Saltar al contenido principal

Documentation Index

Fetch the complete documentation index at: https://docs.lerian.studio/llms.txt

Use this file to discover all available pages before exploring further.

Identity es el servicio de gestión de Access Manager. Es donde los administradores definen quién puede acceder a los productos Lerian: a qué grupos pertenece cada persona, qué aplicaciones pueden autenticarse con credenciales máquina a máquina y qué proveedores de comunicación están disponibles para entrega de MFA. Identity no emite tokens de acceso ni toma decisiones de autorización en tiempo de ejecución. Auth usa los datos de identidad que se gestionan aquí para autenticar sujetos y evaluar permisos. Usa Identity cuando necesites:
  • crear, actualizar, listar o eliminar usuarios;
  • asignar usuarios a grupos de producto;
  • listar grupos predefinidos e inspeccionar sus permisos;
  • crear, listar, recuperar o eliminar aplicaciones máquina a máquina;
  • crear, actualizar, listar, recuperar o eliminar proveedores de comunicación;
  • vincular proveedores a aplicaciones y seleccionar el proveedor predeterminado;
  • iniciar, verificar, activar, desactivar, revisar o cambiar la configuración de MFA de los usuarios;
  • restablecer o actualizar contraseñas de usuario.

Usuarios y grupos

El acceso humano se gestiona mediante usuarios y grupos predefinidos. Un grupo representa un conjunto de permisos para un producto o un área de Access Manager. Por ejemplo, un usuario puede asignarse a un grupo viewer de Midaz para inspeccionar datos del ledger sin modificarlos, y a un grupo contributor de Reporter para crear plantillas de reportes. Si ese mismo usuario no tiene grupo para Fees, no recibe acceso a Fees. Identity expone endpoints de usuario para listar usuarios, crear usuarios, recuperar un usuario, actualizar la información de usuario y las asignaciones de grupo, eliminar usuarios, actualizar contraseñas y restablecer contraseñas. Los endpoints de listado de usuarios y grupos están paginados con page y limit. En despliegues multi-tenant, los usuarios y grupos se acotan a partir del bearer token. El servicio lee la organización de tenant del contexto autenticado y devuelve solo los usuarios y grupos que pertenecen a ese tenant. En despliegues single-tenant, los mismos endpoints devuelven el conjunto de todo el entorno. Cuando creas o actualizas un usuario, envía los IDs de grupo que devuelve Listar grupos. La API se encarga del prefijado interno de la organización; los clientes no deben construir manualmente valores organization/group al estilo de Casdoor.
No envíes la pertenencia de tenant en los payloads de usuario. Identity deriva el alcance de tenant del bearer token y luego aplica los cambios de usuario y grupo solicitados dentro de ese tenant.

Niveles de rol

Access Manager usa niveles de rol consistentes en todos los productos:
RolAcceso típico
AdminAcceso completo, incluidas las operaciones administrativas.
EditorPuede leer, crear, actualizar y eliminar recursos.
ContributorPuede leer, crear y actualizar recursos, pero no eliminar.
ViewerAcceso de solo lectura.
Los roles tienen alcance por producto o aplicación. Un usuario puede ser Editor en Midaz, Viewer en Reporter y no tener acceso a Fees.
Los conjuntos de permisos están predefinidos por Lerian. Usa Listar grupos y Obtener detalles del grupo para inspeccionar los grupos disponibles en tu entorno, y asigna usuarios enviando los IDs de grupo devueltos a través de Crear un usuario o Actualizar un usuario.
Si un usuario no tiene grupo asignado para un producto, no tiene acceso a ese producto, ni siquiera de solo lectura.
Para el modelo de recurso-acción, los vocabularios de acciones que usa cada producto y cómo se protegen las rutas en tiempo de ejecución, consulta Aplicación a nivel de producto. Para el flujo de API que une usuarios, grupos y tokens, consulta Usar Access Manager.

Aplicaciones

Las aplicaciones representan clientes máquina a máquina para el grant client_credentials. Úsalas cuando un servicio, job o integración necesita autenticarse sin un usuario humano. Una aplicación almacena el clientId y el clientSecret que usa Auth durante el flujo client_credentials. Tras crear una aplicación, la integración puede solicitar un token de acceso a Auth y llamar a las APIs Lerian protegidas según sus permisos configurados. Identity admite:
  • listar aplicaciones;
  • crear aplicaciones;
  • recuperar detalles de aplicación;
  • eliminar aplicaciones.
Por ejemplo, un job de conciliación puede usar una aplicación de Bank Transfer para solicitar un token y llamar solo a los endpoints que necesita su flujo de trabajo. El catálogo actual de permisos M2M incluye estos nombres de aplicación:
Nombre de aplicaciónUso típico
midazAutomatización del ledger central.
plugin-feesAutomatización de paquetes de tarifas, tarifas y estimaciones.
plugin-crmAutomatización de holders y alias del CRM.
reporterAutomatización de reportes y plantillas.
plugin-br-pix-direct-jdAutomatización de Pix Direct JD.
plugin-br-pix-indirect-btgAutomatización de Pix Indirect BTG.
plugin-br-bank-transferAutomatización de Bank Transfer.
Los nombres de aplicación son identificadores de producto, no etiquetas de visualización de la interfaz. No uses nombres fuera de este catálogo a menos que tu entorno haya añadido explícitamente esa aplicación y su conjunto de permisos.
Identity filtra las aplicaciones internas de la lista pública de aplicaciones. En modo multi-tenant, también devuelve solo las aplicaciones vinculadas a la organización de tenant de quien llama.

Acotación por tenant

En despliegues multi-tenant, Identity usa el contexto autenticado como el límite de tenant para las operaciones de gestión:
  • las operaciones de usuario aplican a la organización de tenant de quien llama;
  • las listas de grupos incluyen solo los grupos de permisos disponibles en ese tenant;
  • las listas de aplicaciones incluyen solo las aplicaciones máquina a máquina vinculadas a ese tenant;
  • las credenciales de aplicación creadas para una integración pertenecen al tenant que las creó.
Esto mantiene el acceso operativo local al tenant. Un token de administrador de un tenant no puede listar ni mutar los usuarios, grupos o aplicaciones de otro tenant a través de las APIs públicas de Identity.

Proveedores de comunicación

Los proveedores de comunicación definen los servicios de entrega de email o SMS disponibles para las aplicaciones, incluidos los flujos de MFA. Se gestionan por separado de las aplicaciones para que el mismo proveedor pueda reutilizarse y controlarse de forma consistente. Identity admite:
  • listar proveedores;
  • crear proveedores;
  • recuperar detalles de proveedor;
  • actualizar proveedores;
  • eliminar proveedores.
Identity también admite los vínculos aplicación-proveedor:
  • listar los proveedores vinculados a una aplicación;
  • vincular un proveedor a una aplicación;
  • actualizar un vínculo de proveedor;
  • desvincular un proveedor de una aplicación;
  • establecer el proveedor predeterminado de una aplicación.
Usa un proveedor predeterminado cuando una aplicación tiene más de un proveedor vinculado y necesita una ruta de autenticación preferida.

Gestión de MFA

Identity gestiona la configuración de MFA de los usuarios. Auth usa esa configuración durante el inicio de sesión cuando se requiere MFA. Identity admite:
  • iniciar la configuración de MFA;
  • verificar un código de acceso de MFA durante la configuración;
  • activar MFA tras la verificación;
  • desactivar MFA;
  • recuperar el estado actual de MFA;
  • establecer el método de MFA preferido.
MFA puede usar métodos admitidos como aplicación de autenticación, correo electrónico o SMS, según la configuración del entorno y los datos de perfil de usuario disponibles.

Arquitectura y flujo de identidad

  1. Solicitud de gestión
    • Un administrador o cliente autorizado llama a una API de Identity.
    • La solicitud se autentica y se verifica contra los permisos de Access Manager.
  2. Procesamiento de la solicitud
    • Identity valida el payload y aplica la operación solicitada.
    • El servicio actualiza usuarios, grupos, aplicaciones, proveedores, vínculos de proveedor o configuración de MFA en el sistema de identidad configurado.
  3. Uso en tiempo de ejecución
    • Auth lee los datos de identidad resultantes durante los flujos de token, permisos y MFA.
    • Los productos Lerian protegidos dependen de las decisiones de Auth antes de procesar operaciones de producto.

Descripción general de la API

Identity expone APIs para:
  • usuarios;
  • grupos;
  • aplicaciones;
  • proveedores;
  • vínculos aplicación-proveedor;
  • configuración y gestión de MFA;
  • flujos de restablecimiento y actualización de contraseña.
El acceso está protegido por estrictos controles de permiso. Para obtener detalles técnicos, consulta la documentación de APIs de Identity.