Invitar al equipo y asignar roles
Ministrium opera con control de acceso basado en roles (RBAC): cada usuario tiene un rol funcional que define lo que puede hacer y, opcionalmente, un alcance por campus que limita lo que puede ver. Esta página describe cómo invitar nuevos colaboradores y asignarles el rol correcto. Para el catálogo completo de los 9 roles, consulte Roles y permisos.
Pasos
Abra el módulo de Equipo
En el menú lateral, abra Iglesia → Equipo. Verá la lista de usuarios actuales y el botón Invitar staff.
Llene los datos del colaborador
- Nombre completo: el nombre del colaborador como debe aparecer en la lista interna.
- Correo electrónico: la invitación se envía a este correo. Será también su nombre de usuario para iniciar sesión.
Use el correo institucional cuando exista (por ejemplo pastor@suiglesia.org). El correo personal funciona, pero genera dependencia: si la persona renuncia, su correo personal sigue siendo el único acceso a información de la iglesia hasta que el admin lo desactive.
Asigne un rol
Elija uno de los 9 roles funcionales:
| Rol | Para quién |
|---|---|
| admin | Administrador general de la iglesia. Acceso total, autoriza pagos y configura todo. |
| pastor | Pastor principal o de campus. Visibilidad pastoral completa, sin autoridad financiera. |
| supervisor | Supervisor de zona o región. Lectura agregada de varios campus. |
| secretaria | Operaciones del día a día. CRM, eventos, kiosko, sin financiero sensible. |
| contador | Aprueba pagos, emite recibos fiscales, sincroniza con QuickBooks. |
| finanzas | Como contador, pero sin autoridad de aprobar pagos. Útil para asistentes contables. |
| ministry_leader | Líder de un ministerio. Solo ve y opera lo de su ministerio. |
| cell_leader | Líder de célula. Solo ve los miembros de sus células. |
| member | Miembro de la congregación. Ve su propia ficha, donaciones e inscripciones. |
Para el detalle completo de qué puede hacer cada rol, consulte Roles y permisos.
Limite el alcance por campus (opcional)
Si su iglesia tiene varios campus, puede restringir al usuario a uno o varios:
- Sin restricción → ve todos los campus.
- Restringido a un campus → solo ese campus.
- Restringido a varios → los campus que elija (típico para supervisores de zona).
El alcance se aplica estructuralmente en la base de datos: el usuario no puede ver datos de un campus fuera de su alcance ni siquiera por error. Ver Aislamiento entre iglesias.
Los roles contador y finanzas son una excepción: por convención manejan toda la iglesia (no se restringen a un campus), porque la contabilidad es centralizada.
Envíe la invitación
Pulse Enviar invitación. El colaborador recibe un correo con:
- Quién lo invita y a qué iglesia.
- El rol asignado y el alcance por campus.
- Un enlace de un solo uso para crear su contraseña.
El enlace expira en 7 días. Si la persona no responde a tiempo, vaya a Iglesia → Equipo → Pendientes y pulse Reenviar invitación.
Activación de MFA
Para los roles admin, pastor, contador y finanzas, Ministrium exige MFA (autenticación de doble factor) desde el primer login. La interfaz guía al usuario a configurar una app de TOTP (Google Authenticator, Authy, 1Password) en menos de un minuto.
Para el resto de roles, MFA es opcional pero recomendado. Ver MFA y políticas de contraseña.
Roles compuestos
Un usuario puede tener roles compuestos combinando responsabilidades. Ejemplos comunes:
- pastor + cell_leader — el pastor que también lidera su célula propia.
- contador + ministry_leader — el contador que además lidera el ministerio de alabanza.
Para asignar varios roles, vaya a Iglesia → Equipo → Editar usuario y agregue cada rol. Los permisos se acumulan: el usuario tiene todo lo que cada rol le permite, y la interfaz se adapta para mostrar los módulos relevantes.
Cambiar o quitar un rol
Vaya a Iglesia → Equipo → Editar usuario y modifique el rol o el alcance. Si el usuario deja la iglesia:
- Cambie su rol a member (lo deja con acceso solo a su propia ficha) o desactive la cuenta (lo bloquea).
- No borre la cuenta: borrarla rompería el historial de auditoría. Lo correcto es desactivar.
Cada cambio queda registrado en la auditoría con quién lo hizo, cuándo y desde qué IP.
Próximos pasos
- Roles y permisos — el detalle completo de qué hace cada rol.
- MFA y políticas de contraseña — cómo se protege cada cuenta.
- Importar miembros — para agregar a la congregación, no solo al staff.