workflow:
Autorizzazioni del Membro | "Richiedi sempre approvazione" | Cosa succede |
|---|---|---|
Avvia (senza Execute) | OFF o ON | La richiesta entra nella coda di approvazione |
Avvia + Execute | OFF | Richiesta completata immediatamente |
Avvia + Execute | ON | La richiesta entra nella coda di approvazione |
Execute ignora la coda di approvazione quando la politica del workflow lo consente. Quando "Richiedi sempre approvazione" è ON, Execute non ha alcun effetto.
Consulta l'interazione tra Execute e la politica per i dettagli.
Alcune autorizzazioni vengono concesse automaticamente in modo che i Membri abbiano la visibilità necessaria:
Quando un Membro ha... | Riceve automaticamente... | Perché |
|---|---|---|
Avvia o Approva qualsiasi flusso di lavoro | Visualizza lo stesso flusso di lavoro | I membri che partecipano a un flusso di lavoro devono visualizzare i suoi dati |
Avvia o Esegui su Inizia Prelievo | Visualizza su Gestisci Indirizzi | I membri che possono prelevare fondi devono visualizzare le destinazioni approvate |
Avvia o Esegui su Gestisci Criteri | Visualizza su Gestisci Accesso | I membri che possono modificare i criteri devono visualizzare le autorizzazioni attuali |
Queste concessioni implicite non possono essere rimosse indipendentemente. Per rimuovere una concessione implicita di Visualizzazione, rimuovi l'autorizzazione che l'ha attivata.
Tutte le azioni governate sono organizzate in flussi di lavoro. Ogni flusso di lavoro contiene un set definito di operazioni e ha la sua politica configurabile in modo indipendente. I quattro livelli di autorizzazione (Visualizza, Avvia, Approva, Esegui) funzionano allo stesso modo in tutti i flussi di lavoro.
Controlla chi può richiedere, approvare e completare i prelievi di fiat e crypto.
Operazioni:
Poiché i prelievi spostano fondi dall'Organizzazione, questo flusso di lavoro è tipicamente il primo ad essere configurato per richiedere l'approvazione.
Come si applicano le autorizzazioni qui:
Controlla chi può aggiungere o rimuovere destinazioni di prelievo approvate (whitelisted). I fondi possono essere inviati solo agli indirizzi presenti in questo elenco, quindi le modifiche qui influiscono direttamente sul rischio di prelievo.
Operazioni:
Come si applicano le autorizzazioni qui:
Quando un Membro usa Esegui per completare una modifica dell'indirizzo immediatamente, il sistema richiede una conferma via email prima che la modifica abbia effetto. Durante la Beta, la conferma viene inviata all'Owner dell'Organizzazione. Vedi Conferma email per le modifiche dell'indirizzo.
Importante: i flussi di lavoro di amministrazione seguono lo stesso modello di governance dei flussi di lavoro di finanziamento. Una volta configurati con una policy, il Proprietario e tutti i Membri sono vincolati dalle stesse regole di approvazione, anche per la gestione dell'accesso e la modifica delle policy.
Controlla chi può gestire i Membri e gli Utenti del servizio dell'Organizzazione.
Operazioni:
Come si applicano le autorizzazioni qui:
Controlla chi può modificare le regole di approvazione che si applicano a ogni flusso di lavoro. Questo è il flusso di lavoro che governa il funzionamento di tutti gli altri flussi di lavoro.
Operazioni:
Come si applicano le autorizzazioni qui:
Attenzione: Gestisci Policy è uno dei flussi di lavoro a più alto impatto. Una modifica qui può influenzare il funzionamento di tutti gli altri flussi di lavoro. Vedi Blocco delle policy per i dettagli.
Se il flusso di lavoro Gestisci Accesso ha una policy configurata, le tue modifiche potrebbero entrare nella coda di approvazione invece di avere effetto immediatamente. Vedi Policy, approvazioni e governance per i dettagli.
Puoi modificare le autorizzazioni di un Membro in qualsiasi momento tornando a Gestisci Accesso e modificando la sua configurazione. Le stesse regole di governance si applicano alle modifiche delle autorizzazioni come all'assegnazione originale.
Quando assegni le autorizzazioni, puoi scegliere tra modelli di ruolo predefiniti che raggruppano combinazioni di autorizzazioni comuni. I modelli sono un punto di partenza: puoi regolare le singole autorizzazioni dopo aver applicato un modello.
Modello di ruolo | Uso previsto |
|---|---|
Visualizzatore | Accesso in sola lettura per tutti i flussi di lavoro |
Trader | Autorizzazioni di trading per l'account senza accesso amministrativo |
Gestore fondi | Autorizzazioni per le operazioni di finanziamento (prelievi, gestione indirizzi) |
Iniziatore | Può avviare richieste per tutti i flussi di lavoro ma non può approvare o eseguire |
Approvatore | Può approvare richieste per tutti i flussi di lavoro ma non può avviare o eseguire |
Admin | Autorizzazioni complete per tutti i flussi di lavoro |
Personalizzato | Set di autorizzazioni configurato manualmente e adattato alle tue esigenze |
Durante la Beta, i ruoli Personalizzati non possono essere salvati e riutilizzati. Puoi creare la stessa configurazione Personalizzata con un nome utilizzato in precedenza, a patto che non utilizzi i nomi di template di ruolo riservati elencati sopra.