Saltar al contenido principal

Documentation Index

Fetch the complete documentation index at: https://docs.lerian.studio/llms.txt

Use this file to discover all available pages before exploring further.

Instalar Access Manager significa poner en marcha los servicios Auth e Identity, conectarlos a sus dependencias y dejarlos listos para responder decisiones de acceso. Es el paso que debe ocurrir antes de que cualquier producto de Lerian pueda aplicar autenticación o permisos. Esta guía está escrita para operadores que están configurando el entorno. Explica qué cubre realmente la instalación, qué necesitas tener disponible y en qué orden levantar las cosas. Para los comandos del Helm chart y la configuración a nivel de chart, sigue la página Access Manager con Helm.

Requisitos previos

No necesitas dominar Kubernetes a fondo para planificar una instalación, pero sí necesitas una imagen clara de las piezas involucradas. Trata la lista de abajo como una checklist antes de empezar.

Licencia

Access Manager es una funcionalidad Enterprise y requiere una licencia válida de Lerian para ejecutarse. Sin ella, los servicios no se iniciarán. Consulta la documentación de licencia para más detalles. Si aún no tienes una licencia, ponte en contacto con nuestro equipo.

Modelo de despliegue

Decide cómo vas a ejecutar Access Manager. La elección determina la resolución de tenant, la configuración del proveedor de identidad y algunos valores operativos por defecto más adelante.
  • SaaS - Lerian ejecuta la plataforma; los flujos de acceso se acotan por tenant a partir de claims confiables del JWT.
  • BYOC multi-tenant - Tú ejecutas Access Manager, y el contexto de tenant proviene de claims confiables del token, nunca de payloads o headers de la solicitud.
  • BYOC single-tenant - Ejecutas Access Manager contra una organización por defecto configurada. También puedes mantener tu proveedor de identidad existente y usar Access Manager para la autorización a nivel de producto.
Si no estás seguro de qué modelo aplica, confírmalo con tu contacto de Lerian antes de instalar.

Servicio Auth

El lado de ejecución de Access Manager: emite y renueva tokens, valida sesiones, verifica permisos, gestiona el logout y la información de usuario, y ejecuta los desafíos de MFA. Auth debe ser accesible por red desde cada producto protegido de Lerian.

Servicio Identity

El lado de datos de Access Manager: usuarios, grupos, aplicaciones, proveedores de comunicación, vínculos entre aplicaciones y proveedores, y configuración de MFA. Identity es la superficie de gestión; Auth lee de ella para tomar decisiones.

Proveedor de identidad

Access Manager delega el almacenamiento de identidad a un proveedor de identidad. En SaaS y en la mayoría de los despliegues BYOC esto viene preconfigurado. En despliegues BYOC single-tenant donde ya operas tu propio proveedor, puedes mantenerlo y dejar que Access Manager añada la autorización a nivel de producto encima.

Servicios de datos y caché

  • Una instancia de PostgreSQL para el almacenamiento de datos de identidad.
  • Una caché Valkey para operaciones relacionadas con tokens, permisos y MFA.
Ambas deben estar aprovisionadas y accesibles antes de que Auth e Identity inicien. Las decisiones de dimensionamiento y alta disponibilidad dependen de tu modelo de despliegue.

Conectividad de productos

Planifica las rutas de red ahora para no tener que depurarlas después:
  • Los productos protegidos deben alcanzar Auth por red.
  • Los administradores (y cualquier herramienta de back-office) deben alcanzar Identity para gestionar usuarios, grupos, aplicaciones y proveedores.
  • Ninguno de los dos servicios debe exponerse públicamente sin los controles de ingress adecuados.

Datos de entorno y bootstrap

Un entorno nuevo necesita datos de acceso base, incluidos organizaciones, roles integrados, grupos, aplicaciones y conjuntos de permisos, sembrados una sola vez al iniciar. Esta es la capa de bootstrap. Una vez que el entorno está en funcionamiento, los cambios del día a día se realizan a través de las APIs de Identity o de Lerian Console, no editando datos de bootstrap.
Los datos sembrados por bootstrap solo se aplican durante la configuración inicial del entorno. Los cambios a recursos, acciones, roles, grupos, aplicaciones o conjuntos de permisos integrados en un entorno existente deben entregarse mediante actualizaciones controladas de la plataforma, como migraciones o un reconciliador idempotente.

Flujo de instalación

Sigue estos pasos en orden. Cada uno se apoya en el anterior, y saltarse pasos es la causa más común de problemas evitables más adelante.
1

Elige tu modelo de despliegue

Elige SaaS, BYOC multi-tenant o BYOC single-tenant y confirma cualquier decisión específica del modelo con tu contacto de Lerian: estrategia de tenant, proveedor de identidad y alcance de la licencia. Anótalo, porque cada paso posterior se refiere a esta elección.
2

Prepara las dependencias

Aprovisiona la infraestructura de soporte para que Auth e Identity tengan todo lo que necesitan al iniciar:
  • una licencia válida de Lerian configurada para el entorno;
  • una instancia de PostgreSQL para los datos de identidad;
  • una caché Valkey para tokens, permisos y MFA;
  • el proveedor de identidad que pretendes usar (gestionado o propio);
  • las rutas de red entre Access Manager, sus dependencias y los productos que eventualmente aplicarán el control de acceso.
No avances hasta que cada dependencia sea accesible desde donde se ejecutará Access Manager.
3

Despliega Auth e Identity

Instala los servicios de Access Manager en tu entorno. Para Kubernetes, la ruta soportada es el Helm chart. Consulta Access Manager con Helm para las versiones del chart, el registro OCI y el comando helm install exacto.Si solo necesitas evaluar Access Manager localmente antes de un despliegue real, puedes ejecutar los plugins con el repositorio plugins-docker-compose en su lugar.
4

Realiza el bootstrap de los datos de acceso base

En el primer inicio, Access Manager siembra el entorno con las organizaciones base, los roles integrados, grupos, aplicaciones y conjuntos de permisos de los que depende la plataforma. Deja que el bootstrap termine antes de apuntar cualquier producto a los servicios.A partir de este punto, trata los datos de bootstrap como de solo lectura. Gestiona el acceso del día a día a través de las APIs de Identity o de Lerian Console.
5

Valida los servicios

Confirma que la instalación esté saludable antes de que cualquier producto dependa de ella:
  • Auth e Identity reportan estar saludables y son accesibles desde los productos que los usarán.
  • PostgreSQL y Valkey están conectados y responden.
  • El proveedor de identidad está configurado y es accesible.
  • Una solicitud de token de prueba contra Auth tiene éxito, y una llamada básica a Identity (por ejemplo, Listar grupos) devuelve los datos sembrados.
Si algo de esta lista falla, corrígelo aquí. No habilites productos sobre una instalación que no esté saludable.
6

Habilita los productos protegidos

Una vez validada la instalación, activa el control de acceso dentro de cada producto o plugin de Lerian configurando las variables de Auth en su .env. La configuración completa por producto, incluidos los ajustes multi-tenant, está en Habilitar Access Manager.
7

Usa Access Manager

Con la instalación lista y los productos aplicando el control de acceso, pasa a la operación del día a día: solicitar tokens, gestionar usuarios, grupos y aplicaciones, configurar MFA y llamar a APIs protegidas. Empieza con Usar Access Manager para el flujo por API, o con Access Manager con Lerian Console para el flujo visual.
Trata la instalación como un hito propio. Auth e Identity deben estar desplegados, saludables y validados antes de poner cualquier producto en modo de control de acceso. Ese único hábito evita la mayoría de los incidentes del primer día.

Próximos pasos