Pular para o conteúdo principal
Instalar o Access Manager não basta por si só. Para começar a aplicar o controle de acesso, você o ativa em cada produto definindo as variáveis de Auth no arquivo .env de qualquer produto ou plugin da Lerian onde quiser deixá-lo ativo.
Habilitar o Access Manager apenas liga a aplicação de autorização em um produto ou plugin. Dados de acesso como usuários, grupos, aplicações, providers, roles e permissões são gerenciados separadamente através do Access Manager.
Cada produto protegido precisa habilitar a validação e apontar para o Auth. A variável de endereço não é a mesma em todos os repositórios, então use a variável esperada pelo produto que você está configurando: 
# Maioria dos produtos e plugins
PLUGIN_AUTH_ENABLED=true
PLUGIN_AUTH_ADDRESS=http://plugin-auth:4000
Para deployments BYOC multi-tenant, habilite o modo multi-tenant no Access Manager e em cada produto protegido que participa do isolamento de tenant: 
# MULTI-TENANT CONFIG
MULTI_TENANT_ENABLED=true
Em deployments single-tenant, o Access Manager usa a organização padrão configurada. Em deployments multi-tenant, o escopo do tenant é resolvido a partir do token confiável e do contexto da aplicação.
Uma vez que o Access Manager esteja habilitado, as requisições a APIs protegidas devem incluir um header Authorization com um Bearer access token válido.Sem esse header, requisições protegidas serão rejeitadas, mesmo para endpoints que antes eram acessíveis sem autenticação.Aprenda como gerar e usar access tokens.

Onde atualizar

Você encontrará os arquivos .env relevantes nestas localizações:
  • Midaz
    • /midaz/components/ledger usa PLUGIN_AUTH_HOST
    • /midaz/components/crm usa PLUGIN_AUTH_ADDRESS
  • Outros produtos e plugins
    • Use o arquivo .env na raiz do produto ou plugin, ou no diretório do componente quando o repositório for dividido em componentes.
    • Reporter, Tracer, Flowker, CRM, Fees Engine, Bank Transfer, Pix Indirect BTG e Fetcher usam PLUGIN_AUTH_ADDRESS.
    • Pix Direct JD usa PLUGIN_AUTH_HOST.
Não consegue ver os arquivos? Ajuste as configurações do seu sistema para mostrar arquivos ocultos. Arquivos .env geralmente ficam ocultos por padrão.

Reconstruir após as alterações

Após atualizar o ambiente, reconstrua suas imagens Docker para aplicar as alterações:
1
No seu terminal, vá para a raiz do seu projeto.
2
Se o Docker estiver rodando, pare-o:
make down
3
Então reconstrua tudo:
make rebuild-up

Ciclo de vida do deployment

A configuração do Access Manager tem duas fases:
  • Bootstrap popula um novo ambiente com as organizações, roles, groups, aplicações e permission sets básicos exigidos pela plataforma.
  • Operação começa quando o ambiente está em execução. A partir daí, gerencie o acesso pelas APIs do Identity ou pelo Lerian Console.
Use as APIs operacionais para acesso de usuários, atribuição de grupos, credenciais de aplicação, providers e MFA. Não altere um ambiente em execução editando arquivos de seed do bootstrap.
Os dados de seed do bootstrap são aplicados apenas durante a configuração inicial do ambiente. Mudanças em resources, actions, roles, groups, aplicações ou permission sets nativos em um ambiente existente devem ser entregues por atualizações controladas da plataforma, como migrations ou um reconciler idempotente.