La cuenta prestada: Keycloak 26 para pymes
Okta Starter publica USD 6 por usuario al mes. Keycloak 26 permite ordenar usuarios, bajas, MFA y permisos sin alquilar cada acceso interno.
Una contraseña compartida puede sobrevivir más que el empleado que la creó. En un colegio profesional de Cuyo con 1.800 matriculados, la secretaria administrativa encontró una cuenta llamada "recepcion2" escrita en un post-it amarillo debajo del teclado. Okta Starter publica USD 6 por usuario al mes y un mínimo anual de USD 1.500; 80 cuentas cuestan USD 480 mensuales, unos ARS 684.000 al dólar de $1.425. La cuenta prestada empieza como ahorro y termina como deuda.
El acceso va a fallar donde nadie mira las bajas
La primera cifra corrige el presupuesto: el asiento mensual parece chico hasta que se multiplica por personal, comisión directiva, asesores, proveedores y reemplazos temporales. La administración mira el precio del mes; sistemas mira la lista de cuentas que quedan vivas cuando alguien cambia de puesto. Keycloak 26.6.0 ya incluye mejoras de observabilidad con OpenTelemetry, cambios de administración y soporte de actualizaciones con foco operativo.
El puente global también habla de identidad. GitHub contó en su Octoverse 2024 más de 5,2 mil millones de contribuciones y más de 518 millones de proyectos. Detrás de ese número hay una práctica básica: cada acción queda asociada a una cuenta. Una pyme cuyana no maneja esa escala, pero sí necesita que caja, facturación, turnos, CRM y archivos sepan quién entró y quién salió.
La cuenta prestada siempre vuelve por el acceso que sobró.
El error aparece tarde: una baja laboral, un proveedor que conserva VPN, un celular perdido o un usuario genérico que firmó una acción administrativa. Para corregirlo hace falta una puerta de entrada con reglas claras.
Sumar licencias deja intacta la planilla de usuarios
El gesto habitual es comprar más asientos en cada aplicación y pedirle a administración que avise las bajas por mail. Esa rutina deja vivo al antagonista: la planilla "usuarios activos abril", con filas pintadas en verde, iniciales sin apellido y una columna llamada "ver después".
El detalle social alcanza para entender el costo. Hay una impresora Brother con el toner en rojo, un dispenser de agua al lado del archivo y una pila de carnets sin retirar. La secretaria no quiere aprender otro panel. Quiere cargar un alta una vez, pedir segundo factor en los accesos sensibles y cortar permisos el mismo día de la baja. Cada sistema con usuarios propios agrega una demora.
La salida abierta junta login, roles y baja
Una implementación sobria usa Keycloak en modo producción, PostgreSQL 17, proxy Caddy o Nginx, copias diarias, monitoreo básico y clientes por aplicación. La documentación de administración permite trabajar con usuarios, grupos, roles, flujos de autenticación e identidad federada. Para una pyme, conviene empezar con tres aplicaciones: archivo interno, sistema de tickets y panel administrativo.
El costo inicial razonable va de USD 1.300 a USD 3.600, según cantidad de aplicaciones, migración de usuarios y segundo factor. Al cambio de $1.425, son ARS 1,85 a 5,13 millones, más USD 45 a 140 mensuales de servidor, copias y soporte. UMSA suele pedir una tabla simple antes de tocar el servidor: aplicación, dueño, tipo de usuario, permiso sensible, método de baja y responsable de aprobar. Esa tabla evita que Keycloak copie el desorden anterior. Para auditoría, conviene guardar eventos de login, cambios de rol y reinicios de contraseña durante el plazo que administración pueda leer y justificar.
El plazo real va de tres a siete semanas. La primera semana limpia usuarios y define roles; la segunda instala y prueba; las siguientes conectan aplicaciones con OpenID Connect o SAML, activan MFA y ensayan recuperación. Conviene registrar cada excepción: usuarios sin teléfono, proveedores con acceso temporal y cuentas de servicio. La identidad abierta sirve cuando administración puede ejecutar el alta sin llamar a tres proveedores.
Antes de copiarlo, mirá recuperación y roles
Primer riesgo: segundo factor sin plan de recuperación. Un celular roto puede dejar afuera a la persona que paga sueldos. Segundo: roles demasiado amplios. Si todos son administradores, el login central sólo ordena el ingreso. Tercero: integración incompleta. Una aplicación vieja puede aceptar SAML, OpenID Connect o ninguna de las dos, y eso cambia el plazo.
La prueba mínima crea un usuario, le asigna dos roles, le exige MFA, le corta el acceso y revisa el evento en auditoría. Si el alta y la baja entran en una mañana, la cuenta prestada pierde fuerza. Si todavía depende de un post-it, la factura mensual compró tiempo, no control.