Deutsch
  • authorisierung
  • organisation
  • api ressourcen
  • rbac

Das Autorisierungssystem von Logto und seine Verwendung in Identitätsmanagement-Szenarien

Erkunde das vielseitige Autorisierungssystem von Logto.

Guamian
Guamian
Product & Design

Logto dient nicht nur als Authentifizierungsanbieter, sondern auch als Autorisierungsanbieter. In diesem Artikel gebe ich einen Überblick über die Autorisierungsmethoden von Logto und erkläre, wie diese flexiblen Ebenen auf verschiedene Szenarien angewendet werden können.

Verwenden Sie rollenbasierte Zugriffskontrolle, um Ihre API-Ressource zu schützen

API-Ressourcen in Logto registrieren

Um ein Autorisierungssystem zu etablieren, in dem unterschiedliche Benutzer unterschiedlichen Zugriff auf Ressourcen und Aktionserlaubnisse haben, können Sie damit beginnen, die API-Ressource in Logto zu registrieren und dann Berechtigungen hinzuzufügen. Nutzen Sie Rollen, um diese Berechtigungen zu aggregieren, sei es für eine einzelne API oder über mehrere hinweg.

Berechtigungen verwalten

Ein großartiges Merkmal von Logto ist die Fähigkeit, verschiedene Arten von Rollen zu erstellen, die auf verschiedene Entitäten angewendet werden können, einschließlich Benutzer und maschineller Anwendungen. Benutzer können benutzerspezifische Rollen erben, während maschinelle Anwendungen Rollen erben können, die für sie entworfen wurden.

Zielentität: Benutzer

Wenn deine App eine allgemeine Anwendung ist, in der unterschiedliche Benutzer unterschiedliche Aktionen ausführen müssen, ist die Nutzung von Benutzerrollen eine flexible Möglichkeit, ein effektives Zugriffskontrollsystem zu etablieren.

API-Ressourcen erstellen


Rolle Fahrer

Zielentität: Maschinen-zu-Maschinen-App

Maschine-zu-Maschine (M2M) ist eine übliche Praxis zur Authentifizierung, wenn du eine App hast, die direkt mit Ressourcen kommunizieren muss. Z.B. ein API-Dienst, der benutzerdefinierte Daten in Logto aktualisiert, ein Statistikdienst, der tägliche Bestellungen abruft, usw.

Maschinen-zu-Maschinen-Anwendungen können in zwei wichtigen Anwendungsfällen in Logto genutzt werden:

  1. Schütze deine headless API-App durch die Einrichtung eines Autorisierungssystems.
  2. Verwende die Logto-Management-API, um deine Dienste zu entwickeln, wie das Ermöglichen von Benutzerprofilen, die es Endbenutzern erlauben, ihre identitätsbezogenen Informationen zu aktualisieren.

Der Unterschied zu Benutzerrollen in diesem Kontext besteht darin, dass die Rolle speziell als Maschinen-zu-Maschinen-Rolle definiert ist, nicht als Benutzerrolle, und sie kann nur Maschinen-zu-Maschinen-Anwendungen zugewiesen werden.

Rolle erstellen

In diesem API-RBAC-Kontext werden API-Ressourcen, Rollen und Berechtigungen "demokratisiert" und auf Systemebene innerhalb eines einheitlichen Identitätssystems betrachtet. Dieser Ansatz ist recht häufig in einfachen B2C-Produkten, in denen weniger Bedarf an komplexem hierarchischem Management besteht.

Verwenden Sie das Organisationstemplate (RBAC), um Ihre organisationsbezogene Ressource zu schützen

In B2B-Szenarien können Benutzerrollen in verschiedenen Organisationen variieren. Zum Beispiel könnte John eine Administratorrolle in Organisation A haben, aber nur eine Mitgliederrolle in Organisation B.

Org-Template

Dies kann durch das Einrichten von Organisationstemplates in Logto erreicht werden, das deiner Multi-Tenant-App hilft, ein Zugriffskontrollsystem aufzubauen.

Anstatt zahlreiche Rollen für jede Organisation zu erstellen, ermöglicht Logto dir, ein Organisationstemplate zu erstellen. Dieser Ansatz gewährleistet Konsistenz über alle Organisationen hinweg, während Benutzern die Flexibilität geboten wird, in verschiedenen Organisationen unterschiedliche Rollen zu haben.

Die Organisationsberechtigungen erfordern keine Registrierung einer API-Ressource. Logto stellt Organisationstokens aus, die Rollen und andere Ansprüche enthalten, die zur weiteren Verifizierung des Organisationstokens in deiner API genutzt werden können.

Verwenden eines Organisationstemplates (RBAC), um sowohl system- als auch organisationsbezogene Ressourcen zu schützen

Wenn du API-Ressourcen in Logto registriert hast und deren Nutzung auf Organisationsebene ausweiten möchtest, ist das durchaus möglich.

Dieser Bedarf kann entstehen, wenn du denselben Endpunkt sowohl für systembezogene Funktionen als auch für organisationenspezifische Operationen verwendest. Einen einzigen Endpunkt zu haben, ist in Ordnung, und die Nutzung des Organisationskontexts kann auch effektiv die Mandantentrennung sicherstellen.

In Logto kannst du API-Berechtigungen direkt einer Organisationsrolle zuweisen und so auf deine spezifischen Anforderungen zuschneiden.

Hier ist ein kurzer Überblick, wie du API-Berechtigungen mit der Rolle deiner Organisation integrieren kannst.

Diese Funktion ist in der Entwicklung und wird voraussichtlich in der ersten Hälfte 2024 verfügbar sein.

Berechtigungen zuweisen

Begeistert von den Autorisierungssystemen von Logto und unseren bevorstehenden Autorisierungsfunktionen? Registriere dich noch heute und erhalte die neuesten Produktaktualisierungen sofort.