Authelia 4.39 en pymes: MFA, proxy y corte
Authelia permite poner MFA delante de apps internas. Guía para decidir proxy, grupos, sesiones, almacenamiento, costo y prueba de salida.
Un proxy de autenticación recibe la URL protegida, pregunta quién entra y devuelve una decisión antes de abrir la aplicación. En una cámara empresaria de San Martín, el problema aparece cuando el ERP, el tablero y la intranet comparten usuarios viejos o una VPN que nadie revisa. Authelia 4.39.20 permite agregar MFA, reglas por grupo y corte de acceso delante de servicios web. Esta guía muestra dónde vive el dato y cómo probarlo.
Dónde aparece el acceso sin dueño
La cifra que ordena la discusión está en GitHub: la página de releases de Authelia marca v4.39.20 como última versión disponible. El número no decide por sí mismo una migración, pero obliga a revisar qué rama se instala, qué configuración queda versionada y quién atiende los parches. El dato global lo aporta la Stack Overflow Developer Survey 2025: 49.009 respuestas de 177 países entraron en el informe. Esa escala muestra una rutina común en organizaciones chicas y grandes: hay más aplicaciones internas, más proveedores y más cuentas que deben cerrarse cuando cambia una persona. El obstáculo concreto es el usuario compartido de VPN, que entra sin grupo, sin dueño y sin fecha de baja. En la cámara, una tarjeta plastificada con claves de Wi-Fi seguía pegada dentro de un cajón. La tarjeta resolvía visitas; el acceso a sistemas pedía otra cosa: identidad, segundo factor, reglas y registro.
Cómo funciona por dentro
El flujo tiene seis pasos. Primero, el usuario pide una URL protegida desde el navegador. Segundo, el reverse proxy, como Caddy, Nginx o Traefik, deriva la consulta a Authelia. Tercero, Authelia valida el primer factor contra archivo local, LDAP u otro backend configurado. Cuarto, la regla de acceso decide bypass, deny, one_factor o two_factor según dominio, ruta, red, método y grupo. Quinto, la sesión queda guardada y el proxy deja pasar o rechaza la solicitud. Sexto, logs, almacenamiento y backup permiten reconstruir quién entró, cuándo y con qué política. La documentación de Access Control recomienda partir de una política por defecto de rechazo. Las reglas se evalúan en orden y la primera coincidencia decide. Esa mecánica exige nombrar servicios, grupos y excepciones con cuidado, porque una regla arriba puede abrir una ruta antes de que otra pida segundo factor. Authelia recibe usuario, contraseña, token de segundo factor y contexto de la solicitud. Entrega una decisión de acceso al proxy. La guía de storage separa configuraciones persistentes de sesiones; PostgreSQL guarda datos persistentes, SQLite sirve para pruebas o instalaciones simples, y Redis puede guardar sesiones cuando se necesitan varias instancias. Si falla el almacenamiento, se caen registros, sesiones o validaciones según la pieza afectada.
Qué se instala o configura primero
El primer entregable verificable es una aplicación interna protegida con MFA, tres grupos y una prueba de baja. La pila mínima usa Authelia 4.39.20, un proxy web, TLS, backend de usuarios, almacenamiento persistente, SMTP para notificaciones y backups de configuración. Un servidor chico puede costar entre USD 30 y USD 90 mensuales, unos ARS 43.650 a ARS 130.950 al dólar vendedor de $1.455, sin contar relevamiento de usuarios ni revisión de aplicaciones. UMSA puede entrar después de listar dominios, responsables y grupos reales. El trabajo inicial queda medido por un corte visible: un usuario de prueba sale del grupo de tesorería y pierde acceso al tablero sin tocar la aplicación de fondo. La configuración inicial debe escribir reglas por servicio, no por comodidad. Administración lee cuotas y reportes. Sistemas administra proxy y almacenamiento. Un proveedor recibe acceso temporal a una ruta, con vencimiento y ticket. Gerencia consulta auditoría. El backup guarda configuración, secretos protegidos, base y certificados; una restauración en entorno separado debe levantar la misma regla y rechazar el mismo usuario.
Dónde se rompe y cómo probarlo
El primer riesgo es dejar bypass antes de una regla sensible. La señal aparece cuando una ruta privada abre sin usuario. La prueba ejecuta authelia access-control check-policy para cada dominio crítico y guarda salida esperada. El segundo riesgo es mezclar grupos con nombres parecidos. La señal aparece cuando ventas entra al tablero de tesorería por una coincidencia de dominio o regex. La prueba usa cuentas de cada grupo, intenta abrir rutas ajenas y registra el rechazo. El tercer riesgo es romper sesiones al rotar secretos sin aviso. La señal aparece cuando todos los usuarios vuelven al login durante horario de trabajo. La prueba rota en ventana acordada, mide reconexiones y conserva plan de reversa. El cuarto riesgo es olvidar la salida. La señal aparece cuando cambiar de herramienta exige tocar cada aplicación interna. La prueba apaga Authelia en staging y deja documentado cómo vuelve el acceso directo o cómo se reemplaza el proxy. Un control de acceso sirve cuando la baja de una persona tarda minutos y deja rastro. La pregunta incómoda es quién puede demostrarlo sin revisar chats.
Para seguir leyendo
Para avanzar
Ver también
Continuá hacia capacidades técnicas, sectores o notas relacionadas.