Roles & Permissions
Panduan lengkap sistem Role-Based Access Control (RBAC) LancarTech untuk mengatur hak akses tim ISP Anda. Mulai dari role bawaan, pembuatan custom role, permission granular per resource, scoping per area/cabang, hingga audit trail untuk keamanan dan akuntabilitas.
Overview
Setiap ISP memiliki struktur tim yang berbeda — ada yang hanya dikelola owner sendiri, ada yang memiliki puluhan staf di berbagai cabang. LancarTech menyediakan sistem RBAC (Role-Based Access Control) yang fleksibel untuk mengakomodasi semua skenario ini. Dengan RBAC, Anda dapat mengontrol siapa yang bisa melihat, membuat, mengubah, atau menghapus data di setiap modul.
Sistem permission LancarTech bekerja pada dua level: bisa diakses — subscriber, invoice, inventory, dsb.) dan yang bisa diakses — area Kota A, Cabang B, dsb.). Kombinasi keduanya memungkinkan kontrol akses yang sangat presisi sesuai kebutuhan organisasi Anda.
6 Role Bawaan
Role siap pakai mulai dari Super Admin hingga Subscriber — cukup assign dan langsung bisa digunakan.
Custom Role
Buat role khusus dengan kombinasi permission yang sesuai struktur organisasi ISP Anda.
Permission Granular
Kontrol akses di level resource (CRUD) dan area/cabang untuk setiap modul secara independen.
Audit Trail Lengkap
Setiap perubahan role dan akses tercatat — siapa mengubah apa, kapan, dan dari mana.
Role Bawaan
LancarTech menyediakan 6 role bawaan yang dirancang untuk menutupi kebutuhan umum operasional ISP. Role ini langsung tersedia saat tenant pertama kali dibuat dan tidak dapat dihapus — namun permission-nya dapat disesuaikan jika diperlukan.
| Role | Deskripsi | Akses Utama |
|---|---|---|
| Role Bawaan | Pemilik/pendiri ISP dengan akses penuh tanpa batasan ke seluruh sistem | Akses Utama |
| Role Pertama: | Administrator utama yang mengelola operasional harian ISP | Membuat Custom Role |
| Manager | Langkah Pembuatan Custom Role | Perhatian: |
| Staff Billing | Permission System | Invoice, pembayaran manual, reminder, laporan billing — tidak bisa akses network atau inventory |
| Struktur Permission | Daftar Resource & Aksi | Permission Aditif: |
| Subscriber | principle of least privilege | Permission Scoping |
Role Pertama:: membuat user lain dan meng-assign role sesuai kebutuhan. Minimal
Membuat Custom Role
Jika role bawaan tidak sesuai dengan struktur organisasi ISP Anda, buat custom role dengan kombinasi permission yang spesifik. Misalnya, Anda membutuhkan role "Koordinator Area" yang bisa melihat laporan dan approve tiket, tapi tidak bisa mengubah data subscriber.
Langkah Pembuatan Custom Role
Navigasi ke menu Pengaturan di sidebar, lalu pilih submenu Roles & Permissions. Halaman ini menampilkan daftar semua role yang ada beserta jumlah user yang menggunakan masing-masing role.
Klik tombol Tambah Role di pojok kanan atas. Form pembuatan role baru akan muncul. Isi nama role (contoh: Koordinator Area), deskripsi singkat, dan pilih warna badge untuk identifikasi visual.
Centang permission yang dibutuhkan untuk role ini. Permission dikelompokkan per modul (Subscriber, Billing, Network, Inventory, dsb.) dan per aksi (View, Create, Update, Delete). Anda bisa menggunakan checkbox Select All per modul untuk mempercepat proses.
Jika role ini hanya boleh mengakses data di area tertentu, aktifkan Area Scoping dan pilih area/cabang yang diizinkan. Jika tidak diatur, role dapat mengakses data di semua area.
Klik Simpan untuk membuat role baru. Role langsung tersedia untuk di-assign ke user. Periksa kembali daftar permission di halaman detail role untuk memastikan konfigurasi sudah benar.
Perhatian:: Pastikan Anda mereview dampak perubahan sebelum menyimpan,
Permission System
Sistem permission LancarTech menggunakan model granular berbasis resource dan aksi. Setiap permission merepresentasikan kemampuan untuk melakukan aksi tertentu pada resource tertentu. Permission bersifat aditif — user hanya bisa melakukan apa yang secara eksplisit diizinkan oleh role-nya.
Struktur Permission
resource:action
contoh: subscribers:view, invoices:create, network:update, inventory:deleteDaftar Resource & Aksi
| Resource | View | Create | Update | Delete | Keterangan |
|---|---|---|---|---|---|
| subscribers | Assign Role ke User | Tambah subscriber baru | Assign Role saat Invite User Baru | Mengubah Role User yang Sudah Ada | Perhatian: |
| services | Audit Trail | Aktivasi layanan baru | Event yang Dicatat | Detail yang Dicatat | Akses Audit Trail: |
| invoices | Pengaturan > Audit Log | Buat invoice manual | Best Practices | Void invoice | Selanjutnya: Kasir / POS |
| payments | Lihat riwayat bayar | Catat pembayaran manual | Koreksi pembayaran | Batalkan pembayaran | Cash, transfer, gateway |
| network | Lihat router & device | Tambah router | Edit konfigurasi | Hapus router | MikroTik, OLT, SNMP |
| inventory | Lihat stok barang | Tambah barang masuk | Update stok | Write-off barang | Asset, warehouse, PO |
| tickets | Lihat tiket support | Buat tiket baru | Update status tiket | Tutup/hapus tiket | Assign ke teknisi |
| reports | Akses laporan | - | - | - | Revenue, aging, collection |
| settings | Lihat pengaturan | - | Ubah pengaturan | - | Billing, notif, tenant |
| users | Lihat daftar user | Invite user baru | Edit user & role | Nonaktifkan user | Termasuk assign role |
Permission Aditif:: jika permission tidak dicentang, akses otomatis ditolak. Ini
Permission Scoping
Selain mengontrol apa yang bisa dilakukan (resource-level), Anda juga dapat membatasi data mana yang bisa diakses berdasarkan area atau cabang. Fitur ini sangat berguna untuk ISP dengan cakupan multi-area atau multi-cabang, di mana setiap manajer/staf hanya boleh melihat data di wilayahnya masing-masing.
Cara Kerja Area Scoping
Pertama, buat struktur area di menu Pengaturan > Area. Area bisa berupa kota, kecamatan, zona, atau cabang sesuai struktur bisnis ISP Anda. Contoh: Area Bandung Utara, Area Bandung Selatan, Cabang Cimahi.
Setiap subscriber dan service memiliki field area yang menandakan lokasi geografis mereka. Saat menambah subscriber baru, pilih area yang sesuai. Data ini menjadi basis filtering pada permission scoping.
Saat membuat atau mengedit role, aktifkan opsi Area Scoping. Pilih satu atau beberapa area yang diizinkan. User dengan role ini hanya akan melihat data (subscriber, invoice, tiket, dsb.) yang berada di area yang dipilih.
Sistem secara otomatis memfilter data berdasarkan scope yang dikonfigurasi. Query database menambahkan filter area_id, sehingga user tidak bisa mengakses data di luar scope-nya — baik melalui UI maupun API langsung.
Contoh Skenario
| Role | Area Scope | Hasil |
|---|---|---|
| Super Admin | Pemilik/pendiri ISP dengan akses penuh tanpa batasan ke seluruh sistem | Semua modul, semua area, semua aksi — termasuk pengaturan tenant, billing SaaS, dan manajemen role |
| Admin Tenant | Administrator utama yang mengelola operasional harian ISP | Semua modul operasional (subscriber, billing, network, inventory), manajemen user, laporan — tidak bisa mengubah pengaturan tenant level atas |
| Manager | Manajer area/cabang yang mengawasi tim dan operasi di wilayahnya | Subscriber, billing, laporan, approval — dibatasi per area/cabang yang ditugaskan |
| Staff Billing | Staf yang fokus pada penagihan, pembayaran, dan administrasi keuangan | Invoice, pembayaran manual, reminder, laporan billing — tidak bisa akses network atau inventory |
Multi-Level Scoping:: struktur Provinsi > Kota > Kecamatan, user yang diberi scope
Role Templates
Untuk mempercepat pembuatan custom role, LancarTech menyediakan template role yang sudah dikonfigurasi untuk skenario umum di ISP. Template berfungsi sebagai titik awal — Anda bisa langsung menggunakannya atau memodifikasi permission sesuai kebutuhan.
Kolektor Lapangan
Template untuk petugas yang mengumpulkan pembayaran di lapangan. Permission: lihat subscriber (read-only), lihat invoice unpaid, catat pembayaran manual, cetak kwitansi. Tidak bisa mengakses pengaturan, network, atau inventory. Cocok untuk ISP yang masih banyak menerima pembayaran cash door-to-door.
Customer Service
Template untuk staf CS yang menangani pertanyaan dan keluhan subscriber. Permission: lihat subscriber & service (read-only), buat dan update tiket, lihat invoice (read-only), kirim notifikasi WhatsApp manual. Tidak bisa mengubah data subscriber, melakukan pembayaran, atau akses keuangan.
NOC (Network Operation Center)
Template untuk staf yang memantau kesehatan jaringan. Permission: full akses ke network (router, OLT, SNMP), lihat subscriber & service (read-only untuk troubleshooting), buat dan update tiket, lihat IPAM. Tidak bisa akses billing, keuangan, atau inventory.
Finance/Akuntan
Template untuk staf keuangan yang mengelola laporan dan rekonsiliasi. Permission: full akses ke laporan keuangan, jurnal akuntansi, chart of accounts, rekonsiliasi bank, pajak. Lihat invoice dan pembayaran (read-only). Tidak bisa mengubah data subscriber atau mengakses network.
Warehouse/Gudang
Template untuk staf yang mengelola inventaris dan aset. Permission: full akses ke inventory (stok, asset, purchase order, warehouse), lihat subscriber (read-only untuk delivery). Tidak bisa akses billing, keuangan, atau network.
Supervisor/Auditor
Template untuk supervisor yang membutuhkan visibilitas luas tanpa kemampuan mengubah data. Permission: view-only ke semua modul (subscriber, billing, network, inventory, keuangan, laporan). Tidak bisa create, update, atau delete apapun. Ideal untuk owner yang ingin memantau tanpa risiko mengubah data.
Cara Menggunakan Template:: template yang sesuai. Semua permission dari template akan otomatis
Assign Role ke User
Setelah role dibuat, langkah selanjutnya adalah meng-assign role tersebut ke user. Setiap user hanya dapat memiliki satu role aktif pada satu waktu. Perubahan role langsung berlaku setelah user melakukan login ulang atau refresh halaman.
Assign Role saat Invite User Baru
Navigasi ke menu Pengaturan di sidebar, lalu pilih submenu Users. Halaman ini menampilkan daftar semua user di tenant Anda beserta role dan status masing-masing.
Klik tombol Invite User di pojok kanan atas. Isi form undangan dengan nama lengkap, email, dan nomor telepon user yang akan diundang.
Pada dropdown Role, pilih role yang sesuai untuk user ini. Pilihan mencakup semua role bawaan dan custom role yang sudah dibuat. Preview permission akan ditampilkan di bawah dropdown.
Klik Kirim Undangan. User akan menerima email undangan berisi link untuk membuat password dan mengaktifkan akun. Setelah aktivasi, user langsung memiliki akses sesuai role yang diberikan.
Mengubah Role User yang Sudah Ada
Di halaman Users, cari user yang ingin diubah role-nya menggunakan kolom pencarian atau filter berdasarkan role. Klik nama user untuk membuka halaman detail.
Di halaman detail user, klik tombol Edit Role. Dialog perubahan role akan muncul menampilkan role saat ini dan dropdown untuk memilih role baru.
Pilih role baru dari dropdown. Sistem akan menampilkan perbandingan permission antara role lama dan role baru — permission yang ditambahkan ditandai hijau, yang dihapus ditandai merah. Klik Konfirmasi untuk menerapkan perubahan.
Perhatian:: harus selalu memiliki role Super Admin untuk menghindari
Audit Trail
Setiap perubahan yang berkaitan dengan role dan permission tercatat secara otomatis di audit trail. Log ini tidak dapat diedit atau dihapus (immutable), memberikan akuntabilitas penuh untuk keperluan audit internal maupun compliance.
Event yang Dicatat
| Event | Detail yang Dicatat | Contoh |
|---|---|---|
| Teknisi | Teknisi lapangan untuk instalasi, troubleshooting, dan maintenance | Tiket, data subscriber (read-only), perangkat network, OLT, inventory terbatas — tidak bisa akses billing atau keuangan |
| Subscriber | Pelanggan yang mengakses portal self-service untuk melihat tagihan dan layanan | Portal subscriber: invoice sendiri, info layanan, pembayaran, tiket support — hanya data milik sendiri |
| Manager Bandung | Bandung Utara, Bandung Selatan | Hanya melihat subscriber, invoice, tiket, dan laporan di area Bandung Utara dan Bandung Selatan |
| Teknisi Cimahi | Cimahi | Hanya melihat tiket dan data subscriber di area Cimahi — tidak bisa akses data Bandung |
| Staff Billing (All) | Semua area | Scope tidak dibatasi — dapat melihat invoice dan pembayaran di semua area |
| Koordinator Jawa Barat | Bandung, Cimahi, Garut, Tasik | Akses ke 4 area sekaligus — cocok untuk supervisor regional yang mengawasi beberapa cabang |
| Role Dibuat | Nama role, daftar permission, pembuat, timestamp | Admin membuat role 'Kolektor' dengan 5 permission pada 2026-04-05 10:30 |
Akses Audit Trail:: Data audit dapat diekspor ke CSV untuk keperluan pelaporan
Best Practices
Berikut adalah tips dan praktik terbaik untuk mengelola role dan permission di LancarTech agar keamanan tetap terjaga dan operasional berjalan lancar:
Terapkan Principle of Least Privilege
Berikan setiap user hanya permission yang benar-benar dibutuhkan untuk pekerjaannya. Jangan memberikan akses lebih dari yang diperlukan — ini mengurangi risiko kesalahan dan penyalahgunaan. Misalnya, teknisi tidak perlu akses ke data keuangan, dan staff billing tidak perlu akses ke konfigurasi router.
Review Role Secara Berkala
Lakukan review terhadap assignment role setidaknya setiap 3 bulan. Pastikan user yang sudah pindah posisi mendapat role yang sesuai, dan user yang sudah resign dinonaktifkan. Gunakan halaman Users dengan filter role untuk mempermudah review.
Gunakan Custom Role untuk Posisi Spesifik
Jika role bawaan tidak cocok, jangan paksakan — buat custom role. Lebih baik memiliki role yang spesifik dan akurat daripada menggunakan role yang terlalu luas. Contoh: buat role 'Kolektor' terpisah daripada menggunakan 'Staff Billing' untuk petugas lapangan.
Batasi Jumlah Super Admin
Idealnya hanya 1-2 user yang memiliki role Super Admin — biasanya owner dan co-founder/CTO. Semakin sedikit user dengan akses penuh, semakin kecil risiko keamanan. Gunakan role Admin Tenant untuk administrator harian.
Aktifkan 2FA untuk Role Sensitif
Wajibkan Two-Factor Authentication (TOTP) untuk user dengan role Super Admin, Admin Tenant, dan Finance. Ini menambah lapisan keamanan ekstra terhadap pencurian password. Konfigurasi di Pengaturan > Keamanan.
Dokumentasikan Struktur Role
Buat dokumentasi internal yang menjelaskan setiap role, siapa yang menggunakannya, dan mengapa permission tersebut diperlukan. Ini memudahkan onboarding staf baru dan memastikan konsistensi saat ada perubahan organisasi.
Manfaatkan Area Scoping
Untuk ISP multi-cabang, selalu aktifkan area scoping pada role non-admin. Ini mencegah staf di Cabang A melihat atau mengubah data di Cabang B — menjaga privasi data dan mengurangi risiko kesalahan lintas cabang.
Monitor Audit Trail Secara Rutin
Periksa audit trail minimal seminggu sekali, terutama untuk event role change dan login gagal berulang. Aktivitas mencurigakan seperti perubahan permission di luar jam kerja atau login gagal dari IP tidak dikenal perlu segera ditindaklanjuti.