Non ne sono sicuro, ma penso che potresti confondere i ruoli della storia con i ruoli di autorizzazione. La storia dell'utente non dovrebbe dirti come implementare qualcosa. La seguente user story è un esempio di modulo vocale dell'utente che utilizza un ruolo:
As a manager, I need to be able to add a new Foo Report to my Bar so
that I can analyze all Foos and look for issues.
Nella mia esperienza, l'intenzione qui non è di prescrivere come implementare l'autorizzazione, ma piuttosto di fornire allo sviluppatore un'idea del tipo di persona che sta usando questa funzione. Puoi anche utilizzare un personaggio, come "Bob", anziché il ruolo di acquisire dati demografici e informazioni sul tipo di utente utilizzando il Foo Report. Questo ti fornisce il contesto su come verrà utilizzata la funzione.
Questo non dovrebbe significare che debba essere creato un ruolo di autorizzazione di "Manager". Puoi implementare la tua sicurezza come preferisci, purché un utente che assomigli a "Bob the manager" possa avere accesso al rapporto sui Foos nella loro barra.
Dato che i miei team lavorano con molti ruoli di sicurezza nei loro progetti, usiamo invece le persone per evitare la possibilità di confusione all'interno del team.
(BTW: Le mie scuse se questo non è ciò che intendevi, forse stai usando i ruoli degli utenti in un modo che non conosco)