Operación del motor
Autenticación y seguridad
CoreDocs protege la navegación del portal desde el frontend, pero conviene entender bien qué cubre y qué no cubre.
Mecanismos disponibles#
Acceso local#
Definido en config.json dentro de auth.local:
- token simple
- usuario y contraseña
Es útil para:
- demos internas
- revisión funcional
- pruebas locales
CoreIAM#
El motor permite integrar CoreIAM como cliente público con PKCE mediante:
client_idauthorize_urltoken_urluserinfo_urlscoperedirect_path
Limitación importante#
Al ser un portal estático:
- el HTML generado existe ya en disco
- la protección funciona como puerta de acceso en cliente
- no sustituye una restricción fuerte a nivel de servidor o edge
Recomendación de producción#
Para un entorno productivo serio combina ambas capas:
- protección del portal a nivel de infraestructura
- autenticación de la propia interfaz si aporta valor funcional
Opciones válidas:
- App Service con restricciones o autenticación previa
- reverse proxy corporativo
- WAF o gateway con control de acceso
- App Service for Containers detrás de red y reglas corporativas
Qué guardar fuera del repositorio#
- secretos reales de producción
- passwords definitivos
- client secrets si en algún momento existieran
- service connections
Cuándo activar CoreIAM#
Actívalo cuando:
- la documentación deba depender de usuarios corporativos
- quieras trazabilidad por identidad
- no quieras mantener credenciales locales
Mantén el acceso local solo como contingencia de desarrollo si el proceso lo necesita.
Punto de seguridad
Si la documentación es sensible, no te apoyes solo en la ofuscación del portal estático. Protege también el hosting que entrega index.html, search-index.json y los assets.