Las instituciones universitarias operan con múltiples sistemas, múltiples unidades organizacionales y múltiples perfiles de usuario —estudiantes, docentes, administrativos, directivos— que deben acceder a distintos servicios con distintos niveles de acceso. Gestionar esa diversidad de manera coherente, segura y sin fricciones para el usuario final es uno de los desafíos operativos más complejos en la gestión de TI universitaria.
El Identity Hub es el servicio central de gestión de identidad, acceso y permisos de la Foris Suite. Define quién puede acceder al sistema, desde qué contexto organizacional, con qué nivel de permisos y sobre qué servicios. Sirve como la autoridad de identidad para todos los productos de la Suite: cualquier usuario que acceda a Albus, Darwin, Stella o cualquier otro servicio de Foris es autenticado y autorizado a través del Identity Hub.
¿Por qué el Identity Hub?
Las instituciones universitarias operan con múltiples sistemas, múltiples unidades organizacionales y múltiples perfiles de usuario —estudiantes, docentes, administrativos, directivos— que deben acceder a distintos servicios con distintos niveles de acceso. Gestionar esa diversidad de manera coherente, segura y sin fricciones para el usuario final es uno de los desafíos operativos más complejos en la gestión de TI universitaria.
El Identity Hub resuelve ese desafío con una capa de identidad centralizada que se integra con los sistemas de autenticación existentes de la institución, evitando la necesidad de múltiples credenciales o portales de acceso separados.
Modelo de Organización
El Identity Hub estructura la identidad en una jerarquía de tres niveles:
Organización
Representa a la institución universitaria como entidad raíz. Cada organización tiene su propio dominio único y su propia configuración de autenticación. Una organización puede contener múltiples tenants, permitiendo a instituciones con varias unidades (campus, escuelas, subsidiarias) operar de forma aislada o conectada según sus necesidades.
Tenant
Una sub-organización dentro de la organización principal. Cada tenant tiene su propio subdominio y puede tener habilitados distintos servicios de Foris con configuraciones independientes. Los tenants permiten que unidades dentro de la misma institución operen en entornos aislados, con datos y configuraciones propias, sin interferencia entre sí.
Servicio (TenantService)
La configuración de cómo se despliega un servicio específico (Albus, Darwin, Stella, etc.) dentro de un tenant específico. Contiene configuraciones de despliegue, configuraciones de entorno, dominios y subdominios asignados, y configuraciones encriptadas específicas de la instancia. La separación entre configuraciones públicas y privadas permite mantener datos sensibles protegidos sin impactar la entrega de configuración a los servicios.
Autenticación y SSO
Integración con Keycloak
El Identity Hub utiliza Keycloak como motor de autenticación, soportando los estándares OAuth2 y OpenID Connect. Esto permite:
- Single Sign-On (SSO): el usuario se autentica una sola vez y accede a todos los servicios de la Suite sin volver a ingresar credenciales
- Múltiples reinos de autenticación: cada organización puede tener su propio realm de Keycloak, con configuraciones de autenticación independientes
- Integración con identity providers externos: la institución puede conectar sus propios sistemas de autenticación existentes (LDAP, Active Directory, SAML, Google, Microsoft, etc.) como proveedores de identidad, de modo que los usuarios se autentican con sus credenciales institucionales habituales
- Sistema de autenticación propio: para instituciones que no tienen un sistema de SSO configurado, el Identity Hub incluye su propio sistema de autenticación con gestión de usuarios y contraseñas
Gestión de tokens
- Emisión y renovación automática de tokens de autenticación (JWT)
- Validación de tokens contra el realm Keycloak correspondiente a la organización del usuario
- Suplantación de usuarios para propósitos administrativos, con trazabilidad
Control de Acceso
Acceso de usuarios a tenants y servicios
El Identity Hub determina de manera granular qué puede acceder cada usuario:
- Acceso a tenants: cada usuario tiene una lista explícita de tenants a los que tiene acceso. Un usuario puede tener acceso a uno o múltiples tenants dentro de su organización
- Acceso a servicios: dentro de cada tenant, se controla qué servicios puede usar el usuario (Albus, Darwin, Stella, etc.)
- Permisos por servicio: cada servicio integra su propio sistema de permisos granulares (por ejemplo, Darwin tiene 23 capacidades de usuario configurables). El Identity Hub provee la capa de autenticación; la lógica de permisos fina es responsabilidad de cada servicio
Aislamiento multi-tenant
El modelo de tenants garantiza que los datos y configuraciones de una unidad organizacional no sean accesibles desde otra, salvo configuración explícita. Esto es crítico para instituciones con múltiples campus o escuelas que comparten plataforma pero requieren separación de datos.
Gestión de Usuarios
- Creación de cuentas: creación de usuarios con datos básicos de identidad (nombre de usuario, nombre, apellido, email) y asignación a organización y tenants
- Invitaciones: sistema de invitación por email con expiración configurable. Un administrador puede invitar a un usuario al sistema; la invitación expira si no es aceptada en el plazo definido
- Actualización de perfiles: gestión de información personal y metadatos extendidos del usuario (campo JSON flexible para datos adicionales por institución)
- Relaciones usuario-tenant: asignación y desasignación de usuarios a tenants de manera dinámica
Integración con la Foris Suite
El Identity Hub es un servicio transversal que todos los productos de la Suite consultan:
| Integración | Uso |
|---|---|
| Albus | Autenticación de estudiantes, asesores y staff; SSO con el sistema institucional |
| Darwin | Autenticación del equipo de programación académica; permisos granulares por rol |
| Stella | Autenticación del equipo de acompañamiento estudiantil |
| Data Platform | Autenticación para el Data Gateway y servicios de datos |
| Process Platform | Control de acceso a la configuración de reglas, workflows y procesos |
| Agents Platform | Identidad y contexto del usuario para personalización de agentes IA |
Usuarios del Servicio
| Perfil | Uso principal |
|---|---|
| Administrador institucional | Configuración de la organización, tenants, servicios y usuarios |
| TI / Integraciones | Configuración del SSO, conexión con identity providers externos |
| Usuarios finales | Autenticación transparente vía SSO o sistema propio de Foris |