العربية
  • organization
  • B2B
  • RBAC
  • auth
  • authentication

إدارة الوصول بناءً على الأدوار والتنظيم: كيفية تصميم نموذج التفويض لمنتجك

يوفر هذا المقال دليلًا مفصلاً حول كيفية تصميم نموذج تفويض للوصول المستند إلى التنظيم والأدوار، ويقدم أفضل الممارسات لنماذج التفويض المختلفة على منصة Logto.

Guamian
Guamian
Product & Design

ما هو التنظيم

تعريف التنظيم

التنظيم هو مجموعة من المستخدمين (الهويات) ويمكن أن يمثل الفرق، العملاء التجاريين، وشركات الشركاء الذين يمكنهم الوصول إلى تطبيقك.

Organization

التنظيم فعال خصوصًا في الإعدادات بين الشركات (B2B). على عكس المستهلكين الفرديين، تتألف عملاء الأعمال من فرق أو منظمات أو شركات كاملة، بدلاً من شخص واحد فقط. إن إدخال التنظيم كوحدة كيان مهم، لأنه لا يجمع المستخدمين فحسب بل أيضًا يوفر سياقًا لعزل المستأجر في التطبيقات متعددة المستأجرين.

حالات استخدام التنظيم

مع هذا العنصر الأساسي، يمكنك الآن بناء الميزات الأساسية لمنتجاتك B2B:

  • بناء بنية متعددة المستأجرين لعزل بيانات وموارد العملاء.
  • يتم تحديد مستويات الوصول إلى التطبيق بواسطة الأدوار المخصصة لأعضاء التنظيم.
  • تزويد الأعضاء على أساس الدعوة والوقت الفعلي.
  • يمكن لكل تنظيم أن يحصل على تجربة المصادقة الموحدة (SSO).

ما هو التحكم في الوصول المستند إلى الأدوار؟

تعريف التحكم في الوصول المستند إلى الأدوار

التحكم في الوصول المستند إلى الأدوار (RBAC) هو طريقة لتعيين الأذونات للمستخدمين بناءً على أدوارهم. التحكم في الوصول المستند إلى الأدوار هو آلية تحكم في الوصول محايدة تجاه السياسة تعرف حول الأدوار والامتيازات. يجعل التحكم في الوصول المستند إلى الأدوار من السهل إجراء تعيينات المستخدم من خلال مكونات مثل أذونات الأدوار، المستخدم-الدور، وعلاقات الدور-الدور. أظهرت دراسة من NIST أن التحكم في الوصول المستند إلى الأدوار يعالج العديد من الاحتياجات في المنظمات التجارية والحكومية.

حالات استخدام التحكم في الوصول المستند إلى الأدوار

سابقًا، قمنا بتطوير العديد من الأدلة لمساعدتك في استخدام التحكم في الوصول المستند إلى الأدوار لتلبية احتياجات عملك. ألقِ نظرة على هذه الدروس السهلة لبدء الاستخدام بسرعة.

🔐 التحكم في الوصول المستند إلى الأدوار (RBAC) | مستندات Logto

استخدام نماذج التفويض المختلفة في Logto لأفضل ممارسة

التحكم في الوصول المستند إلى الأدوار والتنظيم هما مكونات رئيسية من ميزات التفويض الخاصة بـ Logto. كمنصة شاملة لإدارة الهوية، تقدم Logto حلولاً مصممة لمختلف السيناريوهات والطبقات، تلبي احتياجات المطورين والشركات لتشكيلات المنتجات المتنوعة.

التحكم في الوصول المستند إلى الأدوار عبر API

لحماية موارد API عامة التي ليست خاصة بأي تنظيم ولا تحتاج إلى قيود السياق، فإن ميزة API RBAC هي الأنسب.

فقط قم بتسجيل API وتعيين الأذونات لكل مورد. بعد ذلك، تحكم في الوصول من خلال العلاقة بين الأدوار والمستخدمين.

Manage permissions

تعتبر موارد API، الأدوار، والأذونات هنا "مُؤَمَّمة" تحت نظام هوية موحد. هذا شائع جدًا في المنتجات B2C مع مستويات هرمية أقل ولا تتطلب مستوى عميق جدًا من عزل البيانات.

التحكم في الوصول المستند إلى الأدوار الخاص بالتنظيم

في بيئة B2B ومتعددة المستأجرين، يكون عزل المستأجر ضروريًا. لتحقيق ذلك، يتم استخدام التنظيمات كالسياق للعزل، مما يعني أن التحكم المستند إلى الأدوار يكون فعالاً فقط عندما يكون المستخدم ضمن تنظيم معين.

Organization onboarding

يركز التحكم في الوصول المستند إلى الأدوار الخاص بالتنظيم على التحكم في الوصول على مستوى التنظيم بدلاً من مستوى API. يوفر هذا مرونة كبيرة للإدارة الذاتية على مستوى التنظيم على المدى الطويل ولكن لا يزال ضمن نظام هوية موحد.

ميزة رئيسية للتحكم المستند إلى الأدوار الخاص بالتنظيم هي أن الأدوار والأذونات هي عامة عبر جميع التنظيمات افتراضيًا، مما يجعل "نموذج التنظيم" الخاص بـ Logto ذو أهمية كبيرة في تحسين كفاءة التطوير.

Organization template

يتماشى هذا مع الفلسفة المشتركة للتطبيقات متعددة المستأجرين، حيث تعتبر سياسات التحكم في الوصول والهويات مكونات بنية تحتية مشتركة عبر جميع المستأجرين (مستأجري التطبيقات)، وهو ممارسة شائعة في منتجات SaaS.

اختيار وتصميم نموذج التفويض المناسب

عند اختيار نموذج التفويض المناسب، ضع في اعتبارك هذه الأسئلة:

  1. هل تقوم بتطوير منتج B2C، أو B2B، أو مزيج من كلا النوعين؟ هل تعتبر الهويات هويات تجارية؟
  2. هل يحتاج تطبيقك إلى بنية متعددة المستأجرين؟
  3. هل هناك حاجة إلى مستوى معين من العزل في تطبيقك، كما تحدده وحدة العمل؟
  4. ما هي الأذونات والأدوار التي تحتاج إلى تعريفها في سياق التنظيم، وأيها لا؟

تطبيق B2C

لنستخدم مثال تطبيق ويب: BookHarber، مكتبة عبر الإنترنت. تقدم BookHarber مجموعة واسعة من الميزات للعملاء والموظفين، مما يضمن تجربة تسوق سلسة وآمنة.

الميزات الرئيسية لـ BookHarber تشمل:

  1. تصفح وشراء الكتب: يمكن للمستخدمين بسهولة البحث عن وشراء الكتب من مجموعة متنوعة تشمل أنواعًا ومؤلفين مختلفين.
  2. إدارة الطلبات وتتبع اللوجستيات: يمكن للعملاء المسجلين إدارة طلباتهم، تتبع الشحنات، وتلقي تحديثات حول مشترياتهم.
  3. العروض الخاصة والأنشطة في الأعياد: توفر BookHarber خصومات وعروض ترويجية حصرية خلال الأحداث الخاصة والأعياد للتفاعل ومكافأة قاعدة عملائها.
  4. دعم العملاء: يمكن للعملاء فتح تذاكر الدعم لحل أي قضايا أو مشاكل قد يواجهونها، وتلقي المساعدة الفورية من موظفي BookHarber.
  5. إدارة العملاء: يمكن لأعضاء الموظفين بأدوار مختلفة إدارة جوانب مختلفة من المنصة، مثل حسابات العملاء، معالجة الطلبات، وحل القضايا.

الأدوار

في نظام BookHarber، يمكننا تحديد عدة أدوار مستخدم رئيسية مثل:

  1. ضيف: المستخدمون غير المسجلين الذين يمكنهم تصفح الموقع، البحث عن الكتب، واستعراض العروض الخاصة.
  2. عميل: المستخدمون المسجلون الذين يمكنهم شراء الكتب، إدارة الطلبات، تتبع اللوجستيات، وفتح تذاكر الدعم.
  3. مدير المتجر: أعضاء الموظفين المسؤولون عن الإشراف على الإدارة العامة وعمليات المنصة. يتمتعون بالوصول الكامل.
  4. مدير الكتب: أعضاء الموظفين المسؤولون عن إدارة الكتب والفئات.
  5. وكيل خدمة العملاء: أعضاء الموظفين المسؤوون عن الرد على تذاكر الدعم.
  6. موفر خدمات لوجستية طرف ثالث: شركاء خارجيين مسؤولين عن إدارة وتتبع شحن وتسليم الطلبيات.
  7. موظفي التسويق: أعضاء الموظفين المسؤولون عن الترويج لـ BookHarber، والمسؤولون عن إدارة العروض الخاصة والفعاليات.

سابقاً، قمنا بتطوير عدة أدلة لمساعدتك في استخدام RBAC لتلبية متطلبات عملك. الق نظرة على هذه الدروس السهلة لبدء الاستخدام بسرعة.

إتقان RBAC في Logto: مثال شامل من واقع الحياة

تطبيق B2B

غالبًا ما تجد التطبيقات متعددة المستأجرين مكانًا لها في حلول الأعمال بين الشركات (B2B) مثل أدوات الإنتاجية وأنظمة تخطيط موارد المؤسسات (ERP) ومنتجات البرمجيات كخدمة (SaaS) الأخرى. في هذا السياق، يمثل كل "مستأجر" عادةً عميل أعمال، والذي يمكن أن يكون لديه عدة مستخدمين (موظفيها). بالإضافة إلى ذلك، قد يكون لدى عميل الأعمال عدة مستأجرين لتمثيل منظمات مختلفة أو أقسام عمل.

B2B

إنشاء بعض التنظيمات

Create organizations

تعريف قالب التنظيم للتحكم في الوصول على مستوى التنظيم

Define organization template

تطبيق هجين B2B وB2C

تطبيقات B2B تتجاوز منتجات SaaS وغالباً ما تتضمن استخدام التطبيقات متعددة المستأجرين. في السياقات B2B، تخدم هذه التطبيقات كمنصة مشتركة للفرق المختلفة، العملاء التجاريين، وشركات الشركاء للوصول إلى تطبيقاتك.

على سبيل المثال، خذ بعين الاعتبار شركة لتشارك الركوب التي تقدم تطبيقات B2C وB2B. تخدم التطبيقات B2B عملاء أعمال متعددين، وقد يساعد استخدام بنية متعددة المستأجرين في إدارة موظفيهم ومواردهم. للتوضيح، إذا رغبت الشركة في الحفاظ على نظام هوية مستخدم موحد، يمكنها تصميم بنية مثل المثال التالي:

لنتخذ سارة كمثال. لدى سارة هوية شخصية وهوية تجارية. هي تستخدم خدمة تشارك الركوب كراكبة وتعمل أيضًا كسائقة في وقت فراغها. في دورها المهني، تدير أيضًا أعمالها الخاصة وتستخدم هذه الهوية التجارية لتكون شريكًا مع العمل 1.

Entities set up in Logto

إعداد الكيانات في Logto

A user’s identity and role map

خريطة هوية ودور المستخدم

تعريف موارد API، أدوار المستخدمين

Create API resources

Role riderRole driver

إعداد التنظيمات

Create business organizationsBusiness organization details

ملف سارة الشخصي

Sarah’s profile - organizations

Sarah’s profile - roles

بناء التفويض الخاص بك اليوم.

تقدم Logto ميزات التحكم في الوصول المستند إلى الأدوار والتنظيم لتلبية متطلبات التفويض الخاصة بك. تم تصميم هذه الميزات ليتم دمجها بسهولة في أجزاء مختلفة من منتجك. لمزيد من المعلومات، اطلع على أقسامنا حول التنظيمات وRBAC، أو يمكنك تجربة Logto الآن.

جرب Logto الآن