En lugar de gestionar usuarios dentro de cada herramienta, el stack D4R centraliza el control de acceso en Authentik. Los grupos deciden quién entra a cada subdominio vía forward-auth con Traefik.
Grupos operativos
| Grupo | Acceso | Requiere alta interna |
|---|---|---|
| platform-admin | Todo el stack | No |
| ops | logs, status, n8n | No |
| kanban-users | kanban.d4r.es | Sí — Fizzy Identity |
| bi-users | bi.d4r.es | Sí — usuario Superset |
| automation-admin | n8n.d4r.es | Depende de RBAC |
| storage-admin | minio.d4r.es | Si se usan policies propias |
| data-admin | studio.d4r.es | Sí — panel interno |
Flujo de alta estándar
- Crear usuario en Authentik (
auth.d4r.es→ Directory → Users). - Asignarlo al grupo correspondiente.
- Si el grupo requiere identidad interna (kanban, bi), dar de alta también en la app.
Sincronización con Fizzy
Cuando un usuario entra en kanban-users, el portal D4R sincroniza automáticamente su Identity en Fizzy. También puede hacerse manualmente:
make kanban-user email='usuario@dominio.com' name='Nombre Apellido'Ese target crea el usuario en Authentik, lo añade al grupo y crea la Identity en Fizzy en un solo paso.
