Pular para o conteúdo principal

Documentation Index

Fetch the complete documentation index at: https://docs.lerian.studio/llms.txt

Use this file to discover all available pages before exploring further.

Instalar o Access Manager significa colocar os serviços Auth e Identity em funcionamento, conectados às suas dependências e prontos para responder a decisões de acesso. É o passo que precisa acontecer antes que qualquer produto Lerian possa aplicar autenticação ou permissões. Este guia foi escrito para operadores que estão configurando o ambiente. Ele explica o que a instalação realmente cobre, o que você precisa ter no lugar e a ordem em que subir cada peça. Para os comandos do Helm chart e a configuração no nível do chart, siga a página Access Manager via Helm.

Pré-requisitos

Você não precisa ser especialista em Kubernetes para planejar uma instalação, mas precisa ter uma visão clara das peças envolvidas. Trate a lista abaixo como um checklist antes de começar.

Licença

O Access Manager é um recurso Enterprise e requer uma licença Lerian válida para rodar. Sem ela, os serviços não iniciam. Veja a documentação de Licença para detalhes. Se você ainda não tem uma licença, entre em contato com nosso time.

Modelo de deployment

Decida como você vai rodar o Access Manager. A escolha define a resolução de tenant, a configuração do provedor de identidade e alguns padrões operacionais mais adiante.
  • SaaS - A Lerian opera a plataforma; os fluxos de acesso são limitados ao tenant a partir de claims confiáveis do JWT.
  • BYOC multi-tenant - Você opera o Access Manager, e o contexto de tenant vem de claims confiáveis do token, nunca de payloads ou headers da requisição.
  • BYOC single-tenant - Você opera o Access Manager contra uma organização padrão configurada. Você também pode manter seu provedor de identidade existente e usar o Access Manager para autorização no nível do produto.
Se você não tem certeza de qual modelo se aplica, confirme com seu contato na Lerian antes de instalar.

Serviço Auth

O lado de runtime do Access Manager: emite e renova tokens, valida sessões, verifica permissões, trata logout e informações do usuário e executa desafios de MFA. O Auth precisa ser acessível pela rede a partir de todo produto Lerian protegido.

Serviço Identity

O lado de dados do Access Manager: usuários, grupos, aplicações, provedores de comunicação, vínculos entre aplicação e provedor e configuração de MFA. O Identity é a superfície de gerenciamento; o Auth lê dele para tomar decisões.

Provedor de identidade

O Access Manager delega o armazenamento de identidade a um provedor de identidade. Em deployments SaaS e na maioria dos BYOC isso já vem pré-configurado. Em deployments BYOC single-tenant nos quais você já opera seu próprio provedor, você pode mantê-lo e deixar o Access Manager adicionar autorização no nível do produto por cima.

Serviços de dados e cache

  • Uma instância PostgreSQL para armazenar os dados de identidade.
  • Um cache Valkey para operações relacionadas a tokens, permissões e MFA.
Ambos precisam ser provisionados e estar acessíveis antes do Auth e do Identity iniciarem. As decisões de dimensionamento e alta disponibilidade dependem do seu modelo de deployment.

Conectividade dos produtos

Planeje os caminhos de rede agora para não ter que depurá-los depois:
  • Produtos protegidos precisam alcançar o Auth pela rede.
  • Administradores (e qualquer ferramenta de back-office) precisam alcançar o Identity para gerenciar usuários, grupos, aplicações e provedores.
  • Nenhum dos serviços deve ser exposto publicamente sem os controles de ingress apropriados.

Dados de ambiente e bootstrap

Um ambiente novo precisa de dados de acesso base, incluindo organizações, roles nativas, grupos, aplicações e conjuntos de permissões, populados uma vez na inicialização. Essa é a camada de bootstrap. Depois que o ambiente está rodando, as alterações do dia a dia acontecem pelas APIs de Identidade ou pelo Lerian Console, e não por edição dos dados de bootstrap.
Os dados de bootstrap são aplicados apenas durante a configuração inicial do ambiente. Alterações em recursos, ações, roles, grupos, aplicações ou conjuntos de permissões nativos em um ambiente existente devem ser entregues por meio de atualizações controladas da plataforma, como migrations ou um reconciler idempotente.

Fluxo de instalação

Siga estes passos na ordem. Cada um se apoia no anterior, e pular etapas é a causa mais comum de problemas evitáveis depois.
1

Escolha seu modelo de deployment

Escolha SaaS, BYOC multi-tenant ou BYOC single-tenant e confirme com seu contato na Lerian as decisões específicas do modelo: estratégia de tenant, provedor de identidade e escopo de licenciamento. Anote isso, porque cada passo seguinte se refere a essa escolha.
2

Prepare as dependências

Provisione a infraestrutura de apoio para que o Auth e o Identity tenham tudo o que precisam na inicialização:
  • uma licença Lerian válida configurada para o ambiente;
  • uma instância PostgreSQL para os dados de identidade;
  • um cache Valkey para tokens, permissões e MFA;
  • o provedor de identidade que você pretende usar (gerenciado ou próprio);
  • os caminhos de rede entre o Access Manager, suas dependências e os produtos que vão aplicar controle de acesso.
Não avance até que cada dependência esteja acessível a partir de onde o Access Manager vai rodar.
3

Faça o deploy do Auth e do Identity

Instale os serviços do Access Manager no seu ambiente. Para Kubernetes, o caminho suportado é o Helm chart. Veja Access Manager via Helm para versões do chart, registro OCI e o comando helm install exato.Se você só precisa avaliar o Access Manager localmente antes de um deployment real, pode rodar os plugins com o repositório plugins-docker-compose.
4

Faça o bootstrap dos dados de acesso base

Na primeira inicialização, o Access Manager popula o ambiente com as organizações, roles nativas, grupos, aplicações e conjuntos de permissões base dos quais a plataforma depende. Deixe o bootstrap terminar antes de apontar qualquer produto para os serviços.A partir deste ponto, trate os dados de bootstrap como somente leitura. Gerencie o acesso do dia a dia pelas APIs de Identidade ou pelo Lerian Console.
5

Valide os serviços

Confirme que a instalação está saudável antes que qualquer produto dependa dela:
  • Auth e Identity reportam estar saudáveis e são acessíveis pelos produtos que vão usá-los.
  • PostgreSQL e Valkey estão conectados e responsivos.
  • O provedor de identidade está configurado e acessível.
  • Uma requisição de token de teste é bem-sucedida no Auth, e uma chamada básica ao Identity (por exemplo, Listar Grupos) retorna os dados populados.
Se algo nessa lista falhar, corrija aqui. Não habilite produtos sobre uma instalação não saudável.
6

Habilite os produtos protegidos

Depois que a instalação estiver validada, ative o controle de acesso dentro de cada produto ou plugin Lerian definindo as variáveis do Auth no seu .env. A configuração completa por produto, incluindo os ajustes multi-tenant, está em Habilitando o Access Manager.
7

Use o Access Manager

Com a instalação concluída e os produtos aplicando controle de acesso, parta para a operação do dia a dia: solicitar tokens, gerenciar usuários, grupos e aplicações, configurar MFA e chamar APIs protegidas. Comece por Usando o Access Manager para o fluxo de API, ou Access Manager via Lerian Console para o fluxo visual.
Trate a instalação como um marco próprio. Auth e Identity devem estar implantados, saudáveis e validados antes de colocar qualquer produto em modo de controle de acesso. Esse único hábito evita a maioria dos incidentes de primeiro dia.

Próximos passos