Multitenencia y regionalización¶
Polyguard está disponible como plataforma SaaS administrada y como software autohospedado. Esta página explica los modelos de implementación, sus compensaciones y cómo Polyguard maneja la infraestructura regional.
Modelos de implementación¶
SaaS (gestionado por Polyguard)¶
El modelo de implementación predeterminado. Su integración apunta al punto final global de Polyguard en api-global.polyguard.ai, y Polyguard opera toda la infraestructura: servidores API, bases de datos, PKI y enrutamiento regional.
| Aspecto | Detalle |
|---|---|
| Punto final API | api-global.polyguard.ai |
| PKI | Gestionado por Polyguard. Todas las claves públicas de PolyUser se publican dentro del dominio Polyguard. |
| Retención de datos | Gestionado por Polyguard de acuerdo con el acuerdo de procesamiento de datos. |
| Ruta regional | Automático a través de redireccionamientos HTTP 301 (ver más abajo). |
| Disponibilidad | Multirregión, operada por Polyguard. |
Autohospedado (operado por el operador de la plataforma)¶
Para los operadores de plataforma con estricta soberanía de datos o requisitos de cumplimiento, Polyguard se puede implementar como software autohospedado en un punto final conocido controlado por el operador.
| Aspecto | Detalle |
|---|---|
| Punto final API | Su propio dominio (por ejemplo, polyguard.yourcompany.com) |
| PKI | Utiliza la infraestructura SaaS PKI de Polyguard (consulte las restricciones a continuación). |
| Retención de datos | Su responsabilidad. Debe implementar y hacer cumplir políticas de retención adecuadas para registros de eventos y declaraciones juradas de transacciones. |
| Ruta regional | Es su responsabilidad configurarlo si opera en varias regiones. |
| Disponibilidad | Su responsabilidad de operar y monitorear. |
Responsabilidad de retención de datos
Si opera una implementación Polyguard autohospedada, usted es responsable de implementar y hacer cumplir las políticas de retención de datos para todos los registros de eventos y declaraciones juradas. Polyguard Inc. no tiene visibilidad de los datos de transacciones autohospedados. Asegúrese de que sus políticas de retención cumplan con sus obligaciones regulatorias y de cumplimiento.
Compatibilidad con SDK¶
Los SDK web y móvil funcionan con cualquier punto final del sistema Polyguard que esté autorizado y activo. El mismo código SDK funciona tanto en implementaciones SaaS como autohospedadas: usted configura el punto final en el momento de la inicialización.
// SaaS
const polyguard = new Polyguard({
appId: "your-app-id",
environment: "production",
});
// Self-hosted
const polyguard = new Polyguard({
appId: "your-app-id",
endpoint: "https://polyguard.yourcompany.com",
});
Restricciones de PKI¶
Independientemente del modelo de implementación, toda la infraestructura PKI de Polyguard es solo SaaS de inquilino único. Esto significa:
- Todas las claves públicas de PolyUser se publican dentro del dominio Polyguard, incluso si se ejecutan comprobaciones de confianza en un punto final autohospedado.
- Cualquier parte de confianza puede verificar las firmas JWT obteniendo claves públicas del URI conocido de Polyguard, independientemente de qué sistema Polyguard procesó la verificación de confianza.
- La identidad de un PolyUser es atómica y singular: es la misma identidad en todas las aplicaciones Polyguard, ya sea que la verificación de confianza se ejecute en SaaS o en una instancia autohospedada.
Por qué PKI está centralizada
La centralización de PKI garantiza que la verificación de identidad sea globalmente interoperable. Un Usuario final que verifica su identidad a través de la implementación autohospedada de un Operador de plataforma mantiene la misma identidad de PolyUser cuando interactúa con la integración basada en SaaS de un Operador de plataforma diferente. Esta portabilidad es un principio de diseño central del sistema Polyguard.
Garantías de privacidad autohospedadas¶
Las comprobaciones de confianza en puntos finales autohospedados son completamente privadas por parte de Polyguard Inc. Los datos de las transacciones (registros de eventos, declaraciones juradas, contenidos de prueba) nunca abandonan su infraestructura. La única interacción con la infraestructura SaaS de Polyguard es la publicación y recuperación de claves públicas de PolyUser, que no contienen datos específicos de transacciones.
Fragmentación regional¶
Toda la infraestructura de Polyguard se ejecuta a nivel mundial. Para minimizar la latencia y cumplir con los requisitos de residencia de datos, ciertas API requieren conexiones a puntos finales regionales.
Cómo funciona el enrutamiento regional¶
Las API que son sensibles a la región realizarán una redirección HTTP 301 al punto final regional apropiado antes de comenzar cualquier transacción. Su aplicación debería seguir estas redirecciones automáticamente.
El caso más importante es el de las conexiones WebSocket: durante una verificación de confianza, tanto el SDK web como el SDK móvil deben conectarse al mismo punto final regional. El sistema Polyguard maneja esta coordinación automáticamente: la sesión de enlace contiene la información del punto final regional y ambos SDK la leen de la sesión.
Client Request Polyguard Response
────────────── ──────────────────
GET /api/v1/session/connect → 301 Redirect
Location: https://us-west.polyguard.ai/api/v1/session/connect
GET (follow redirect) → 101 Switching Protocols (WebSocket upgrade)
Qué significa esto para su integración¶
- SDK web y SDK móvil: el enrutamiento regional se maneja automáticamente. No se requiere ninguna acción.
- Llamadas API REST: asegúrese de que su cliente HTTP siga las redirecciones 301. La mayoría de las bibliotecas hacen esto de forma predeterminada.
- Implementaciones autohospedadas: si opera en varias regiones, es responsable de configurar su propio enrutamiento regional y garantizar que los pares de WebSocket se conecten al mismo punto final.
Resumen¶
| Inquietud | SaaS | Autohospedado |
|---|---|---|
| Punto final API | api-global.polyguard.ai | Tu dominio |
| PKI | Gestionado por Polyguard | Gestionado por Polyguard (SaaS PKI) |
| Privacidad de datos de transacciones | Gestionado por Polyguard | Totalmente privado de Polyguard |
| Retención de datos | Gestionado por Polyguard | Tu responsabilidad |
| Enrutamiento regional | Automático | Tu responsabilidad |
| Compatibilidad con SDK | Lleno | Lleno |
| Identidad de poliusuario | Global, portátil | Global, portátil |