Volver a proyectos
Plataforma de identidad y accesoPublicado Operativo

Sistema de Acceso Centralizado

Sistema de identidad y acceso centralizado para aplicaciones municipales, diseñado para ordenar la autenticación de ciudadanos y agentes dentro de una capa institucional común. La solución permite integrar aplicaciones mediante estándares modernos de identidad, separar audiencias, gestionar perfiles de usuario y reutilizar información de acceso de forma consistente dentro del ecosistema municipal. El objetivo principal fue reducir la duplicación de logins, mejorar el control de acceso a sistemas internos y preparar una base segura para futuras aplicaciones digitales.

PostgreSQLDockerDocker ComposeNginxPythonNode.jsAngularNestJS

Contexto

El municipio necesitaba una base común de autenticación para sus aplicaciones digitales. Antes del proyecto, cada sistema podía resolver el acceso de forma aislada, generando duplicación de usuarios, reglas inconsistentes y mayor dificultad para auditar accesos. PatagonesAuth surge como componente central del ecosistema digital municipal, permitiendo que nuevas aplicaciones se integren contra un proveedor de identidad común en lugar de implementar mecanismos propios.

Complejidad

Alta

Mi rol en el proyecto

Arquitectura de software, liderazgo técnico, configuración IAM y automatización operativa

El problema

El municipio enfrentaba varios desafíos: Aplicaciones con mecanismos de login separados. Duplicación de usuarios y reglas de acceso. Falta de inicio de sesión unificado entre sistemas. Dificultad para representar áreas, perfiles y responsabilidades. Necesidad de mejorar trazabilidad sobre accesos y operaciones administrativas. Riesgo de crecimiento desordenado al sumar nuevas aplicaciones. Falta de una base común para identidad digital institucional.

La solución

Se implementó una plataforma IAM, orientada a centralizar la autenticación y estandarizar la información de identidad utilizada por las aplicaciones municipales. La solución contempla: Separación entre usuarios ciudadanos y usuarios agentes. Integración mediante protocolos estándar de identidad. Clientes diferenciados según tipo de aplicación. Gestión de estructura organizacional. Emisión de atributos de identidad para autorización en sistemas externos. Políticas de acceso diferenciadas según perfil. Automatización de tareas operativas y validaciones. Configuración versionada y reproducible.

Restricciones

  • La plataforma gestiona identidad, no reglas de negocio.
  • Los sistemas consumidores mantienen su propia autorización fina.
  • No se publican configuraciones sensibles.
  • No se exponen credenciales, secretos ni parámetros productivos.
  • La estructura organizacional debe mantenerse gobernada y documentada.
  • Las integraciones deben respetar contratos de identidad estables.
  • Los cambios operativos deben ser controlados, versionados y respaldados.

Arquitectura

La arquitectura se basa en un proveedor de identidad centralizado, desplegado en infraestructura contenerizada y preparado para integrarse con distintas aplicaciones municipales. Las aplicaciones externas se conectan mediante estándares modernos de autenticación e identidad. El frontend utiliza flujos seguros para usuarios interactivos, mientras que los servicios backend validan tokens y aplican sus propias reglas de autorización según el dominio funcional. La configuración del sistema se gestiona de forma versionada, con procesos de soporte para validar cambios, respaldar configuraciones críticas y mantener consistencia entre entornos. El diseño separa identidad de lógica de negocio: PatagonesAuth centraliza la autenticación y emite información de identidad, mientras que cada sistema consumidor define sus permisos internos y reglas específicas.

Decisiones técnicas

  • Usar un proveedor de identidad centralizado.
  • Adoptar estándares modernos de autenticación e identidad para integrar aplicaciones.
  • Separar aplicaciones interactivas y servicios backend.
  • Mantener la persistencia del sistema de identidad aislada de las bases de datos de negocio.
  • Contenerizar la plataforma para facilitar despliegue, portabilidad y mantenimiento.
  • Versionar la configuración relevante del sistema de identidad y acceso.
  • Automatizar validaciones sobre configuración, contratos e integraciones.
  • Separar identidad centralizada de autorización específica por aplicación.
  • Aplicar políticas diferenciadas según tipo de usuario y criticidad del acceso.
  • Mantener documentación técnica para operación, mantenimiento e integración de nuevos sistemas.

Seguridad

  • Autenticación centralizada mediante proveedor de identidad.
  • Validación de tokens en backend.
  • Separación entre clientes públicos y servicios backend.
  • Políticas de acceso diferenciadas por perfil.
  • Auditoría de eventos relevantes.
  • Control de configuración sensible fuera del repositorio.
  • Uso de flujos de autenticación estándar.
  • Respaldos antes de cambios críticos.
  • Principio de menor privilegio en integraciones.
  • Separación entre identidad, permisos de aplicación y lógica de negocio.

Resultado

El proyecto dejó una base centralizada de identidad lista para integrarse con aplicaciones municipales. Se logró reducir la duplicación de mecanismos de acceso, ordenar la estructura de autenticación, separar perfiles de usuario y preparar un contrato estable para que otros sistemas puedan consumir información de identidad de forma consistente. También se incorporaron validaciones automatizadas, respaldo de configuración, auditoría de eventos relevantes y documentación operativa para facilitar mantenimiento y evolución.

Aprendizajes

La identidad debe resolverse como infraestructura común, no como una funcionalidad repetida en cada aplicación. Un proveedor de identidad centralizado permite ordenar la autenticación, pero la autorización fina debe resolverse en cada sistema según su dominio. Separar usuarios ciudadanos y agentes simplifica reglas, pantallas, permisos y responsabilidades. La configuración de identidad y acceso debe versionarse, validarse y mantenerse bajo control técnico. Los atributos de identidad deben ser estables y no depender de nombres informales o estructuras ambiguas. Automatizar validaciones reduce el riesgo de errores al modificar configuraciones críticas. La trazabilidad es fundamental cuando el sistema gestiona accesos institucionales.

Mejoras futuras

Profundizar la integración automática con fuentes institucionales de usuarios. Consolidar políticas de ciclo de vida de cuentas. Mejorar monitoreo y alertas sobre eventos de autenticación. Integrar nuevas aplicaciones municipales al esquema centralizado. Documentar guías de integración para futuros sistemas. Revisar periódicamente políticas de acceso y perfiles administrativos. Ampliar controles de auditoría y reportes operativos.