260322:1648 Correct Coresspondence / Doing RFA / Correct CI

specs/01-requirements/01-02-business-rules/01-02-01-rbac-matrix.md

@@ -1,25 +1,29 @@
 # 4. Access Control & RBAC Matrix (V1.8.0)
 
 ---
+
 title: 'Access Control & RBAC Matrix'
 version: 1.8.0
 status: APPROVED
 owner: Nattanin Peancharoen / Development Team
 last_updated: 2026-02-23
 related:
-  - specs/02-architecture/02-01-system-architecture.md
-  - specs/03-implementation/03-02-backend-guidelines.md
-  - specs/07-database/07-01-data-dictionary-v1.8.0.md
-  - specs/05-decisions/ADR-005-redis-usage-strategy.md
-  - specs/05-decisions/ADR-001-unified-workflow-engine.md
-references:
-  - [RBAC Implementation](../../99-archives/ADR-004-rbac-implementation.md)
-  - [Access Control](../../99-archives/01-04-access-control.md)
+
+- specs/02-architecture/02-01-system-architecture.md
+- specs/03-implementation/03-02-backend-guidelines.md
+- specs/07-database/07-01-data-dictionary-v1.8.0.md
+- specs/05-decisions/ADR-005-redis-usage-strategy.md
+- specs/05-decisions/ADR-001-unified-workflow-engine.md
+  references:
+- [RBAC Implementation](../../99-archives/ADR-004-rbac-implementation.md)
+- [Access Control](../../99-archives/01-04-access-control.md)
+
 ---
 
 ## 4.1. Overview and Problem Statement
 
 LCBP3-DMS จัดการสิทธิ์การเข้าถึงข้อมูลที่ซับซ้อน ได้แก่:
+
 - **Multi-Organization**: หลายองค์กรใช้ระบบร่วมกัน แต่ต้องแยกข้อมูลตามบริบท
 - **Project-Based**: โครงการสามารถมีหลายสัญญาย่อย (Contracts)
 - **Hierarchical Permissions**: สิทธิ์ระดับบนสามารถครอบคลุมระดับล่าง
@@ -28,6 +32,7 @@ LCBP3-DMS จัดการสิทธิ์การเข้าถึงข
 Users และ Organizations สามารถเข้าดูหรือแก้ไขเอกสารได้จากสิทธิ์ที่ได้รับ ระบบออกแบบด้วย **4-Level Hierarchical Role-Based Access Control (RBAC)** ដើម្បីรองรับความซับซ้อนนี้.
 
 ### Key Requirements
+
 1. User หนึ่งคนสามารถมีหลาย Roles ในหลาย Scopes
 2. Permission Inheritance (Global → Organization → Project → Contract)
 3. Fine-grained Access Control (เช่น "อนุญาตให้ดู Correspondence เฉพาะใน Project A รวมถึง Contract ภายใต้ Project A เท่านั้น")
@@ -56,8 +61,9 @@ Global (ทั้งระบบ)
 ```
 
 **Permission Enforcement:**
+
 - เมื่อตรวจสอบสิทธิ์ ระบบจะพิจารณาสิทธิ์จากทุก Level ที่ผู้ใช้มี และใช้สิทธิ์ที่ **"ครอบคลุมที่สุด (Most Permissive)"** ในบริบท (Context) นั้นมาเป็นเกณฑ์.
-- *Example*: User A เป็น `Viewer` ในองค์กร (ระดับ Organization Level) แต่มอบหมายหน้าที่ให้เป็น `Editor` ในตำแหน่งของ Project X. เมื่อ User A ดำเนินการในบริบท Context ของ Project X (หรือ Contract ที่อยู่ใต้ Project X), User A จะสามารถทำงานด้วยสิทธิ์ `Editor` ทันที.
+- _Example_: User A เป็น `Viewer` ในองค์กร (ระดับ Organization Level) แต่มอบหมายหน้าที่ให้เป็น `Editor` ในตำแหน่งของ Project X. เมื่อ User A ดำเนินการในบริบท Context ของ Project X (หรือ Contract ที่อยู่ใต้ Project X), User A จะสามารถทำงานด้วยสิทธิ์ `Editor` ทันที.
 
 ---
 
@@ -75,14 +81,14 @@ Global (ทั้งระบบ)
 
 ### Master Data Management Authority
 
-| Master Data                             | Manager                         | Scope                           |
-| :-------------------------------------- | :------------------------------ | :------------------------------ |
-| Document Type (Correspondence, RFA)     | **Superadmin**                  | Global                          |
-| Document Status (Draft, Approved, etc.) | **Superadmin**                  | Global                          |
+| Master Data                             | Manager                         | Scope                              |
+| :-------------------------------------- | :------------------------------ | :--------------------------------- |
+| Document Type (Correspondence, RFA)     | **Superadmin**                  | Global                             |
+| Document Status (Draft, Approved, etc.) | **Superadmin**                  | Global                             |
 | Shop Drawing Category                   | **Project Manager**             | Project (สร้างใหม่ได้ภายในโครงการ) |
-| Tags                                    | **Org Admin / Project Manager** | Organization / Project          |
-| Custom Roles                            | **Superadmin / Org Admin**      | Global / Organization           |
-| Document Numbering Formats              | **Superadmin / Admin**          | Global / Organization           |
+| Tags                                    | **Org Admin / Project Manager** | Organization / Project             |
+| Custom Roles                            | **Superadmin / Org Admin**      | Global / Organization              |
+| Document Numbering Formats              | **Superadmin / Admin**          | Global / Organization              |
 
 ---
 
@@ -272,13 +278,11 @@ Controller Example Usage:
 @Controller('correspondences')
 @UseGuards(JwtAuthGuard, PermissionGuard)
 export class CorrespondenceController {
-
   @Post()
   @RequirePermission('correspondence.create')
   async create(@Body() dto: CreateCorrespondenceDto) {
     // Accessible only when CASL Evaluate "correspondence.create" successfully fits the parameters limits (Project/Contract scope check)
   }
-
 }
 ```
 
@@ -299,15 +303,21 @@ export class CorrespondenceController {
 ส่วนอ้างอิงและประวัติศาสตร์การตัดสินใจพิจารณาในอดีต (Reference) ก่อนการนำมาปรับใช้ร่าง Architecture ฉบับ V1.8.0.
 
 ### Considered Options Before Version 1.5.0
+
 1. **Option 1**: Simple Role-Based (No Scope)
-  - *Pros*: Very simple implementation, Easy to understand
-  - *Cons*: ไม่รองรับ Multi-organization, Superadmin เห็นข้อมูลองค์กรอื่นมั่วข้ามกลุ่ม
+
+- _Pros_: Very simple implementation, Easy to understand
+- _Cons_: ไม่รองรับ Multi-organization, Superadmin เห็นข้อมูลองค์กรอื่นมั่วข้ามกลุ่ม
+
 2. **Option 2**: Organization-Only Scope
-  - *Pros*: แยกข้อมูลระหว่าง Organizations ได้ชัดเจน
-  - *Cons*: ไม่รองรับระดับ Sub-level Permissions (Project/Contract) ไม่เพียงพอกับ Business Rule.
+
+- _Pros_: แยกข้อมูลระหว่าง Organizations ได้ชัดเจน
+- _Cons_: ไม่รองรับระดับ Sub-level Permissions (Project/Contract) ไม่เพียงพอกับ Business Rule.
+
 3. **Option 3**: **4-Level Hierarchical RBAC (Selected)**
-  - *Pros*: ครอบคลุม Use Case สูงสุด (Maximum Flexibility), รองรับ Hierarchy สืบทอดสิทธิ์ (Inheritance), ขอบเขตจำกัดข้อมูลอย่างรัดกุมระดับ Contract (Data Isolation).
-  - *Cons*: Complexity ทางด้านการ Implement, Invalidate Caching หางานให้ฝั่ง Operations, Developer Learning Curve.
+
+- _Pros_: ครอบคลุม Use Case สูงสุด (Maximum Flexibility), รองรับ Hierarchy สืบทอดสิทธิ์ (Inheritance), ขอบเขตจำกัดข้อมูลอย่างรัดกุมระดับ Contract (Data Isolation).
+- _Cons_: Complexity ทางด้านการ Implement, Invalidate Caching หางานให้ฝั่ง Operations, Developer Learning Curve.
 
 **Decision Rationale:**
 เลือกแนวทางที่ 3 รองรับความต้องการของ Construction Projects ที่มีการแบ่งกลุ่มรับเหมาช่วงย่อยระดับ Contracts ต่อเนื่อง (Future proof). แก้ไขปัญหา Performance Cons ด้วยแนวคิดการประจุ Redis Caching ข้ามขั้ว และล้าง Invalidation เฉพาะเมื่อ Triggering Database Updates (อ้างอิงหัวข้อ 4.6).