Roller og rettigheter fullstendig

Roller og rettigheter i Adminflow Byrå

Hva er dette?

Roller og rettigheter i Adminflow Byrå styrer hva ansatte kan se og gjøre i systemet. Tilgangsstyringen består av flere mekanismer som virker sammen:

  • Roller – navngitte samlinger av tillatelser, tildelt på ulike nivåer
  • Tillatelser – enkeltrettigheter som låser opp spesifikke funksjoner
  • isAdmin-flagg – fullstendig overstyring som gir alle tillatelser
  • Kontrollflagg – egne flagg for hvem som kan utføre kontrollhandlinger
  • Mappetillatelser – egen mekanisme for dokumentstrukturen
  • Maestro-roller – separat rollesystem for Maestro-integrasjonen
  • Kundeportal-tilganger – adskilt system for eksterne brukere

Denne artikkelen dekker alle disse mekanismene i detalj.


Hvorfor er dette nyttig?

Riktig bruk av roller og rettigheter gir:

  • Kontroll på hvem som har tilgang til hva
  • Bedre sikkerhet og etterlevelse (compliance)
  • Strukturert tilgang på tvers av kunder og prosjekter
  • Mindre manuelt arbeid med tilgangsstyring
Tips: Bruk minst mulig tilgang. Gi kun de rollene som er nødvendige – det reduserer risiko og gir bedre kontroll.


Slik fungerer rollesystemet

Tilganger legges alltid sammen

En ansatt kan ha flere roller samtidig. Systemet fungerer slik:

  • Alle tillatelser legges sammen
  • Det finnes ingen blokkering eller "deny"-mekanisme
  • Brukeren får summen av alt vedkommende er tildelt

Eksempel: Hvis én rolle gir tilgang til prosjekter, og en annen gir tilgang til kunder, får du tilgang til begge.

Konsekvens: Du kan ikke begrense tilgang ved å legge til en "begrensende" rolle. For å fjerne tilgang må du fjerne rollen som gir den.


Tilgangsnivåer

Tilganger evalueres bitvis med disse nivåene:

Nivå

Betydning

0

Ingen tilgang

1

Lese

2

Skrive (uten les)

3

Lese og skrive

7

Eier


Hvor kommer tilgangene fra?

En ansatt kan få tilgang fra fem kilder:

  1. Direkte rolle på ansattkortet – globale roller for enkeltpersoner med særansvar
  2. Teammedlemskap – teamet er konfigurert med lederrolle og medlemsrolle som tildeles automatisk
  3. Direkte rolle på kundekortet – tilgang til én spesifikk kunde
  4. Direkte rolle på prosjektkortet – tilgang til ett spesifikt prosjekt
  5. Standardtillatelser – minimumssett alle ansatte får automatisk

I tillegg overstyrer isAdmin-flagget på ansattkortet alle roller.


Rolletyper

Det finnes fem rolletyper i systemet. Typen avgjør i hvilken kontekst rollen virker og hvordan den tildeles.

Rolletype (kode)

Norsk navn

Gjelder

Tildeles via

global

Globalt

Hele systemet

Direkte på ansattkortet

team

Team

Kunde-, prosjekt- og globalt nivå

Teammedlemskap

client

Kunde

Én spesifikk kunde

Kundekortet

project

Prosjekt

Ett spesifikt prosjekt

Prosjektkortet

client-project

Kunde eller prosjekt

Begge

Kunde- eller prosjektkortet


Tillatelsesgrupper

Alle tillatelser tilhører én av fire grupper som avgjør hvilken kontekst de evalueres i:

Gruppe (teknisk nøkkel)

Norsk navn

Beskrivelse

accflow

Globale tillatelser

Gjelder for hele systemet – alle kunder, prosjekter og ressurser

accflow-client

Kunde-tillatelser

Hva brukeren kan gjøre innenfor én bestemt kundes data

accflow-project

Prosjekt-tillatelser

Funksjoner innenfor ett enkelt prosjekt

accflow-team

Team-tillatelser

Tilgang og handlinger innenfor et bestemt team eller gruppe

Viktig regel: Prosjekt- og kunderolletyper kan KUN inneholde tillatelser fra accflow-client og accflow-project. Team- og globale rolletyper kan inneholde tillatelser fra alle fire grupper.


Komplett oversikt over alle tillatelser

Globale tillatelser (accflow-gruppen)

Norsk navn

Teknisk nøkkel

Hva tillatelsen låser opp

Prosjekttilgang (team)

accflow-projects-in-team

Tilgang til prosjekter i eget team

Prosjekttilgang (alle)

accflow-all-projects

Tilgang til alle prosjekter på tvers av team

Opprett prosjekt

accflow-project-create

Opprette nytt prosjekt

Opprett kunde

accflow-client-create

Opprette ny kunde

Ansatte

accflow-accountant

Administrasjon av ansatte og team-sider

Rediger egne tilpassede felt

accflow-edit-own-custom-fields

Redigere egne tilpassede feltdata på ansattkortet

Oppgavemaler

accflow-task-templates

Tilgang til innstillingssiden for oppgavemaler

Chat-maler

accflow-chat-templates

Tilgang til innstillingssiden for chat-maler

Tagger

accflow-tags

Administrasjon av tagger i innstillinger

AML-tilgang

accflow-aml

Tilgang til AML-modulen og risikovurderinger

Egenerklæring

accflow-self-declaration

Sende og administrere egenerklæringsskjemaer

ID-kontroll

accflow-id-control

Sende ID-kontrollforespørsler

KYC-sjekk (én kunde)

accflow-kyc

Utføre KYC-sjekk på én tilknyttet kunde

KYC-sjekk (alle)

accflow-all-kyc

Se og utføre KYC-sjekk på alle kunder

AML-admin

accflow-aml-admin

Tilgang til fanen "Maler" i AML-modulen

Altinn-admin

accflow-altinn-admin

Tilgang til Altinn eksport-innstillinger

Roller

accflow-roles

Administrasjon av roller i innstillinger

Finansielle data API

accflow-client-financial-statements-api

Hente finansielle data for kunder

Intranett

accflow-intranet

Tilgang til intranettmodulen

Kvalitetskontrollmaler

accflow-quality-control-templates

Tilgang til fanen "Maler" i kvalitetskontroll-modulen


Kunde-tillatelser (accflow-client-gruppen)

Norsk navn

Teknisk nøkkel

Hva tillatelsen låser opp

Kundetilgang

accflow-client-access

Se og redigere kundedata

Kunde – arkiver

accflow-client-archive

Arkivere kunder fra kundelisten

Kunde – fjern

accflow-client-remove

Fjerne kunden (beholder portaldata)

Kunde – slett

accflow-client-delete

Permanent slette kunde og all portaldata

Konfigurer kundeportal

accflow-change-modules

Redigere portal-URL, moduler og "Skjul i Adminflow"


Prosjekt-tillatelser (accflow-project-gruppen)

Norsk navn

Teknisk nøkkel

Hva tillatelsen låser opp

Prosjekttilgang

accflow-project-access

Grunnleggende lesetilgang til prosjektet

Administrer prosjektets team

accflow-change-access-control

Redigere hvem som har tilgang til prosjektet

Endre ledere

accflow-change-leader

Endre Oppdragsansvarlig og Prosjektleder

Endre forretningsenhet

accflow-change-business-unit

Endre forretningsenhet på prosjekt og kunde

Prosjekt – arkiver

accflow-project-archive

Arkivere prosjektet

Planleggingskategori – rediger

accflow-project-planning-category

Redigere planleggingskategorier på prosjektet

Mappe – opprett

accflow-create-folder

Opprette mapper i dokumentstrukturen

Mappe – slett

accflow-delete-folder

Slette mapper i dokumentstrukturen

Fil – slett

accflow-delete-file

Slette filer i dokumentstrukturen

Mappe – omgå undermapperestriksjoner

accflow-set-subfolders-perms-bypass

Redigere tillatelser på undermapper uavhengig av foreldremappe-innstillinger

Oppgave – kontrollnotater

accflow-task-control-note

Opprette og redigere kontrollnotater på oppgaver


Team-tillatelser (accflow-team-gruppen)

Norsk navn

Teknisk nøkkel

Hva tillatelsen låser opp

Send påminnelser

accflow-reminders

Sende påminnelser om forfalte oppgaver

Merk: Den eksakte gruppeplasseringen for hver enkelt tillatelse er backend-definert. Tabellene over er basert på hvordan tillatelsene brukes i systemet.


Teamroller

Teamroller tildeles automatisk til ansatte basert på teammedlemskap. Hvert team kan konfigureres med en spesifikk lederrolle og medlemsrolle. Hvis ingenting er angitt, brukes standardrollene for den aktuelle gruppetypen.

Alle fire gruppetyper støttes: Team, Lokasjon, Forretningsenhet og Avdeling.

Teamleder

  • Teknisk slug: accflow-team-leader
  • Type: Team
  • Standardlederrolle for team, lokasjoner, forretningsenheter og avdelinger
  • Brukes for personer med ansvar for et team

Teammedlem

  • Teknisk slug: accflow-team-member
  • Type: Team
  • Standardmedlemsrolle for team, lokasjoner, forretningsenheter og avdelinger
  • Standardarbeidstilganger for ansatte som er en del av en gruppe

Lokasjonsleder

  • Teknisk slug: accflow-location-leader
  • Type: Team
  • Standardlederrolle for lokasjoner
  • Beskrives som Teamleder med ekstra tillatelser knyttet til lokasjonsstyring

Leder for forretningsenhet

  • Teknisk slug: accflow-business-unit-leader
  • Type: Team
  • Standardlederrolle for forretningsenheter

Oppdragsrolle (teamversjon)

  • Teknisk slug: accflow-contract
  • Type: Team
Merk: Det norske visningsnavnet og de eksakte tillatelsene for denne rollen er backend-definert. Denne rollen er separat fra prosjektrollen "Oppdragsansvarlig" (accflow-contract-responsible) – ikke forveksle de to.Standardtillatelser per rolle er backend-definert og kan ikke leses direkte fra frontend-koden. De konkrete tillatelsene som er aktivert for hver standardrolle (Teamleder, Teammedlem osv.) konfigureres på rollen i systemet.


Prosjektroller

Prosjektroller tildeles direkte på prosjektkortet. De fungerer primært som identifikatorer for hvem som har hvilken funksjon på prosjektet. Tillatelsene en person har som prosjektrolleinnehaver kommer i hovedsak fra vedkommendes team- og globale roller, ikke fra selve prosjektrollen.

Prosjektroller kan konfigureres til å gi prosjektspesifikke tillatelser, men har som standard ingen.

Regnskapsfører

  • Teknisk slug: accflow-accountant
  • Type: Prosjekt (eller client-project)
  • Obligatorisk: Ja (én per prosjekt)
  • Unik: Ja
  • Synlig i kundeportal: Konfigurerbar per prosjekt

Prosjektleder

  • Teknisk slug: accflow-leader
  • Type: Prosjekt
  • Obligatorisk: Ja
  • Unik: Ja
  • Synlig i kundeportal: Alltid

Definerer teamets og prosjektets plassering i organisasjonsstrukturen. Hvilken rolle som faktisk fungerer som "prosjektleder" og "kundeleder" kan endres i firminnstillinger via projectLeaderRole og clientLeaderRole.

Oppdragsansvarlig

  • Teknisk slug: accflow-contract-responsible
  • Type: Prosjekt
  • Obligatorisk: Ja
  • Unik: Ja
  • Synlig i kundeportal: Alltid
  • Funksjon: Kontraktsansvarlig

Mottar varsler når AML-risikovurderinger forfaller. Å endre denne tildelingen krever tillatelsen accflow-change-leader.

Viktig presisering: Oppdragsansvarlig får ikke automatisk tilgang til å se alle oppgaver i prosjektet via denne rollen alene. Slik tilgang kommer fra vedkommendes øvrige roller (typisk team- eller globale roller).

Ekstra regnskapsfører

  • Type: Prosjekt
  • Obligatorisk: Nei
  • Unik: Nei (flere kan ha rollen)
  • Synlig i kundeportal: Konfigurerbar per prosjekt

Det finnes ingen hardkodet slug for "Ekstra regnskapsfører" i systemet. Dette er en egendefinert prosjektrolle som konfigureres etter behov.

Lønnskonsulent

  • Teknisk slug: accflow-payroll-responsible
  • Type: Prosjekt
  • Obligatorisk: Ja
  • Unik: Ja
  • Synlig i kundeportal: Alltid


Globale roller

Globale roller tildeles direkte på enkeltpersoner fra ansattkortet. De gjelder uavhengig av team, prosjekt eller kunde.

Daglig leder

  • Type: Globalt
  • Standardrolle ment for byråets øverste leder
  • Bør kun tildeles et fåtall personer
  • De konkrete tillatelsene er backend-definert

Standardtillatelser

  • Teknisk slug: accflow-default
  • Minimumssett alle ansatte har automatisk
  • Tildeles uten manuell handling
  • Kan ikke fjernes fra enkeltpersoner – alltid aktiv
  • Representerer grunntilgangene en ansatt skal ha

Prosjektforfatter

  • Tildeles automatisk til personen som oppretter et prosjekt
  • Kan fjernes automatisk etter konfigurerbar tid (firminnstilling removeProjectAuthor)
  • Funksjonelt knyttet til det spesifikke prosjektet som ble opprettet

Kvalitetskontrollansvarlig

  • Type: Globalt
  • For personer med kvalitetsansvar
  • Gir tilgang til å opprette og redigere kvalitetskontrollmaler (accflow-quality-control-templates)


isAdmin-flagg (overstyrer alt)

På ansattkortet finnes et isAdmin-flagg som er adskilt fra rollene.

Effekt: "Admin har alle tillatelser og tilgang til alle kunder, prosjekter, oppgaver og ansatte." Flagget gir fullstendige tilganger uten å tildele noen rolle.

Flagget redigeres av personer med skrivetilgang til accflow-accountant-tillatelsen.

Bruk sparsomt. Dette er den kraftigste tilgangsmekanismen i systemet og bør reserveres for et minimum av personer.


Kontrollflagg på ansattkortet

I tillegg til roller har ansatte fire flagg som styrer hvem som kan utføre kontrollhandlinger. Disse er ikke tillatelser i AccflowPermission-forstand, men separate egenskaper på ansattkortet.

Teknisk felt

Norsk navn

Funksjon

canControlAccounting

Kontrollør av regnskap

Kan utføre kontroll av regnskap

canControlTaxReturn

Kontrollør av skattemelding og årsregnskap

Kan utføre kontroll av skattepapirer

canControlAml

Kontrollør av AML

Kan utføre AML-kontroll

canControlQuality

Kontrollør av kvalitetskontroll

Kan utføre kvalitetskontroll-stikkprøver


Mappetillatelser

Mapper har sitt eget tillatelsessystem på toppen av rollene:

  • accflow-create-folder – opprette mapper
  • accflow-delete-folder – slette mapper
  • accflow-delete-file – slette filer
  • accflow-set-subfolders-perms-bypass – omgå tilgangsbegrensninger på undermapper

Krever tillatelse for å opprette/slette mapper

Per mappe finnes innstillingen requirePermissionsForFolderCreateDelete:

  • Uten innstilling: Mapper er åpne for alle med prosjekttilgang
  • Med innstilling: Eksplisitt tillatelse kreves for å opprette/slette

Omgåelse av undermapperestriksjoner

accflow-set-subfolders-perms-bypass lar en bruker redigere tillatelsesnivåer på undermapper uavhengig av hva foreldremappe sier om arv. Uten denne tillatelsen vil redigering av undermappers tillatelser kreve at foreldremappen tillater det.


Maestro-roller (separat system)

Maestro-integrasjonen har et eget rollesystem som er uavhengig av det generelle rollehierarkiet. Disse tildeles per ansatt og synkroniseres mot Maestro. Krever PNR og primærtelefon for å fungere.

Teknisk nøkkel

Norsk navn

Beskrivelse

uaAdmin

Administrator

Administrere brukere og kunder; koble kunder til brukere

uaSuperUser

Superbruker

Alt som administrator, unntatt brukeradministrasjon

uaStandardUser

Standard

Oversikt over egne kunder og alle brukere

uaMASUser

Standard Årsoppgjør

Kun tilgang til årsoppgjøret

uaAVSUser

Standard Avstemming

Kun tilgang til avstemming


Kundeportal-tilganger (eksterne brukere)

Kundeportalens tilgangssystem er adskilt fra byrå-rollene. Kontaktpersoner i kundeportalen bruker et gruppe-/tillatelsessystem knyttet til selskapsmedlemskap, ikke AccflowPermission-rammeverket.

Skjæringspunkter mellom byrå-roller og kundeportal:

  • isVisibleInClientPortal på en rolle bestemmer om rolleinnehaveren vises i portalen (ikke om vedkommende har tilgang)
  • Mapper kan gis kundetilgang (accflow-client) som styrer hva kundens kontaktpersoner ser


Konfigurerbare firminnstillinger

Disse innstillingene påvirker hvordan rollesystemet oppfører seg:

Innstilling

Funksjon

removeProjectAuthor

ISO 8601-varighet; prosjektforfatter fjernes automatisk etter angitt tid

projectLeaderRole

Hvilken rolle som definerer "prosjektleder" for team-tilhørighet

clientLeaderRole

Hvilken rolle som definerer "kundeleder" for team-tilhørighet

amlDueResponsible

Hvem som varsles ved AML-forfallsdatoer i tillegg til oppdragsansvarlig

onboardingTemplateTag

Oppgavemal-tag for automatisk onboarding

offboardingTemplateTag

Oppgavemal-tag for automatisk offboarding

isTaskCategoryRequired

Om oppgavekategori er påkrevd

requireContactPersonWithPhoneAndEmail

Krav til kontaktpersondata

amlSettings

Hyppighet, risikoland, terskel for UBO, maks alder personsjekk osv.


Egendefinerte roller

Byrået kan fritt opprette egendefinerte roller av alle typer via innstillingssiden for roller. Tillatelsen accflow-roles (skriv-nivå) kreves for å administrere roller.

Begrensninger

  • Teamrollene (accflow-team-leader, accflow-team-member osv.) har låst type og kan ikke flyttes til annen type via UI
  • Roller satt som projectLeaderRole eller clientLeaderRole i firminnstillinger har låst isUnique, isMandatory og type


Edge cases og særtilfeller

Motstridende roller

Siden systemet alltid legger til tillatelser og aldri fjerner dem, er det ikke mulig å ha motstridende roller. Høyeste tilgangsnivå gjelder alltid.

AML-varsling

Konfigureres i amlSettings.dueResponsible og firminnstillingen amlDueResponsible. I tillegg til regnskapsførere med kunderollen "Prosjektansvarlig" (sannsynligvis det samme som "Oppdragsansvarlig", accflow-contract-responsible), vil disse også varsles når AML-vurdering forfaller.

Arkivering

Systemet har arkiveringsfunksjonalitet for både kunder og prosjekter. Arkivering skjuler objektet fra ordinære lister. Rolletildelinger fjernes ikke automatisk ved arkivering.

accflow-contract vs accflow-contract-responsible

Det finnes to forskjellige slugs som begge knytter seg til "oppdrag/kontrakt":

  • accflow-contract – teamrolle
  • accflow-contract-responsible – prosjektrolle (Oppdragsansvarlig)

Disse er adskilte og må ikke forveksles.


Viktige prinsipper

Roller gir ikke alltid hele bildet

Noen funksjoner styres ikke kun av tillatelser, men også av rollelogikk og separate flagg som isAdmin og kontrollflaggene.

Roller kombineres alltid

Systemet legger kun til tilgang. Det finnes ingen mekanisme som fjerner tilgang hvis du allerede har den via en annen rolle.

Bruk minst mulig tilgang

Gi kun de rollene som er nødvendige. Dette gir bedre kontroll og reduserer risiko.

isAdmin overstyrer alt

isAdmin-flagget gir fulle tilganger uavhengig av hvilke roller en person har eller ikke har.


Overvåking og sporing

Systemet har en endringslogg (auditlog) som viser dato, bruker og endringer. Det finnes oversettelser for opprett-, oppdater- og slett-handlinger.

Tillatelsen accflow-roles (skriv-nivå) kreves for å opprette, redigere eller slette roller. Lese-nivå gir tilgang til å se rolleoversikten.


FAQ

Kan en ansatt ha flere roller?

Ja. Alle roller kombineres, og brukeren får summen av alle tillatelser.

Hva er forskjellen på teamrolle og prosjektrolle?

Teamroller gir typisk faktiske tillatelser. Prosjektroller brukes primært til å identifisere ansvar og styre synlighet i kundeportal – tillatelsene kommer fra brukerens team- og globale roller.

Kan jeg begrense tilgang hvis noen har for mye?

Ikke direkte. Systemet støtter ikke blokkering. Du må fjerne rollen som gir tilgangen.

Hva er forskjellen på isAdmin og Daglig leder-rollen?

isAdmin er et flagg som gir fullstendige tilganger og overstyrer alt. Daglig leder er en standardrolle med konfigurerbare tillatelser. isAdmin er kraftigere og bør brukes sparsomt.

Hva er standardtillatelser?

Et minimumssett med tilgang som alle ansatte får automatisk via slug accflow-default. Kan ikke fjernes.

Er prosjektroller obligatoriske?

Flere av dem er obligatoriske: Regnskapsfører, Prosjektleder, Oppdragsansvarlig og Lønnskonsulent. Ekstra regnskapsfører er valgfri.

Hvorfor finnes det to "oppdrags"-roller?

accflow-contract er en teamrolle, mens accflow-contract-responsible er prosjektrollen "Oppdragsansvarlig". De har ulik kontekst og funksjon.

Hvordan oppretter vi en hvitvaskingsansvarlig?

Det finnes ingen forhåndsdefinert rolle for dette. Opprett en egendefinert global rolle med tillatelsene accflow-aml, accflow-aml-admin, accflow-self-declaration, accflow-id-control og accflow-all-kyc etter behov, og legg vedkommende i amlDueResponsible i firminnstillingene.

Kan vi se hvilke konkrete tillatelser hver standardrolle har?

Ja – innholdet i hver rolle er konfigurert i systemet og kan ses og redigeres på rolleoversikten under innstillinger (krever accflow-roles skrivetilgang).



Oppdatert: 15/05/2026

Var denne artikkelen til hjelp?

Del tilbakemeldingen din

Avbryt

Takk skal du ha!