Los 5 pasos
La UI tambien muestra un estado explicito de decision de acceso con cuatro valores: ALLOWED, DENIED, NOT_REQUIRED, MISSING_REQUIRED.
1) Login exitoso
Se encontro al menos un evento de auth exitoso, por ejemplo LOGIN_SUCCESS, MFA_SUCCESS o CLIENT_LOGIN.
Si falta este paso, la cadena de identidad no es fiable.
2) Consent procesado
El consentimiento se evalua semanticamente, no solo como bandera binaria.
GRANTED_IN_TRACE: concedido en este flujoALREADY_VALID: concedido antes y aun validoNOT_REQUIRED: consentimiento no requerido actualmenteMISSING_REQUIRED: consentimiento requerido pero ausente
La ausencia de un nuevo evento de consentimiento puede ser correcta cuando aplica
ALREADY_VALID o NOT_REQUIRED.3) Acceso sensible
El trace contiene acceso a areas sensibles (por ejemplo Vault/Admin Vault).
Es una senal de priorizacion, no un error automatico.
4) Cambio administrativo
Se detectaron cambios admin persistidos (por ejemplo USER_*, ROLE_*, TENANT_*, CLIENT_*, IDP_*).
Un cambio es trazable cuando correlation ID y eventos persistidos coinciden.
5) Completa o incompleta
La cadena es completa cuando existen las senales requeridas. Las senales faltantes se listan explicitamente.
missing_auth_successmissing_access_decisionmissing_audit_persisted
Ejemplo: "Incompleta (missing access decision)" significa que no pudo demostrarse completamente la ruta de decision.
Interpretacion para equipos no-dev
- Verde significa: existe evidencia para este paso.
- Naranja significa: paso relevante de seguridad o cadena incompleta.
- Incompleta no es automaticamente un incidente, pero requiere seguimiento forense.
- Correlation ID es el enlace entre UI, API y evidencia de auditoria.
Chequeo rapido para preguntas de soporte
- Copia la correlation ID desde el trace.
- Revisa la timeline para senales obligatorias faltantes.
- Lee el estado de consentimiento de forma semantica (no solo contando eventos).
- Usa flags sensible/admin para priorizar.