Users

Qué se ve
La sección Users lista cada cuenta que puede iniciar sesión en C21 Live Control. Cada cuenta pertenece a uno de los dos roles del producto y a uno o varios User groups; los permisos fluyen del rol y de las pertenencias a grupo. Además del catálogo de usuarios, todas las instancias incluyen el usuario admin integrado, que no se puede borrar (SECf012) y siempre tiene rol System Administrator.
Roles
C21 Live Control define dos roles:
| Rol | user_role | Qué hace |
|---|---|---|
| System Administrator | 1 | Acceso completo — gestiona usuarios, licencias, integraciones, DRM providers, políticas de seguridad. |
| Operator | 2 | Opera el broadcast del día a día: On air, Live streams, Scheduler, Recordings. |
Los API tokens autentican como uno de estos dos roles. Un token es una credencial emitida a un usuario existente y hereda el rol de ese usuario; no hay un rol "service account" separado.
Columnas del listado
La lista expone cuatro columnas:
| Columna | Notas |
|---|---|
| User | Celda compuesta: nombre + apellido del usuario. |
| Email de contacto. | |
| Role | El user_role del propio usuario (la pertenencia a User groups no modifica el rol mostrado). |
| (sin cabecera) | Toggle de Active — 1 cuando la cuenta puede iniciar sesión, 0 cuando está deshabilitada. |
La búsqueda de texto libre cubre username, email y los dos campos de nombre.
Campos canónicos del esquema User
Independientemente de cómo los renderice la tabla, el objeto User que devuelve la API lleva los campos siguientes:
| Campo | Notas |
|---|---|
username | Identificador de login. |
first_name · last_name | Nombre y apellido. |
email | Email de contacto. |
user_role | 1 = System Administrator, 2 = Operator. |
is_active | 1 cuando la cuenta puede iniciar sesión, 0 cuando está deshabilitada. |
last_login | Timestamp del último login satisfactorio. |
language_id | Idioma de UI: 1 = English, 2 = Español. |
is_api_user | 1 cuando el usuario puede obtener API tokens. |
Crear, editar, deshabilitar
Crear
Abre Add user y rellena el editor:
- Username (identificador de login).
- First name, Last name, Email.
- Password (la política exige las reglas de strong-password abajo).
- Role — System Administrator o Operator.
- Language — English o Español.
- User groups — una o varias pertenencias a grupo.
- API user — activa si este usuario va a emitir API tokens.
Editar
Abre el usuario desde la lista (doble click sobre la fila) y actualiza cualquier campo. Cambiar la password actualiza el histórico; la política rechaza reutilizar la misma password dentro de una ventana (consulta Security). El usuario admin integrado no puede cambiar su propio username, su estado de actividad ni su rol System Administrator (SECf006).
Deshabilitar
Pon Active a 0. La cuenta sigue en el catálogo, conserva sus API tokens hasheados en disco y su historial de auditoría, pero rechaza nuevos sign-ins.
Borrar
Borrar una cuenta la elimina permanentemente. El usuario admin integrado no puede borrarse (SECf012).
Política de password
Las reglas se configuran en Settings → Security y se aplican en creación, actualización y sign-in. La plataforma registra el histórico y rechaza reutilizaciones dentro de la ventana configurada; los sign-ins fallidos se cuentan y la cuenta se bloquea al alcanzar el umbral (el bloqueo aparece como SECf017 y permanece hasta que un System Administrator la desbloquea).
API tokens
Los API tokens se gestionan exclusivamente vía API en esta versión (sin UI Interface dedicada). Cada token es una cadena bearer opaca creada por POST /c21apiv2/security/tokens, devuelta exactamente una vez al crearla y almacenada hasheada en el servidor. Los tokens pueden llevar un expires_days (1–3650) o emitirse sin expiración. Usa GET /c21apiv2/security/tokens para listarlos y DELETE /c21apiv2/security/tokens/{kid} para revocar un token por su key id.
Un token autentica con la cabecera bearer estándar:
Authorization: Bearer <YOUR_API_TOKEN>
El token devuelve 401 Unauthorized cuando ha expirado o ha sido revocado. El CRUD de tokens está restringido al rol System Administrator. Para rotar un token, crea uno nuevo, cambia la integración, y luego revoca el antiguo.
Consulta API → Autenticación para el ciclo de vida completo del token.
Límites de longitud de campo
Los campos username, first_name y last_name tienen un límite de 30 caracteres; email admite hasta 75. Los valores que excedan estos límites se rechazan con APIf006 y el nombre del campo ofensor; el spec OpenAPI también expone maxLength en cada campo.
FAQ
POST /c21apiv2/security/tokens, actualiza la integración para usar el nuevo valor, confirma que funciona y revoca el antiguo con DELETE /c21apiv2/security/tokens/{kid}. Los tokens son objetos independientes así que coexisten el tiempo que necesites antes de que la revocación cierre la rotación.admin integrado no se puede borrar (SECf012) ni puede cambiar su propio username, estado de actividad ni rol (SECf006).