Saltar al contenido principal

Documentation Index

Fetch the complete documentation index at: https://docs.lerian.studio/llms.txt

Use this file to discover all available pages before exploring further.

Instalar Access Manager no basta por sí solo. Para empezar a aplicar el control de acceso, lo activas en cada producto definiendo las variables de Auth en el archivo .env de cualquier producto o plugin de Lerian donde lo quieras activo.
Habilitar Access Manager solo activa la aplicación de la autorización en un producto o plugin. Los datos de acceso, como usuarios, grupos, aplicaciones, proveedores, roles y permisos, se gestionan por separado a través de Access Manager.
Cada producto protegido debe habilitar la validación y apuntar a Auth. La variable de dirección no es la misma en todos los repositorios, así que usa la variable que espera el producto que estás configurando: 
# Mayoría de productos y plugins
PLUGIN_AUTH_ENABLED=true
PLUGIN_AUTH_ADDRESS=http://plugin-auth:4000
Para despliegues multi-tenant BYOC, habilita el modo multi-tenant en Access Manager y en cada producto protegido que participe en el aislamiento de tenants: 
# MULTI-TENANT CONFIG
MULTI_TENANT_ENABLED=true
En despliegues single-tenant, Access Manager usa la organización predeterminada configurada. En despliegues multi-tenant, el alcance del tenant se resuelve a partir del contexto de confianza del token y de la aplicación.
Una vez que Access Manager esté habilitado, las solicitudes a APIs protegidas deben incluir un encabezado Authorization con un Bearer access token válido.Sin este encabezado, las solicitudes protegidas serán rechazadas, incluso para endpoints que antes eran accesibles sin autenticación.Aprende cómo generar y usar access tokens.

Dónde actualizar

Encontrarás los archivos .env relevantes en estas ubicaciones:
  • Midaz
    • /midaz/components/ledger usa PLUGIN_AUTH_HOST
    • /midaz/components/crm usa PLUGIN_AUTH_ADDRESS
  • Otros productos y plugins
    • Usa el archivo .env en la raíz del producto o plugin, o en el directorio del componente cuando el repositorio esté dividido en componentes.
    • Reporter, Tracer, Flowker, CRM, Fees Engine, Bank Transfer, Pix Indirect BTG y Fetcher usan PLUGIN_AUTH_ADDRESS.
    • Pix Direct JD usa PLUGIN_AUTH_HOST.
Si no ves los archivos, ajusta la configuración de tu sistema para mostrar archivos ocultos. Los archivos .env suelen estar ocultos por defecto.

Reconstruir después de los cambios

Después de actualizar el entorno, reconstruye tus imágenes de Docker para aplicar los cambios:
1
En tu terminal, ve a la raíz de tu proyecto.
2
Si Docker está en ejecución, detenlo:
make down
3
Luego reconstruye todo:
make rebuild-up

Ciclo de vida del despliegue

La configuración de Access Manager tiene dos fases:
  • Bootstrap prepara un entorno nuevo con las organizaciones, roles, grupos, aplicaciones y conjuntos de permisos base que requiere la plataforma.
  • Operación comienza cuando el entorno está en ejecución. A partir de ese punto, gestiona el acceso a través de las APIs de Identity o Lerian Console.
Usa las APIs operativas para el acceso de usuarios, la asignación a grupos, las credenciales de aplicaciones, los proveedores y MFA. No modifiques un entorno en ejecución editando los archivos semilla del bootstrap.
Los datos semilla del bootstrap solo se aplican durante la configuración inicial del entorno. Los cambios en recursos, acciones, roles, grupos, aplicaciones o conjuntos de permisos integrados de un entorno existente deben entregarse mediante actualizaciones controladas de la plataforma, como migraciones o un reconciliador idempotente.