Rollenmodell

Primaere Rollenmatrix

Rolle oder Modus	Warum sie existiert	Typische Verantwortung	Wichtige Grenze
`user`	normaler Tenant-Betrieb	lesen und im zugewiesenen Monitoring-Scope arbeiten	keine breiten Admin-Rechte
`manager`	breitere operative Pflege ohne volle Admin-Eigentuemerschaft	Schreibzugriff auf operative Bereiche	weiterhin keine Plattformrolle
`admin`	company-spezifische Administration	Benutzer, Tags, Groups, Notifications, Jobs, Storage, Metriken im Firmen-Scope	nicht plattformglobal
`superadmin`	Plattform-Governance und Betrieb	Companies, company-uebergreifende Benutzer, Metriken, Worker-Tuning, globale Docs	staerkster Scope, bewusst einsetzen
`systemadmin` Gruppe	technischer Systemdoku- und Betriebszugang	systemnahe Dokumentation und Betrieb	in manchen Flows enger als voller Superadmin

Frontend-seitige Rollenlogik

Aktuelle Frontend-Helfer sind:

isAdmin
isSuperAdmin
canAccessSystemDocs
isSuperAdminGlobalScope
isSuperAdminCompanyScope
isManager
isMember
canWrite
hasTagScope
hasFocusedScope

UI-Auswirkungsmatrix

Rolle oder Modus	UI-Auswirkung
`user`	Standard-Tenant- und Monitoring-Routen
`manager`	schreiborientiertes Produktverhalten ueber `canWrite`
`admin`	`/admin/*` wird relevant
`superadmin` global	`/superadmin/*`, globales Company-Switching, Systemdoku-Zugang
`superadmin` company	Superadmin-Identitaet mit engerem effektivem Company-Scope
focused scope	`/focused/*`-Routen und engeres Tenant-Erlebnis

Warum Focused Scope existiert

Focused Scope reduziert Ueberladung und verengt Sichtbarkeit fuer Personen, die nur mit einem kleineren Tenant-Subset oder tag-limitierten operativen Bereich arbeiten sollen.

Rollen-Grenzen in der Praxis

die Rolle bestimmt die breite funktionale Verantwortung
der Company-Scope bestimmt, welche Unternehmensdaten ueberhaupt gelten
der Tag-Scope bestimmt, welches Tenant- oder Flow-Subset sichtbar ist
Ressourcenrestriktionen bestimmen, ob Payloads oder Custom Header lesbar bleiben

Weiter zur Enforcement-Schicht

Fuer die Durchsetzungsebene weiter mit Permission-Modell.