Gestione Utenti

Il modulo Gestione Utenti consente di creare, modificare e gestire gli account degli utenti che accedono a NOX Enterprise Suite. Ogni utente ha credenziali individuali, un ruolo che ne determina i permessi, e una configurazione di moduli e workspace personalizzata.

Funzionalità principali

• 4 livelli di ruolo gerarchici: USER, OPERATOR, ADMIN, SUPERADMIN
• Multi-workspace: ogni utente può accedere a più ambienti di lavoro con configurazioni indipendenti
• Moduli abilitati: configurazione granulare di quali sezioni del menu sono visibili per ogni utente e workspace
• Profilo personale: ogni utente può modificare i propri dati e cambiare la password
• Statistiche database: conteggio record per tabella nel workspace selezionato
• Operazioni avanzate: gestione backup workspace, dati demo, tabelle normativa
• Protezione eliminazione: conferma con nome completo per eliminare utenti ADMIN/SUPERADMIN

La schermata principale mostra tutti gli utenti in una lista con le seguenti informazioni:

In alto: contatore utenti totali e utenti attivi. Pulsante + Nuovo per creare un nuovo utente.

1. Dall'elenco utenti, premere + Nuovo Utente.
2. Compilare il campo Username (obbligatorio, identificativo univoco per il login).
3. Inserire la Password (obbligatoria, minimo 6 caratteri) e la Conferma password (deve corrispondere).
4. Selezionare il Ruolo nella griglia con 4 opzioni:
   • USER — Utente standard (default)
   • OPERATOR — Operatore
   • ADMIN — Amministratore
   • SUPERADMIN — Super Amministratore (visibile solo ai SUPERADMIN)
5. Premere Salva. L'utente viene creato e appare nell'elenco.
6. Dopo la creazione, aprire l'utente per completare il profilo: nome, cognome, email, workspace, moduli abilitati.

Differenze chiave ADMIN vs SUPERADMIN

Nella scheda di Modifica Utente esistono due sezioni distinte che governano cosa un utente può fare: la sezione "Privilegi Produzione" (riquadro lilla) e la sezione "Permessi del ruolo <X> in <workspace>" (riquadro arancio). Sono due meccanismi complementari, non alternativi: vengono valutati in AND sulle azioni a cui si applicano.

Quadro di confronto

A cosa serve la sezione "Privilegi Produzione" (lilla)

Implementa la Separation of Duties del modulo Produzione: assegna a singoli utenti uno dei 3 ruoli applicativi della produzione, indipendentemente dal loro ruolo base USER / OPERATOR / ADMIN.

Tipico caso d'uso: in uno stesso workspace ci sono più collaboratori USER, ognuno con un compito diverso in produzione. Mario è addetto qualità e riceve QUALITY_MANAGER; Luigi è magazziniere/operatore e riceve OPERATOR_PROD; Giovanni è il responsabile di reparto e riceve PRODUCTION_MANAGER. Senza questi privilegi un USER non può toccare nulla in produzione.

I privilegi sono inoltre la base tecnica della Separation of Duties: chi propone un ECO non può approvarlo, e questo controllo si appoggia proprio al fatto che proponente e approvatore siano due utenti distinti, ciascuno con il proprio privilegio individuale.

A cosa serve la sezione "Permessi del ruolo" (arancio)

Permette al SUPERADMIN di disabilitare per l'intero workspace e l'intero ruolo alcune azioni già consentite di default. Esempio: nel workspace "Studio Bianchi" il SUPERADMIN decide che gli ADMIN non possano modificare i pacchetti licenza né eseguire backup manuali; basta togliere il segno di spunta a pacchetti.modifica e backup.esegui: la modifica vale per tutti gli ADMIN di quel workspace presenti e futuri.

Le 31 chiavi disponibili coprono creazione/modifica/cancellazione di documenti, anagrafiche, catalogo, magazzino, corrispettivi, scadenze; emissione documenti; ripristino dal cestino; approvazione ECO e completamento ordini di produzione; registrazione test qualità; consultazione audit log; backup. Il default per ogni nuovo workspace è tutto abilitato, in modo che il comportamento storico non cambi finché il SUPERADMIN non interviene.

Come si combinano (regola pratica)

Quando usare uno o l'altro

• Vuoi specializzare un singolo utente (Mario fa solo qualità)? → Privilegi Produzione.
• Vuoi vietare un'azione a tutti gli ADMIN di un'azienda (es. Studio Verdi)? → Permessi del ruolo.
• Vuoi un'azione per pochi (es. solo 2 USER su 5) con regole produzione? → combina i due: assegna il privilegio solo ai 2 USER e tieni acceso il permesso ruolo.
• Vuoi spegnere completamente l'audit log per gli ADMIN di un workspace? → Permessi del ruolo: audit.consulta = off.

Fare clic su un utente nell'elenco per aprire la scheda di modifica. La schermata è organizzata in sezioni:

Intestazione

Avatar con colore del ruolo, nome completo, @username, badge ruolo cliccabile (per ADMIN), toggle Attivo/Inattivo.

Riquadro Account

Sotto il riquadro: pulsante Cambia Password (o “Reset Password” se si sta modificando un altro utente) e, solo per ADMIN, i pulsanti Statistiche Database e Operazioni Avanzate.

Sezione Workspace

Selettore “Ambiente attualmente in uso” per il workspace primario. Per ADMIN: sezione multi-workspace con checkbox per assegnare l'utente a più ambienti. Opzione speciale ___NUOVO___ per creare un workspace al volo.

Sezione Moduli Abilitati

Vedere sezione 9 per i dettagli completi.

Barra azioni

• Disattiva Utente (rosso): disabilita l'account (non è possibile disattivare sé stessi)
• Annulla: scarta le modifiche
• Salva Modifiche: salva tutti i cambiamenti (disabilitato se nulla è cambiato)

Ogni utente può accedere al proprio profilo dal menu utente nella topbar → “Profilo”.

Il profilo personale mostra tre card:

Informazioni Account

• Username: modificabile (min. 3 caratteri)
• Email: con validazione formato
• Ruolo: sola lettura (solo SUPERADMIN può modificare il proprio ruolo)

Dati Anagrafici

• Nome e Cognome (max 50 caratteri ciascuno)

Sicurezza

• Password attuale: obbligatoria per verificare l'identità
• Nuova password: minimo 6 caratteri
• Conferma nuova password: deve corrispondere

I campi password sono opzionali: compilare solo se si desidera cambiare la password.

Cambiare la propria password

1. Accedere al proprio Profilo dalla topbar.
2. Nella sezione “Sicurezza”, inserire la password attuale (per verifica identità).
3. Inserire la nuova password (minimo 6 caratteri).
4. Inserire la conferma (deve corrispondere).
5. Premere Salva Modifiche.

Reset password di un altro utente (solo ADMIN)

1. Aprire la scheda dell'utente dall'elenco.
2. Premere “Reset Password”.
3. Si apre una modale: inserire la nuova password e la conferma.
4. Non serve la password attuale dell'utente (l'ADMIN è autorizzato al reset).
5. Premere Salva Password.

Ogni workspace corrisponde a un database PostgreSQL separato. Permette di gestire più aziende, sedi o ambienti (produzione, test, demo) dalla stessa installazione.

Workspace primario

Il dropdown “Ambiente attualmente in uso” nella scheda utente seleziona il workspace che l'utente vede al login. L'utente può cambiare workspace dalla topbar (icona storage).

Multi-workspace (solo ADMIN)

La sezione “Ambienti Assegnati” mostra tutti i workspace disponibili con checkbox. Per configurare:

1. Nel selettore “Seleziona utente”, scegliere l'utente da configurare.
2. Sotto, attivare le checkbox dei workspace a cui l'utente deve avere accesso.
3. I workspace contrassegnati con lucchetto sono riservati al SUPERADMIN.
4. I workspace con icona occhio barrato sono nascosti (visibili solo ai SUPERADMIN).
5. Le modifiche vengono salvate automaticamente alla selezione.

Creare un nuovo workspace

Nel dropdown workspace, selezionare l'opzione “+ Crea nuovo ambiente”. Viene creato un database vuoto pronto per essere configurato.

La sezione “Moduli Abilitati” consente di personalizzare quali voci del menu laterale sono visibili per ciascun utente in ciascun workspace.

Come configurare

1. Nella scheda utente, scorrere alla sezione “Moduli Abilitati”.
2. Selezionare l'utente e il workspace di riferimento dai dropdown.
3. I moduli sono raggruppati in 8 categorie (accordion espandibile).
4. Per ogni categoria: toggle per nascondere l'intero gruppo dal menu, e pulsante per abilitare/disabilitare tutti i moduli del gruppo.
5. Dentro ogni gruppo: toggle individuale per ogni modulo con nome, icona e descrizione.
6. Le modifiche vengono salvate automaticamente.

Toggle bloccato o sbloccato — come capire perché

Ogni toggle può trovarsi in uno di questi stati:

Categorie di moduli

Opzioni globali

• Menu espanso: i sottomenu restano aperti di default
• Nascondi intestazioni gruppo: menu piatto senza raggruppamenti
• Nascondi “Coming Soon”: nasconde i moduli non ancora disponibili

Il pulsante “Statistiche Database” (solo ADMIN) nella scheda utente apre una finestra di dialogo con i conteggi dei record per tabella nel workspace selezionato.

Informazioni visualizzate

• KPI: totale record, tabelle attive (con almeno 1 record), massimo record per tabella
• Griglia: lista di tutte le tabelle con barra grafica proporzionale e conteggio
• Timestamp: ora dell'ultimo aggiornamento
• Pulsante Aggiorna per ricaricare i dati

Utile per verificare lo stato del database, controllare che i dati demo siano stati caricati o individuare tabelle vuote da popolare.

Il pulsante “Operazioni Avanzate” (solo ADMIN) apre un pannello con gestione avanzata dei workspace:

Selezione workspace

Lista di tutti i workspace disponibili. Fare clic per selezionare e visualizzare le operazioni disponibili.

Backup

• Crea Backup Ora: genera un backup del workspace selezionato
• Lista backup: elenco con data, dimensione, pulsanti scarica/ripristina/elimina
• ADMIN: può solo creare backup. SUPERADMIN: può anche scaricare, ripristinare ed eliminare.

Dati Demo

Pulsante “Carica Dati Demo” per aprire la procedura guidata (vedere sezione 12).

Zona Pericolosa (solo SUPERADMIN, workspace non-default)

Procedura di eliminazione workspace in 3 passaggi con doppia conferma. Elimina definitivamente il database e tutti i dati contenuti.

La procedura guidata “Dati Demo” consente di popolare un workspace con dati di esempio o con le tabelle normative ufficiali italiane.

Tab “Carica Demo”

Wizard a 3 step per generare dati realistici:

1. Scegli archivio: Soggetti (anagrafe) o Catalogo (articoli)
2. Scegli categoria: es. Clienti, Fornitori, Agenti, Farmaci, Articoli, Kit, ecc.
3. Scegli quantità: preset rapidi (10, 50, 100, 500, 1.000) o valore personalizzato fino a 100.000

I dati generati sono realistici: nomi, indirizzi, P.IVA, CF, codici articolo, prezzi, categorie.

Tab “Tabelle Normativa”

Carica le tabelle ufficiali dell'Agenzia delle Entrate / INPS / SDI:

• Tipi Pagamento (codici SDI)
• Condizioni Pagamento
• Tipi Documento (TD01-TD28)
• Formati Trasmissione (FPR12, FPA12)
• Regimi Fiscali (RF01-RF19)
• Tipi Cassa Previdenza (TC01-TC22)
• Nature IVA (N1-N7 con sottotipi)

L'operazione è idempotente: aggiorna i record esistenti e inserisce quelli mancanti senza creare duplicati.

Tab “Svuota Archivi”

Zona pericolosa per svuotare tabelle selezionate. Richiede conferma esplicita. Mostra il conteggio dei record eliminati per archivio.

Disattivare

Il toggle Attivo/Inattivo nella scheda utente disabilita l'account senza eliminarlo. Un utente disattivato non può effettuare il login ma i suoi dati e le sue associazioni restano nel sistema.

• Non è possibile disattivare sé stessi
• La disattivazione è reversibile: riattivare con lo stesso toggle

Eliminare

Il pulsante Elimina (cestino) nell'elenco utenti rimuove definitivamente l'account.

La pagina /admin/sistema raccoglie le funzioni di manutenzione tecnica del prodotto, accessibili solo al Super Amministratore. Si raggiunge dal menu utente in topbar » Amministrazione Sistema.

Aggiornamenti alla gestione utenti, workspace e permessi.

Sync target per-workspace

In Modifica Utente → Database di Lavoro, accanto a ogni workspace abilitato, compare un selettore “Sync target” (visibile solo ai SuperAdmin). Permette di indicare il workspace di replica automatica: qualsiasi generazione XML o documento nel workspace sorgente viene replicato su quello target.

menuConfig per-workspace

I moduli abilitati (menu laterale visibile all'utente) non sono più configurati a livello utente ma a livello workspace. La configurazione viene salvata su Parametri.menuConfig invece che su User.menuConfig.

• Ogni workspace ha il proprio set di moduli attivi (Scadenzario on/off, Magazzino on/off, ecc.)
• Tutti gli utenti che accedono a quel workspace vedono lo stesso menu
• L'impostazione sostituisce quella per-utente precedente (migrazione automatica al primo accesso)

Scudo colorato per riservataSuper

Il bottone di accesso alla sezione riservata SuperAdmin (pulsante con icona scudo) è ora più evidente: colore ambra e bordo gold, per distinguerlo visivamente dai bottoni standard e ridurre errori di accesso.

Ogni tentativo di autenticazione è persistito nella tabella log_accessi_utente con IP, user-agent, workspace, timestamp.

Eventi tracciati

La cancellazione di un utente non rimuove il record fisicamente: imposta isActive=false + cancellatoIl.

Motivazione

• Preservare la storia accessi per audit e compliance
• Mantenere traccia delle modifiche effettuate da quell'utente in passato
• Evitare broken references su log modifiche di altre tabelle

Ripristino

Solo gli ADMIN possono ripristinare tramite POST /api/utenti/:id/ripristina. Viene riattivato con isActive=true.

Endpoint GET /api/utenti/_/accessi-recenti (ADMIN) consente il monitoring degli accessi recenti con filtri.

Integrabile in un cruscotto di sicurezza per rilevare pattern anomali (tentativi falliti consecutivi, IP sospetti, orari inusuali).

Tabella log_modifiche_utente per tracciare cambi di ruolo, email, attivazione, password.

Endpoint: GET /api/utenti/:id/audit-log. Filtra le ultime 100 modifiche per utente specifico.

Tre ruoli applicati uniformemente su tutti i moduli della piattaforma.

L'uniformità è verificata dalla regressione API: ogni endpoint distruttivo o bulk ritorna 403 se chiamato da utente non-admin.

Protezione contro attacchi brute-force: dopo 5 tentativi di login falliti consecutivi per lo stesso username, l'account è bloccato automaticamente per 15 minuti.

Meccanismo

• Il controllo viene eseguito prima della validazione password sul tentativo di login
• Si conteggiano i record LOGIN_FAIL consecutivi a partire dall'ultimo LOGIN_OK (o da qualsiasi evento negli ultimi 15 minuti)
• Al raggiungimento della soglia, il server risponde HTTP 429 Too Many Requests con campo lockedUntil
• Il blocco genera un evento LOGIN_BLOCKED nel log accessi (monitoraggio centralizzato)

Costanti configurabili

Esempio risposta 429

{
  "error": "Account bloccato per 15 minuti dopo 5 tentativi falliti. Riprovare più tardi o contattare l'amministratore.",
  "lockedUntil": "2026-04-19T14:35:00.000Z"
}

Sblocco amministrativo

Un ADMIN può sbloccare manualmente un account inserendo un record LOGIN_OK manuale nel database oppure attendendo lo scadere della finestra temporale.

Autenticazione a due fattori basata su TOTP time-based one-time password (RFC 6238), compatibile con Google Authenticator, Authy, 1Password, Microsoft Authenticator.

Setup

1. L\'utente chiama POST /api/2fa/setup → il server genera un secret (base32) e restituisce l\'URI otpauth:// per QR code
2. L\'utente scansiona il QR con l\'app authenticator
3. L\'utente chiama POST /api/2fa/verify con il codice a 6 cifre visualizzato → attivazione effettiva
4. Il server restituisce 10 backup codes (formato XXXX-XXXX) da salvare in luogo sicuro

Endpoint disponibili

Parametri TOTP

• Algoritmo: HMAC-SHA1 (standard RFC 6238)
• Periodo: 30 secondi
• Cifre: 6
• Window: ±1 step (tolleranza ±30 secondi per drift clock)

Backup codes

• 10 codici monouso formato XXXX-XXXX
• Salvati in DB solo come SHA-256 (mai in chiaro)
• Ogni codice è consumabile una sola volta (rimosso dopo l\'uso)
• Rigenerazione con /api/2fa/rigenera-backup-codes invalida tutti i precedenti

Sistema di refresh token rotation per bilanciare sicurezza (access token brevi) e UX (sessioni lunghe senza richiedere login ripetuto).

Struttura

• Access token (JWT): TTL 1 ora, contiene id/role/username
• Refresh token: TTL 30 giorni, stringa random 96 caratteri (48 bytes hex)
• Persistenza in tabella refresh_tokens: token, userId, issuedAt, expiresAt, revokedAt, replacedBy, IP, userAgent

Endpoint

Token rotation (sicurezza)

Quando il client chiama /refresh con il refresh token corrente:

1. Il server verifica che non sia revocato e non sia scaduto
2. Revoca il vecchio token con revokedReason='rotated' e replacedBy=<nuovo>
3. Emette un nuovo refresh token + nuovo access token
4. Logga evento TOKEN_REFRESH in log accessi

Questo schema permette di rilevare token compromessi: se un attaccante rubà un refresh token e lo usa, l\'utente legittimo al prossimo refresh troverà il suo token revocato.

Auto-disconnessione

Un ADMIN può forzare la disconnessione di un utente da tutti i dispositivi con /api/auth/logout-all: utile in caso di smarrimento credenziali o licenziamento.

La visibilità di un modulo viene decisa da tre livelli indipendenti in intersezione:

Regola di intersezione

Il modulo è visibile all'utente se e solo se:

modulo_visibile(utente, workspace, modulo) =
  pacchetto_attivo(workspace, pacchetto_di(modulo))   (livello 1)
  AND profilo_compatibile(workspace.profilo, modulo)  (livello 2)
  AND utente_abilitato(utente.menuConfig, modulo)     (livello 3)

Backend

• Helper: services/modulo-access.service.js → moduliVisibili()
• Middleware: richiedeModulo('<moduloKey>') ritorna 403 con messaggio esplicativo
• API: GET /api/me/moduli-attivi per il frontend
• API: GET /api/pacchetti/workspace/:wsId/moduli-leciti per Modifica Utente

UI impattate

1. Admin/Pacchetti (/admin/pacchetti, solo SUPERADMIN): toggle sui 7 pacchetti per workspace. BASE sempre attivo.
2. Parametri → Dati Aziendali → Profilo Attività: al cambio profilo, un box mostra moduli auto-attivati e moduli nascosti con motivazione.
3. Modifica Utente → Moduli: i toggle dei moduli bloccati da pacchetto o profilo appaiono disabilitati, barrati, con badge BLOCCATO e tooltip esplicativo.
4. Sidebar/Topbar: AuthService.isMenuEnabled() applica automaticamente i filtri 1+2 prima del 3.

Tabelle DB

• pacchetti_workspace: pacchetti attivi per workspace (auditato con attivato_il/da, disattivato_il/da)
• moduli_catalogo: 25 moduli mappati al pacchetto di appartenenza
• profili_moduli_preset: per ciascun profilo, quali moduli sono rilevanti e con quale motivazione