Estado: Pendiente de implementacion
Cuando el acceso cambia en UMS, los sistemas descendentes deben recibir automaticamente la instruccion correspondiente de crear, actualizar o eliminar. UMS debe proporcionar conectores de provisioning gobernados para mantener sincronizadas las operaciones de identidad en aplicaciones externas.
| Actor | Responsabilidad |
|---|---|
| Administrador de Operaciones de Identidad | Configura el conector y sus reglas de mapeo. |
| Propietario del Sistema Externo | Confirma el destino descendente y el modelo de acceso. |
| Conector de Integracion | Aplica la accion de provisioning o deprovisioning. |
| Auditor | Revisa el historial de provisioning y los fallos. |
Si el sistema descendente no esta disponible, la accion se retiene y se reintenta segun la politica.
Si los datos mapeados estan incompletos o invalidos, el sistema marca la accion como fallida y requiere correccion.
Si un usuario pierde el acceso, la accion de deprovisioning debe intentarse y seguirse hasta que el sistema descendente deje de otorgar ese acceso.
| Regla | Descripcion |
|---|---|
| BR-01 | Todo cambio de acceso gobernado debe reflejarse en el sistema descendente cuando el conector este habilitado. |
| BR-02 | El deprovisioning es obligatorio cuando el acceso se revoca o expira. |
| BR-03 | Los fallos deben ser visibles y reintentables; no pueden mantener acceso en silencio. |
| BR-04 | Las reglas de mapeo deben ser explicitas y versionadas para cada destino. |
| BR-05 | El mismo cambio de usuario o perfil no debe crear operaciones duplicadas en el sistema descendente. |
| BR-06 | El resultado de acceso en el sistema descendente debe seguir siendo auditable. |
| # | Criterio de Aceptacion |
|---|---|
| 1 | Se puede registrar un conector para un sistema descendente. |
| 2 | Los cambios de acceso generan la accion de provisioning o deprovisioning esperada. |
| 3 | La accion permanece trazable hasta que el sistema descendente confirma el cambio o se corrige. |
| 4 | El retiro de acceso dispara una accion de deprovisioning. |
| 5 | Los fallos son visibles para operaciones y pueden reintentarse. |
| 6 | Se previenen acciones descendentes duplicadas para el mismo cambio. |
| Tipo | Referencias |
|---|---|
| Entidades de Dominio | UserAccount, Profile, Role, SystemSuite, IdentityProvider, AuditRecord |
| Historias Funcionales | FS-03, FS-05, FS-24 |
| ADRs | ADR-0015, ADR-0033, ADR-0072 |