> ## Documentation Index
> Fetch the complete documentation index at: https://docs.lerian.studio/llms.txt
> Use this file to discover all available pages before exploring further.

# Habilitación de Access Manager

> Activa Access Manager en los productos Lerian — define las variables de Auth en cada `.env` para que tus servicios empiecen a aplicar el control de acceso.

[Instalar Access Manager](/es/platform/access-manager/installing-access-manager) no basta por sí solo. Para empezar a aplicar el control de acceso, lo activas en cada producto definiendo las variables de Auth en el archivo `.env` de **cualquier producto o plugin de Lerian** donde lo quieras activo.

<Note>
  Habilitar Access Manager solo activa la aplicación de la autorización en un producto o plugin. Los datos de acceso, como usuarios, grupos, aplicaciones, proveedores, roles y permisos, se gestionan por separado a través de Access Manager.
</Note>

Cada producto protegido debe habilitar la validación y apuntar a Auth. La variable de dirección no es la misma en todos los repositorios, así que usa la variable que espera el producto que estás configurando:

<CodeGroup>
  ```text Text theme={null}
  # Mayoría de productos y plugins
  PLUGIN_AUTH_ENABLED=true
  PLUGIN_AUTH_ADDRESS=http://plugin-auth:4000
  ```

  ```text Text theme={null}
  # Midaz Ledger y Pix Directo JD
  PLUGIN_AUTH_ENABLED=true
  PLUGIN_AUTH_HOST=http://plugin-auth:4000
  ```
</CodeGroup>

Para despliegues multi-tenant BYOC, habilita el modo multi-tenant en Access Manager y en cada producto protegido que participe en el aislamiento de tenants:

<CodeGroup>
  ```text Text theme={null}
  # MULTI-TENANT CONFIG
  MULTI_TENANT_ENABLED=true
  ```
</CodeGroup>

En despliegues single-tenant, Access Manager usa la organización predeterminada configurada. En despliegues multi-tenant, el alcance del tenant se resuelve a partir del contexto de confianza del token y de la aplicación.

<Danger>
  Una vez que **Access Manager** esté habilitado, las solicitudes a APIs protegidas deben incluir un encabezado `Authorization` con un **Bearer access token** válido.

  Sin este encabezado, las solicitudes protegidas serán rechazadas, incluso para endpoints que antes eran accesibles sin autenticación.

  [**Aprende cómo generar y usar access tokens.**](/es/platform/access-manager/using-access-manager)
</Danger>

## Dónde actualizar

***

Encontrarás los archivos `.env` relevantes en estas ubicaciones:

* **Midaz**
  * `/midaz/components/ledger` usa `PLUGIN_AUTH_HOST`
  * `/midaz/components/crm` usa `PLUGIN_AUTH_ADDRESS`
* **Otros productos y plugins**
  * Usa el archivo `.env` en la raíz del producto o plugin, o en el directorio del componente cuando el repositorio esté dividido en componentes.
  * Reporter, Tracer, Flowker, CRM, Fees Engine, Bank Transfer, Pix Indirect BTG y Fetcher usan `PLUGIN_AUTH_ADDRESS`.
  * Pix Directo JD usa `PLUGIN_AUTH_HOST`.

<Tip>
  Si no ves los archivos, ajusta la configuración de tu sistema para mostrar archivos ocultos. Los archivos `.env` suelen estar ocultos por defecto.
</Tip>

## Reconstruir después de los cambios

***

Después de actualizar el entorno, reconstruye tus imágenes de Docker para aplicar los cambios:

<Steps>
  <Step>
    En tu terminal, ve a la raíz de tu proyecto.
  </Step>

  <Step>
    Si Docker está en ejecución, detenlo:

    <CodeGroup>
      ```bash Bash theme={null}
      make down
      ```
    </CodeGroup>
  </Step>

  <Step>
    Luego reconstruye todo:

    <CodeGroup>
      ```bash Bash theme={null}
      make rebuild-up
      ```
    </CodeGroup>
  </Step>
</Steps>

## Ciclo de vida del despliegue

***

La configuración de Access Manager tiene dos fases:

* **Bootstrap** prepara un entorno nuevo con las organizaciones, roles, grupos, aplicaciones y conjuntos de permisos base que requiere la plataforma.
* **Operación** comienza cuando el entorno está en ejecución. A partir de ese punto, gestiona el acceso a través de las APIs de Identity o Lerian Console.

Usa las APIs operativas para el acceso de usuarios, la asignación a grupos, las credenciales de aplicaciones, los proveedores y MFA. No modifiques un entorno en ejecución editando los archivos semilla del bootstrap.

<Warning>
  Los datos semilla del bootstrap solo se aplican durante la configuración inicial del entorno. Los cambios en recursos, acciones, roles, grupos, aplicaciones o conjuntos de permisos integrados de un entorno existente deben entregarse mediante actualizaciones controladas de la plataforma, como migraciones o un reconciliador idempotente.
</Warning>
