Autorización
Descripción
Componente que determina qué recursos y operaciones puede utilizar una entidad autenticada dentro del sistema, en función de su identidad, rol o atributos. Su propósito es responder la pregunta "¿qué puede hacer este usuario?", una vez que su identidad ya fue verificada. Opera de forma autónoma y transversal: cada vez que una entidad intenta acceder a un recurso o ejecutar una operación, el sistema evalúa silenciosamente si dispone de los permisos necesarios y permite o deniega el acceso según las políticas definidas.
Capacidades mandatorias
Capacidades mandatorias
- Evalúa los permisos de una entidad autenticada antes de permitir el acceso a un recurso o la ejecución de una operación
- Aplica políticas de acceso definidas explícitamente por el sistema (no por los usuarios finales)
- Opera transversalmente: presente en cada punto donde se restringe el acceso a funcionalidades o datos
- Es independiente y posterior a la autenticación
Capacidades adicionales
Capacidades adicionales
- Gestión administrativa de roles y permisos: permite a administradores autorizados crear, modificar y asignar roles y permisos a usuarios mediante una interfaz especializada
- Granularidad fina: controla el acceso no solo a operaciones, sino también a entidades específicas o a atributos individuales dentro de una entidad
- Caché de evaluaciones: almacena temporalmente decisiones de acceso para reducir la carga del sistema en evaluaciones repetidas
- Auditoría de decisiones de acceso: registra qué usuarios accedieron a qué recursos y cuándo, complementando al Log de Auditoría general
Delimitaciones
Qué no es
- No es Autenticación: la autenticación verifica quién es la entidad; la autorización determina qué puede hacer una vez autenticada
- No incluye intrínsecamente la creación o modificación de roles o permisos; cuando esa funcionalidad existe, se materializa como un Mantenedor especializado
- No es visible para el usuario final como una funcionalidad propia: opera en segundo plano, restringiendo o habilitando el acceso a otros componentes del sistema
Flujo de información
Entrada
Identidad o rol de la entidad autenticada, recurso u operación solicitada
→
Salida
Decisión de acceso (permitido o denegado), que habilita o bloquea la interacción con el recurso solicitado
Modalidades
- Control basado en roles (RBAC): los permisos se asignan a roles predefinidos (administrador, editor, lector), y los usuarios heredan los permisos del rol que se les asigna. Es el modelo más común en sistemas de información.
- Control discrecional (DAC): el propietario de un recurso determina quién puede acceder a él y con qué nivel de permisos. Común en sistemas de gestión documental y almacenamiento en la nube.
- Control basado en atributos (ABAC): los permisos se evalúan dinámicamente en función de atributos del usuario, del recurso y del contexto (hora del día, ubicación). Permite políticas más granulares y flexibles.
Dependencias típicas
- Componente de Autenticación, que provee la identidad verificada sobre la cual se evalúan los permisos
- Base de Datos donde se almacenan las definiciones de roles, permisos y sus asignaciones a usuarios
Ejemplos
Slack — roles con distintos niveles de acceso: propietario del workspace, administradores, y miembros con acceso a canales específicos
Mapeo al Tablero Digital
Entradas ManualesOpcional
Entradas AutomáticasNo
Conceptos de DatosSiempre
Salidas por DemandaNo
Salidas AutomáticasNo
Procesos AutónomosSiempre
| Sección | Vínculo | Observación |
|---|---|---|
| Entradas Manuales | Opcional | Asignación y revocación de roles o permisos por parte de administradores, cuando la capacidad de gestión administrativa está presente. |
| Entradas Automáticas | No | — |
| Conceptos de Datos | Siempre | Rol, Permiso y la asignación entre usuarios y roles. |
| Salidas por Demanda | No | — |
| Salidas Automáticas | No | — |
| Procesos Autónomos | Siempre | Evaluación de permisos en cada intento de acceso a un recurso u operación. |
Ejemplo de Tablero Digital
Tablero Digital de la Autorización con tarjetas de ejemplo