Questo articolo spiega come funziona il controllo degli accessi nelle Organizzazioni, chi può fare cosa e su quali account. Per capire come le politiche di approvazione regolano tali azioni, consulta Politiche, approvazioni e governance. Per una panoramica di alto livello, consulta Informazioni sulle Organizzazioni.
L'accesso nelle Organizzazioni si basa su due livelli:
Le autorizzazioni definiscono ciò che un Membro è autorizzato a fare e su quali account.
Le politiche stabiliscono se un'azione viene completata immediatamente o deve essere prima approvata da altri Membri.
L'accesso effettivo di un Membro dipende da entrambi i livelli. Le autorizzazioni determinano ciò che un Membro può fare; la politica del flusso di lavoro determina se l'azione viene completata immediatamente o richiede prima un'approvazione indipendente.
Puoi consentire ad alcuni Membri di completare immediatamente le azioni, mentre richiedi a tutti gli altri di passare attraverso l'approvazione, oppure richiedere l'approvazione per ogni richiesta, indipendentemente da chi la avvia.
Per capire come funzionano le politiche e le approvazioni, consulta Politiche, approvazioni e governance.
Le autorizzazioni definiscono ciò che un Membro è autorizzato a fare. Si dividono in due categorie in base all'ambito di accesso a cui si riferiscono.
Le autorizzazioni dell'account definiscono quali azioni un Membro può eseguire e su quali account. Ogni concessione è limitata a un account specifico — l'accesso a un account non si estende a un altro. Durante la Beta, è disponibile un solo account — consulta Limitazioni della Beta. L'accesso effettivo è una combinazione della concessione dell'autorizzazione, dell'ambito dell'account e della politica del flusso di lavoro.
Autorizzazione | Cosa consente |
|---|---|
Trade | Inserisci e gestisci ordini sui mercati Spot e Margin |
Earn: Alloca | Alloca asset nei prodotti Earn (staking e rendimento) |
Earn: Disalloca | Disalloca (togli dallo staking) asset dai prodotti Earn |
Le autorizzazioni dell'account hanno effetto immediato per le operazioni di trading e Earn. Man mano che il supporto multi-account diventerà disponibile, il rischio sarà gestito anche attraverso la segregazione degli account, controllando su quali account un Membro può operare.
Le autorizzazioni del workflow regolano il modo in cui le azioni vengono eseguite all'interno di ogni workflow. Queste autorizzazioni si applicano solo ai Member. I Service Users sono autorizzati tramite le autorizzazioni della chiave API — consulta Service Users per maggiori dettagli.
Ogni workflow supporta gli stessi quattro livelli:
Livello di autorizzazione | Cosa consente |
|---|---|
Visualizza | Accesso in sola lettura ai dati e alla cronologia delle richieste del workflow |
Avvia | Crea una nuova richiesta. La richiesta entra nella coda di approvazione a meno che il Member non detenga anche Execute e la policy consenta il completamento immediato. |
Approva | Esamina e approva o rifiuta una richiesta in sospeso creata da un altro Member |
Esegui | Completa le azioni immediatamente senza attendere l'approvazione, ma solo quando la policy del workflow lo consente |
Il modo in cui una richiesta viene completata dipende dalle autorizzazioni del Member e dalla policy del workflow:
Autorizzazioni del Member | "Richiedi sempre approvazione" | Cosa succede |
|---|---|---|
Initiate (senza Execute) | OFF o ON | La richiesta entra nella coda di approvazione |
Initiate + Execute | OFF | Richiesta completata immediatamente |
Initiate + Execute | ON | La richiesta entra nella coda di approvazione |
Execute ignora la coda di approvazione quando la policy del flusso di lavoro lo consente. Quando "Richiedi sempre approvazione" è ATTIVO, Execute non ha alcun effetto.
Vedi Interazione tra Execute e policy per i dettagli.
Alcune autorizzazioni sono concesse automaticamente in modo che i Membri abbiano la visibilità necessaria:
Quando un Membro ha... | Ricevono automaticamente... | Perché |
|---|---|---|
Initiate o Approve su qualsiasi flusso di lavoro | View su quello stesso flusso di lavoro | I Membri che partecipano a un flusso di lavoro devono visualizzarne i dati |
Initiate o Execute su Avvia Prelievo | View su Gestisci Indirizzi | I Membri che possono prelevare fondi devono visualizzare le destinazioni inserite nella whitelist |
Initiate o Execute su Gestisci Policy | View su Gestisci Accesso | I Membri che possono modificare le policy devono visualizzare le autorizzazioni attuali |
Queste concessioni implicite non possono essere rimosse in modo indipendente. Per rimuovere una concessione View implicita, rimuovi l'autorizzazione che l'ha attivata.
Tutte le azioni controllate sono organizzate in flussi di lavoro. Ogni flusso di lavoro contiene un insieme definito di operazioni e ha la propria policy configurabile in modo indipendente. I quattro livelli di autorizzazione (View, Initiate, Approve, Execute) funzionano allo stesso modo in tutti i flussi di lavoro.
Controlla chi può richiedere, approvare e completare i prelievi fiat e crypto.
Operazioni:
Poiché i prelievi spostano fondi dall'Organizzazione, questo flusso di lavoro è in genere il primo configurato per richiedere l'approvazione.
Come si applicano qui le autorizzazioni:
Controlla chi può aggiungere o rimuovere destinazioni di prelievo in whitelist. I fondi possono essere inviati solo agli indirizzi presenti in questo elenco, quindi le modifiche qui influiscono direttamente sul rischio di prelievo.
Operazioni:
Come si applicano qui le autorizzazioni:
Quando un Membro usa Esegui per completare immediatamente una modifica dell'indirizzo, il sistema richiede una conferma e-mail prima che la modifica abbia effetto. Durante la Beta, la conferma viene inviata al Proprietario dell'Organizzazione. Vedi Conferma e-mail per le modifiche dell'indirizzo.
Importante: I flussi di lavoro di amministrazione seguono lo stesso modello di governance dei flussi di lavoro di finanziamento. Una volta configurati con una policy, il Proprietario e tutti i Membri sono vincolati dalle stesse regole di approvazione, inclusa la gestione degli accessi e la modifica delle policy.
Controlla chi può gestire i Membri e gli Utenti del Servizio dell'Organizzazione.
Operazioni:
Come si applicano qui le autorizzazioni:
Controlla chi può modificare le regole di approvazione che si applicano a ciascun flusso di lavoro. Questo è il flusso di lavoro che governa il funzionamento di tutti gli altri flussi di lavoro.
Operazioni:
Come si applicano qui le autorizzazioni:
Attenzione: Gestisci Criteri è uno dei flussi di lavoro a più alto impatto. Una modifica qui può influenzare il funzionamento di ogni altro flusso di lavoro. Consulta Blocco dei criteri per i dettagli.
Se il flusso di lavoro Gestisci Accesso ha un criterio configurato, le tue modifiche potrebbero entrare nella coda di approvazione invece di avere effetto immediatamente. Consulta Criteri, approvazioni e governance per i dettagli.
Puoi modificare le autorizzazioni di un Membro in qualsiasi momento tornando a Gestisci Accesso e modificandone la configurazione. Le stesse regole di governance si applicano alle modifiche delle autorizzazioni come all'assegnazione originale.
Quando assegni le autorizzazioni, puoi scegliere tra modelli di ruolo predefiniti che raggruppano combinazioni di autorizzazioni comuni. I modelli sono un punto di partenza: puoi modificare le singole autorizzazioni dopo aver applicato un modello.
Modello di ruolo | Uso previsto |
|---|---|
Visualizzatore | Accesso in sola lettura a tutti i flussi di lavoro |
Trader | Autorizzazioni di trading dell'account senza accesso amministrativo |
Gestore fondi | Autorizzazioni per le operazioni di finanziamento (prelievi, gestione indirizzi) |
Iniziatore | Può avviare richieste attraverso i flussi di lavoro ma non può approvare o eseguire |
Approvatore | Può approvare richieste attraverso i flussi di lavoro ma non può avviare o eseguire |
Admin | Autorizzazioni complete su tutti i flussi di lavoro |
Personalizzato | Set di autorizzazioni configurato manualmente e personalizzato in base alle tue esigenze |
Durante la Beta, i ruoli personalizzati non possono essere salvati e riutilizzati. Puoi creare la stessa configurazione personalizzata con un nome utilizzato in precedenza, purché non utilizzi i nomi dei modelli di ruolo riservati elencati sopra.