Saltar al contenido principal

Documentation Index

Fetch the complete documentation index at: https://docs.lerian.studio/llms.txt

Use this file to discover all available pages before exploring further.

Access Manager concentra la identidad, la autorización y las credenciales de cada producto Lerian protegido, lo que lo convierte en una de las piezas más sensibles de tu stack. Trátalo como infraestructura crítica y opéralo con los controles que se describen a continuación.

Credenciales

Crea credenciales en ambos extremos

Si dos servicios necesitan comunicarse entre sí, ambos deben tener creadas las credenciales M2M necesarias. No asumas simetría. Define las credenciales explícitamente en los dos lados.

Blinda el entorno físico

Access Manager almacena las credenciales localmente. Cualquiera con acceso al host puede extraerlas. Protege la máquina física o virtual que aloja el servicio. Esta es tu primera línea de defensa.

Evita exponer endpoints que recuperen las credenciales

Los administradores en Access Manager (a través de Identity) pueden recuperar credenciales. Por esa razón, estos endpoints no deben integrarse en ningún sistema de back-office. Mantén las operaciones sensibles aisladas para reducir la posibilidad de exposición accidental.

Recomendaciones de seguridad

Usa flujos de Aplicación a Aplicación para endpoints sensibles

Para accesos críticos como la automatización del Ledger, usa Aplicaciones. Esto te da un control claro sobre cada credencial. Si algo se filtra, puedes revocar o eliminar la Aplicación sin afectar a usuarios o servicios no relacionados.

Usa credenciales basadas en usuario para acciones manuales

Cuando se requiere acceso humano (para depuración, operaciones o soporte), crea siempre credenciales de usuario con la concesión password, no client_credentials. Este enfoque te permite gestionar el acceso, revocar permisos y forzar cierres de sesión a través del endpoint apropiado. Implementa una política de rotación de credenciales y realiza revisiones de acceso periódicas. Esto minimiza la exposición y mantiene el acceso limitado a los usuarios autorizados. Aplica siempre el principio de privilegio mínimo tanto para usuarios como para aplicaciones. Concede solo los permisos exactos que cada uno necesita.

Cambios operativos

Cómo modificas el acceso depende de qué estás modificando, y la línea separa las operaciones cotidianas de los datos de la plataforma.

Usa las superficies de gestión después del bootstrap

Una vez que el entorno está en ejecución, usa las APIs de Identity o Lerian Console para los cambios de acceso operativos:
  • crear, actualizar o eliminar usuarios;
  • asignar usuarios a grupos;
  • crear o eliminar aplicaciones máquina a máquina;
  • rotar credenciales;
  • configurar proveedores y MFA.
Los datos semilla del bootstrap no son una superficie de configuración del día a día. Editar los archivos semilla después del despliegue no actualiza de forma fiable un entorno existente.

Entrega los cambios de permisos de la plataforma como actualizaciones controladas

Los recursos, acciones, roles, grupos y conjuntos de permisos integrados son datos de la plataforma. Modifícalos a través de migraciones o de un reconciliador idempotente para que los entornos existentes converjan de forma predecible. Evita las ediciones puntuales en la base de datos y los cambios manuales de permisos. Generan desviaciones entre entornos y hacen que las revisiones de acceso sean menos confiables.
Consulta nuestras Recomendaciones de seguridad para más orientación sobre cómo proteger tu infraestructura.