18277: Note configurable role visibility in permission model doc.

author Tom Clegg <tom@curii.com>

Mon, 13 Dec 2021 20:01:18 +0000 (15:01 -0500)

committer Tom Clegg <tom@curii.com>

Mon, 13 Dec 2021 20:01:18 +0000 (15:01 -0500)
author Tom Clegg <tom@curii.com>
Mon, 13 Dec 2021 20:01:18 +0000 (15:01 -0500)
committer Tom Clegg <tom@curii.com>
Mon, 13 Dec 2021 20:01:18 +0000 (15:01 -0500)
diff --git a/doc/api/permission-model.html.textile.liquid b/doc/api/permission-model.html.textile.liquid

index a44d2eefa13ac7cc43e89776d9773169f3b5fe4e..faa160248af78a0332f2636e71ea39bf61a9845a 100644 (file)
--- a/doc/api/permission-model.html.textile.liquid
+++ b/doc/api/permission-model.html.textile.liquid
@@ -77,6 +77,7 @@ A "role" is a subtype of Group that is treated in Workbench as a group of users
  * All roles are owned by the system user.
  * The name of a role is unique across a single Arvados cluster.
  * Roles can be both targets (@head_uuid@) and origins (@tail_uuid@) of permission links.
+* By default, all roles are visible to all active users. However, if the configuration entry @Users.RoleGroupsVisibleToAll@ is @false@, visibility is determined by normal permission rules, _i.e._, a role is only visible to users who have that role, and to admins.
  
  h3. Access through Roles
author	Tom Clegg <tom@curii.com>
	Mon, 13 Dec 2021 20:01:18 +0000 (15:01 -0500)
committer	Tom Clegg <tom@curii.com>
	Mon, 13 Dec 2021 20:01:18 +0000 (15:01 -0500)