Autenticación y Permisos
Modelo de multitenancy
Cada tenant tiene su propio realm en Keycloak. Los usuarios de un tenant nunca ven datos de otros tenants.
Primer login (BD limpia)
- Bootstrap crea tenant
defaultdesde.env - Bootstrap crea módulos, permisos y roles
- Admin hace login → guard crea el
Useren BD - Primer usuario del tenant → asignado automáticamente a
super_admin - Redis cachea la sesión
Roles disponibles
| Rol | Descripción |
|---|---|
super_admin | Acceso total al sistema |
tenant_admin | Administra su tenant |
manager | Crea y gestiona expedientes |
reviewer | Revisa y aprueba |
readonly | Solo lectura |
api_full | M2M — acceso total via API |
api_readonly | M2M — solo lectura via API |
Permisos granulares
Los permisos son por módulo y acción: dossier.Create, document.Upload,
task.List, etc. Se configuran desde el menú Seguridad → Roles.
El sistema tiene actualmente 92 permisos distribuidos en 17 módulos.
Fuente de verdad: api/src/bootstrap/permissions.json.