Este backlog organiza el trabajo de producto de UMS en epicas e historias de usuario, tomando como base el orden definido en la Priorizacion de Historias Funcionales para MVP.
El backlog está orientado a Product Owner, Analista de Negocio, Direccion Ejecutiva y equipo de entrega. Se enfoca en valor de negocio y secuencia de construccion, manteniendo trazabilidad hacia las Functional Stories.
P1 es la maxima prioridad de producto.MVP Core son necesarias para demostrar el funcionamiento minimo de punta a punta.Post-MVP o Posterior no deben bloquear el MVP salvo que exista una condicion de cliente o regulatoria.| Epica | Nombre | Alcance | Rol en MVP | |
|---|---|---|---|---|
| EP-01 | Base de Tenant e Identidad | Registro de organizacion, limite de tenant, estrategia IdP, autenticacion corporativa | MVP Core | |
| EP-02 | Catalogo de Sistemas Gobernados | Topologia de sistema, modulo, menu, opcion y accion | MVP Core | |
| EP-03 | Diseno y Asignacion de Autorizacion | Plantillas de autorizacion, perfiles, asignacion manual, autoasignacion posterior | MVP Core / Posterior | |
| EP-04 | Base de Configuracion | Parametros jerarquicos por tenant/sistema y configuracion operativa | MVP Core | |
| EP-05 | Experiencia y Diagnostico de Acceso | Diagnostico por grafo y experiencia de login hospedado | Estabilizacion MVP | |
| EP-06 | Seguridad, Acceso Externo y Delegacion | MFA/passwordless, acceso B2B, administracion delegada | Post-MVP | |
| EP-07 | Ciclo de Vida de Cumplimiento | Documentos de usuario, notificaciones de expiracion, politica de acceso por expiracion | Post-MVP | |
| EP-08 | Automatizacion IGA Avanzada | Promocion de roles y madurez de gobierno | Posterior | ## Backlog Priorizado de Historias de Usuario |
| Orden | ID Historia | Epica | FS Origen | Fase | Historia de Usuario | Resultado de Negocio | Enfoque Inicial de Aceptacion | |
|---|---|---|---|---|---|---|---|---|
| 1 | US-001 | EP-01 | FS-03 | MVP Core | Como Administrador de Plataforma, quiero registrar una organizacion/tenant para que UMS gestione usuarios y accesos dentro de un limite de negocio claro. | UMS tiene un alcance de tenant controlado. | La organizacion se crea con identidad, responsable, estado y auditoria requeridos. | |
| 2 | US-002 | EP-01 | FS-03 | MVP Core | Como Administrador de Plataforma, quiero configurar la estrategia IdP del tenant para que los usuarios autentiquen con el proveedor corporativo correcto. | La estrategia de autenticacion queda gobernada por tenant. | La configuracion IdP se registra, valida, activa y queda trazable. | |
| 3 | US-003 | EP-02 | FS-04 | MVP Core | Como Responsable de Sistema, quiero registrar un sistema gobernado para que UMS pueda administrar su acceso. | UMS conoce que sistema gobierna. | El sistema se crea bajo la organizacion/tenant correcto con estado y responsable. | |
| 4 | US-004 | EP-02 | FS-04 | MVP Core | Como Responsable de Sistema, quiero definir modulos, menus, opciones y acciones para que los permisos de negocio se asignen sobre capacidades reales. | La autorizacion se basa en un catalogo funcional gobernado. | La topologia funcional está completa, ordenada, unica y disponible para plantillas. | |
| 5 | US-005 | EP-01 | FS-01 | MVP Core | Como Usuario Corporativo, quiero autenticarme mediante mi IdP externo para acceder a UMS sin credenciales separadas. | Los usuarios pueden ingresar con identidad corporativa. | Usuarios validos inician sesion y reciben el contexto correcto de tenant/sesion. | |
| 6 | US-006 | EP-01 | FS-01 | MVP Core | Como Administrador de Seguridad, quiero que los intentos invalidos de autenticacion se manejen claramente para mantener el acceso controlado. | Las fallas de autenticacion son entendibles y auditables. | Usuarios invalidos, tenants inactivos y errores IdP generan resultados controlados y auditoria. | |
| 7 | US-007 | EP-03 | FS-02 | MVP Core | Como Administrador de Autorizacion, quiero crear una plantilla de autorizacion para reutilizar patrones estándar de acceso. | El diseno de accesos se vuelve repetible. | La plantilla tiene nombre, alcance, estado, version, descripcion y permisos seleccionados. | |
| 8 | US-008 | EP-03 | FS-02 | MVP Core | Como Administrador de Autorizacion, quiero instanciar una plantilla para un tenant/sistema para asignarla de forma consistente. | Los permisos estándar pueden aplicarse de forma controlada. | La instancia conserva version, alcance, permisos y trazabilidad. | |
| 9 | US-009 | EP-03 | FS-05 | MVP Core | Como Administrador, quiero crear un perfil de usuario para que el usuario tenga una identidad de acceso dentro de UMS. | Los usuarios pueden representarse para gobierno de acceso. | El perfil queda vinculado al contexto tenant/usuario y tiene estado de ciclo de vida. | |
| 10 | US-010 | EP-03 | FS-05 | MVP Core | Como Administrador, quiero asignar manualmente una plantilla de autorizacion a un perfil para otorgar los permisos previstos. | El primer flujo de otorgamiento de acceso queda operativo. | La asignacion se valida, traza, audita y se refleja en permisos efectivos. | |
| 11 | US-011 | EP-04 | FS-13 | MVP Core | Como Administrador de Configuracion, quiero definir parametros jerarquicos para variar el comportamiento de UMS por tenant, sistema o alcance. | El comportamiento puede configurarse sin cambios de codigo. | Los parametros incluyen code, value, description, alcance, estado, version y auditoria. | |
| 12 | US-012 | EP-04 | FS-13 | MVP Core | Como Product Owner, quiero que la herencia de configuracion sea predecible para que negocio entienda que valor aplica. | La configuracion es explicable. | La resolucion del valor efectivo sigue la jerarquia documentada y muestra su origen. | |
| 13 | US-013 | EP-05 | FS-07 | Estabilizacion MVP | Como Administrador de Soporte, quiero diagnosticar por que un usuario tiene acceso para resolver incidentes rapidamente. | El soporte de acceso se vuelve transparente. | El diagnostico muestra el camino desde perfil/plantilla hasta permiso efectivo. | |
| 14 | US-014 | EP-05 | FS-07 | Estabilizacion MVP | Como Auditor, quiero ver por que un usuario no tiene acceso para explicar accesos rechazados. | La denegacion de acceso es explicable. | Se visualizan permisos faltantes, plantillas inactivas, concesiones vencidas y diferencias de alcance. | |
| 15 | US-015 | EP-05 | FS-08 | Preparacion de Lanzamiento MVP | Como Administrador de Tenant, quiero personalizar el login hospedado para que los usuarios reconozcan el contexto de su organizacion. | El login se percibe confiable y contextual al tenant. | Branding, pistas de tenant y redireccion se configuran dentro de limites aprobados. | |
| 16 | US-016 | EP-05 | FS-08 | Preparacion de Lanzamiento MVP | Como Usuario Corporativo, quiero regresar a la aplicacion correcta despues del login para tener una experiencia continua. | La autenticacion soporta una experiencia limpia de producto. | El login exitoso redirige a la aplicacion prevista y conserva contexto valido. | |
| 17 | US-017 | EP-06 | FS-09 | Seguridad Post-MVP | Como Administrador de Seguridad, quiero reglas de MFA adaptativo para exigir mayor verificacion en accesos de riesgo. | La postura de seguridad mejora sin friccion uniforme para todos. | El requerimiento MFA cambia segun riesgo, tenant, usuario o accion configurada. | |
| 18 | US-018 | EP-06 | FS-09 | Seguridad Post-MVP | Como Usuario Corporativo, quiero autenticacion passwordless cuando esté permitida para iniciar sesion con seguridad y baja friccion. | La experiencia mejora manteniendo control. | Las opciones passwordless están disponibles solo cuando aplican al tenant/usuario. | |
| 19 | US-019 | EP-06 | FS-10 | Expansion Post-MVP | Como Usuario Patrocinador, quiero solicitar acceso B2B externo para que un socio colabore bajo aprobacion controlada. | El acceso externo se solicita sin procesos informales. | La solicitud captura patrocinador, identidad externa, motivo, acceso objetivo y expiracion. | |
| 20 | US-020 | EP-06 | FS-10 | Expansion Post-MVP | Como Aprobador, quiero aprobar o rechazar solicitudes B2B para gobernar el acceso externo. | El onboarding de socios es controlado y auditable. | La decision registra resultado, justificacion, alcance, expiracion y auditoria. | |
| 21 | US-021 | EP-06 | FS-14 | Gobierno Post-MVP | Como Administrador Senior, quiero delegar gestion de usuarios para que administradores locales operen dentro de limites controlados. | La administracion escala sin perder gobierno. | La delegacion define alcance, acciones permitidas, vigencia y responsable. | |
| 22 | US-022 | EP-06 | FS-14 | Gobierno Post-MVP | Como Administrador Delegado, quiero gestionar solo usuarios dentro de mi alcance asignado para mantener responsabilidades claras. | Las operaciones delegadas respetan limites organizacionales. | El administrador delegado solo opera dentro de su tenant/sistema/alcance asignado. | |
| 23 | US-023 | EP-07 | FS-11 | Cumplimiento Post-MVP | Como Usuario o Administrador, quiero cargar documentos requeridos para respaldar elegibilidad de acceso con evidencia. | La evidencia de cumplimiento puede recolectarse. | El documento se carga, clasifica, vincula al usuario y recibe estado de validacion. | |
| 24 | US-024 | EP-07 | FS-11 | Cumplimiento Post-MVP | Como Validador, quiero aprobar o rechazar documentos para que solo evidencia valida afecte el gobierno de acceso. | Las decisiones de cumplimiento quedan gobernadas. | La validacion captura decision, razon, validador, fecha y estado del documento. | |
| 25 | US-025 | EP-07 | FS-15 | Cumplimiento Post-MVP | Como Administrador de Cumplimiento, quiero reglas de notificacion de vencimiento para alertar antes de un impacto. | El riesgo de expiracion se reduce proactivamente. | La regla incluye code, value, description, audiencia, tiempo, canal y alcance. | |
| 26 | US-026 | EP-07 | FS-15 | Cumplimiento Post-MVP | Como Usuario Responsable, quiero recibir notificaciones de vencimiento para actuar antes de que el acceso sea afectado. | Usuarios y administradores pueden actuar antes de enforcement. | La notificacion se entrega segun regla configurada y queda trazada. | |
| 27 | US-027 | EP-07 | FS-16 | Cumplimiento Post-MVP | Como Administrador de Cumplimiento, quiero definir comportamiento de acceso ante expiracion para que UMS aplique cumplimiento consistentemente. | Las condiciones vencidas generan resultados predecibles de acceso. | La politica define advertencia, restricción, suspension o excepcion por alcance. | |
| 28 | US-028 | EP-07 | FS-16 | Cumplimiento Post-MVP | Como Auditor, quiero trazabilidad de cambios de acceso por expiracion para revisar el enforcement. | El enforcement de cumplimiento es explicable. | El registro incluye razon, usuario afectado, acceso afectado, politica y fecha. | |
| 29 | US-029 | EP-03 | FS-06 | Automatizacion Posterior | Como Administrador, quiero que las plantillas se autoasignen al crear un perfil para reducir trabajo repetitivo. | La administracion se acelera despues de estabilizar la asignacion manual. | La autoasignacion sigue reglas configuradas y puede revisarse antes de activarse cuando aplique. | |
| 30 | US-030 | EP-03 | FS-06 | Automatizacion Posterior | Como Product Owner, quiero que las reglas de autoasignacion sean transparentes para confiar en decisiones automaticas de acceso. | El acceso automatizado sigue siendo entendible. | El resultado explica que regla aplico y por que. | |
| 31 | US-031 | EP-08 | FS-12 | IGA Avanzado Posterior | Como Administrador IGA, quiero promover un rol mediante un proceso gobernado para evolucionar roles sin cambios no controlados. | El gobierno de roles madura de forma controlada. | La solicitud captura rol actual, estado objetivo, razon, revision y aprobacion. | |
| 32 | US-032 | EP-08 | FS-12 | IGA Avanzado Posterior | Como Aprobador, quiero revisar el impacto de una promocion de rol para no aprobar cambios riesgosos a ciegas. | Los cambios de rol consideran riesgo e impacto. | La revision muestra perfiles, permisos, sistemas e impacto de negocio esperado. | |
| 33 | TE-07 | INFRA | ADR-0058 | Evolucion SaaS — Deuda Tecnica | Como Arquitecto de Plataforma, quiero introducir un API Gateway centralizado con YARP para que todos los clientes futuros (web, movil) compartan un unico punto de entrada gobernado para politicas de seguridad y enrutamiento. | UMS puede escalar a multiples superficies de cliente sin duplicar configuracion de seguridad. | El gateway enruta /api/** y /graphql hacia ums-api; cabeceras de seguridad centralizadas; nginx reducido a servidor de archivos estaticos; el cliente movil puede conectarse sin configuracion especial. |
## Linea de Corte MVP |
El backlog MVP recomendado incluye US-001 hasta US-012 como alcance core.
US-013 hasta US-016 deben tratarse como alcance de estabilización de lanzamiento: no siempre son obligatorias para un MVP tecnico, pero son altamente recomendables antes de un piloto productivo real.
US-017 en adelante debe planificarse despues del MVP, salvo que el cliente de lanzamiento requiera seguridad reforzada, acceso externo o cumplimiento desde el primer dia.