Una Lista de Control de Acceso (ACL) en Access Gate es la tabla que responde una pregunta por cada sesión: ¿tiene este principal permiso para alcanzar este activo mediante este protocolo, ahora mismo? La tabla es editable por enclave, permite búsquedas en todo el despliegue y está respaldada por su proveedor de identidad.
Estructura de una entrada ACL
Cada fila vincula cinco elementos:
| Campo | Ejemplo | Notas |
|---|---|---|
| Principal | alice@acme.com, group:ot-ops, asset A | Un usuario, un grupo de su IdP u otro activo |
| Activo | plc-42.ot-cell-a, all assets in enclave | Un activo específico o todos los activos del enclave |
| Protocolo | rdp, ssh, https, any | Los protocolos que la sesión tiene permitido usar |
| Permiso | allow, block | El valor predeterminado es denegar — solo las reglas allow abren un camino |
| Configuración avanzada | tls required, VPN allowed, Secured Remote Acces, Access Agreement | Configuraciones específicas adicionales al Permiso |
ACLs para usuarios
Agregar cada usuario individualmente no escala bien. Access Gate admite ACLs vinculadas a grupos de usuarios sincronizados desde su IdP — Entra ID, Okta o Microsoft 365.
Agregar una ACL basada en grupos
- Sincronice primero los grupos de su IdP: consulte Sincronizar directorio de usuarios (Entra ID).
- Navegue a Enclaves → [Su Enclave] → Control de Acceso.
- Haga clic en Agregar regla.
- En Principal, seleccione Grupo y elija el grupo del IdP.
- Seleccione los activos y protocolos.
- Guarde.
La pertenencia al grupo se reevalúa en cada sesión — el usuario no necesita volver a iniciar sesión para que un cambio de membresía surta efecto.
Agregar una ACL específica para un usuario
Si prefiere gestionar el acceso a nivel de usuario, eso también es posible.
Denegación predeterminada
Access Gate aplica denegación predeterminada: una sesión se rechaza a menos que exista una regla allow coincidente. No hay un "los miembros del enclave pueden hacer cualquier cosa" implícito — cada protocolo sobre cada activo es una concesión explícita.
Esto hace que la configuración inicial de un enclave sea estricta por diseño. Planifique lo siguiente:
- Crear el enclave y agregar miembros.
- Activar la inspección de tráfico para ver qué intentan hacer los miembros.
- Traducir los flujos observados en reglas ACL.
El Inicio rápido recorre este proceso paso a paso.
Los cambios quedan auditados
Toda edición de una ACL queda registrada en el historial de cambios del enclave (consulte Ver el historial de cambios del enclave) con el operador, la marca de tiempo y los valores anteriores y posteriores. Los cambios en los permisos de pantalla de acceso se registran de la misma manera.