Autenticación unificada del ecosistema
Estado: Planificado (Q3 2026)
La autenticación unificada (SSO) es una iniciativa planificada. Actualmente cada facultad de Dikaia gestiona su propia autenticación de forma independiente. Esta página describe la visión y el diseño técnico previsto.
Visión
Cuando esté implementado, el SSO permitirá que todas las facultades del ecosistema Dikaia compartan el mismo inicio de sesión sin duplicar credenciales ni sesiones de usuario.
Estado actual
Hoy, cada facultad maneja su autenticación de forma independiente:
| Facultad | Autenticación actual |
|---|---|
| AXIA | Clerk |
| ERGON | Firebase Auth |
| FORUM | Firebase Auth |
| PACT | Auth.js / NextAuth v5 |
| AEGIS | Email/password + Google OAuth |
| GNOSIS | Clerk |
Esto significa que el usuario necesita credenciales separadas para cada facultad. La unificación es una prioridad del roadmap de infraestructura.
Objetivos de la unificación
- Consolidar el ingreso a todas las facultades con un único proveedor de identidad.
- Reducir tareas operativas para administradores al centralizar altas, bajas y cambios de usuarios.
- Garantizar auditoría consistente de accesos y trazabilidad para cumplimiento normativo.
Diseño previsto
Flujo de autenticación (futuro)
- El usuario accede a cualquier facultad del ecosistema.
- La facultad redirige al servicio de identidad centralizado (auth.dikaia.io).
- El usuario valida credenciales o usa un segundo factor cuando esté habilitado.
- El proveedor emite un token JWT con los roles autorizados.
- La facultad de origen registra la sesión y aplica reglas de permisos.
Roles y permisos (previstos)
| Rol | Descripción | Facultades disponibles |
|---|---|---|
| super_admin | Gestión global del ecosistema | Todas las facultades |
| organizacion_admin | Configura usuarios y parámetros de su organización | Facultades incluidas en su suscripción |
| operador | Ejecuta tareas operativas y gestiona expedientes | Facultad asignada |
| consulta | Acceso de solo lectura a reportes y dashboards | Facultades habilitadas |
Integración técnica (prevista)
| Elemento | Valor previsto |
|---|---|
| Proveedor candidato | Clerk |
| Issuer | https://auth.dikaia.io |
| Audience | https://api.dikaia.io |
| Algoritmo | RS256 |
Roadmap
Fase 1 — Q3 2026
- Migrar todas las facultades a Clerk como proveedor común
- Habilitar SSO entre AXIA y GNOSIS (que ya usan Clerk)
Fase 2 — Q4 2026
- Extender SSO a ERGON, FORUM y PACT
- Implementar panel de administración centralizado de usuarios
Fase 3 — 2027
- MFA obligatorio para roles administrativos
- Webhooks de eventos de autenticación para auditoría
- API Gateway centralizado con validación de tokens unificada
Recomendaciones de seguridad (aplican ya)
Aunque el SSO aún no esté activo, estas prácticas se recomiendan para cada facultad:
- Usar contraseñas con al menos 12 caracteres.
- Habilitar MFA donde esté disponible (AXIA, GNOSIS).
- Revisar periódicamente los usuarios activos desde el panel de cada facultad.
- Revocar sesiones activas cuando se detecten dispositivos no reconocidos.
Siguientes pasos
- Revisar la página de Datos compartidos para entender el plan de sincronización de entidades.
- Explorar el Workflow multi-facultad para ver los escenarios de integración previstos.
- Consultar el Centro de soporte para dudas sobre autenticación en cada facultad.