Phân quyền & vai trò
Vai trò mặc định (Owner/Admin/Accountant/Reviewer/Operator/Viewer), scope theo công ty/chi nhánh, tạo custom role.
Phân quyền & vai trò
Tab Permissions quản lý ai có thể làm gì trong workspace.
Vai trò mặc định#
| Role | Quyền |
|---|---|
| Owner | Toàn quyền workspace, không thể bị xóa |
| Admin | Như Owner trừ billing + xóa workspace |
| Accountant | Sửa sổ kế toán, không quản trị user |
| Reviewer | Duyệt đề xuất, không tạo/sửa |
| Operator | Nhập chứng từ, không hạch toán |
| Viewer | Chỉ xem, không sửa |
Scope (phạm vi)#
Mỗi user có scope:
- Workspace-wide — toàn workspace (mặc định cho Owner).
- Per-company — chỉ một công ty cụ thể (kế toán dịch vụ phục vụ nhiều khách hàng).
- Per-branch — chỉ một chi nhánh (manager chi nhánh).
- Per-department — chỉ một bộ phận.
- Per-project — chỉ một dự án (PM).
Ví dụ: "Anh Nam là Accountant, scope = Công ty Sao Mai, chi nhánh HCMC."
Custom role#
Bấm + Tạo vai trò mới → form:
- Tên vai trò — ví dụ "Phó kế toán trưởng".
- Inherit từ — base trên vai trò có sẵn.
- Permissions — toggle từng permission.
Permission categories#
- Read — đọc loại data nào.
- Write — sửa loại data nào.
- Approve — duyệt loại đề xuất nào.
- Admin — quản trị (user, billing, settings).
- AI — quyền giao việc cho AI Agent.
Ví dụ Custom role "Junior Accountant":
- Read: All accounting data.
- Write: Documents, journal entries (< 5tr).
- Approve: None (không được duyệt).
- AI: Cowork only (không Agent Console).
User management#
Mời user#
- + Mời người dùng.
- Email + Vai trò + Scope.
- KOPA gửi email với invite link (hết hạn 7 ngày).
Sửa user#
Bấm vào user → form:
- Đổi vai trò.
- Đổi scope.
- Đổi trạng thái (Active / Suspended / Deleted).
Xóa user#
Audit trail của user vẫn được giữ vĩnh viễn (theo luật kế toán Việt Nam). User chỉ bị anonymize, không xóa thật.
Workspace policy#
Enforce 2FA#
Bật để bắt buộc tất cả admin phải bật 2FA.
IP whitelisting#
Hạn chế đăng nhập từ IP cụ thể (ví dụ chỉ IP văn phòng).
Session timeout#
- Default 30 ngày.
- Có thể siết xuống 1 ngày cho high-security workspace.
Password policy#
- Min length: 8–24.
- Required complexity: chữ thường + chữ hoa + số + ký tự đặc biệt.
- Rotation: mỗi 90/180/365 ngày.
SSO (Single Sign-On)#
Cho enterprise workspace:
- Google Workspace SSO.
- Microsoft Azure AD SSO.
- SAML 2.0 generic.
Liên hệ sales@getkopa.com để enable.
Audit phân quyền#
Mọi thay đổi phân quyền log vào Audit log:
- Ai đã invite ai.
- Ai đổi vai trò ai.
- Ai revoke quyền của ai.
Audit trail này không xóa được ngay cả Owner.