El modelo de grupos de Authentik en el stack D4R ha crecido desde el diseño inicial. Este post cubre las adiciones más relevantes: la sincronización automática con Fizzy y Superset, la configuración específica de n8n detrás de Traefik y la matriz actualizada de acceso por subdominio.
Principio que no cambia
Los grupos de Authentik controlan quién pasa el perímetro. No sustituyen los usuarios internos de Fizzy, Superset, MinIO o n8n. Para aplicaciones con identidad propia, el grupo de Authentik es la puerta de entrada, no el sistema de identidad.
Sincronización automática desde el portal
El panel /admin/users del portal ya propaga cambios de grupo a las aplicaciones internas:
- Añadir
kanban-users→ creaIdentityen Fizzy si no existe - Añadir
bi-users→ aprovisiona cuenta en Superset con rolGamma - Retirar
bi-users→ desactiva la cuenta de Superset correspondiente
Para operaciones masivas o automatizaciones externas, el repo incluye scripts específicos:
# Alta completa: Authentik + kanban-users + Identity en Fizzy
make kanban-user email='usuario@dominio.com' name='Nombre Apellido'
# Sincronización masiva de identidades Fizzy desde lista de emails
make fizzy-sync emails='a@dominio.com b@dominio.com'n8n detrás de Traefik: variables necesarias
n8n detrás de un reverse proxy requiere configuración explícita para que las URLs públicas sean coherentes y para evitar el error ERR_ERL_UNEXPECTED_X_FORWARDED_FOR:
N8N_EDITOR_BASE_URL=https://n8n.d4r.es
WEBHOOK_URL=https://n8n.d4r.es/
N8N_PROTOCOL=https
N8N_PROXY_HOPS=1Sin N8N_PROXY_HOPS=1, n8n no confía en el header X-Forwarded-For que añade Traefik y puede rechazar peticiones legítimas o calcular mal los rate limits.
Matriz de acceso actualizada
| Subdominio | Grupo mínimo | ¿Basta Authentik? | Alta interna |
|---|---|---|---|
kanban.d4r.es | kanban-users | No | Identity en Fizzy |
bi.d4r.es | bi-users | Parcialmente | Cuenta en Superset |
n8n.d4r.es | automation-admin | Parcialmente | Depende de RBAC |
logs.d4r.es | ops | Sí | No |
traefik.d4r.es | platform-admin | Sí | No |
studio.d4r.es | data-admin | No | Panel interno |
minio.d4r.es | storage-admin | Parcialmente | Policies por usuario |
status.d4r.es | ops | Sí | No |
Grupos recomendados hoy
El modelo mínimo operativo para el stack D4R usa cuatro grupos:
| Grupo | Acceso |
|---|---|
platform-admin | Todo el stack |
ops | logs, status, n8n |
kanban-users | kanban + Identity en Fizzy |
bi-users | bi + cuenta en Superset |
Flujo de alta recomendado
El orden correcto para incorporar a alguien al stack:
- Crear el usuario en Authentik (o usar
make kanban-user/make portal-user). - Asignarlo a los grupos que correspondan.
- Si entra en
kanban-users: el portal omake kanban-usercrean laIdentityen Fizzy automáticamente. - Si entra en
bi-users: el portal aprovisiona la cuenta en Superset automáticamente.
Lo que no conviene hacer: dar platform-admin por comodidad a usuarios que solo necesitan acceso a kanban o bi, ni usar Authentik como sustituto de la base de usuarios de cada aplicación.
