## Was ist eine Organisation ### Definition Die Organisation ist eine Gruppe von Nutzern (Identitäten) und kann die Teams, Geschäftskunden und Partnerunternehmen repräsentieren, die auf deine Anwendung zugreifen können. ![Organisation](https://uploads.strapi.logto.io/1/organization_3435c708a4.webp) Organisationen sind besonders effektiv in Business-to-Business (B2B) Umgebungen. Im Gegensatz zu einzelnen Verbrauchern bestehen Geschäftskunden oft aus Teams, Organisationen oder ganzen Unternehmen, anstatt nur aus einer Person. Die Einführung einer Organisation als Entität ist wichtig, da sie nicht nur Nutzer gruppiert, sondern auch einen Kontext für Mandantenisolation in Multi-Tenant-Apps bietet. ### Anwendungsfälle Mit diesem grundlegenden Element kannst du jetzt die unverzichtbaren Funktionen für deine B2B-Produkte entwickeln: - Aufbau einer Multi-Tenant-Architektur, um Kundendaten und -ressourcen zu isolieren. - Zugriffslevel der Anwendungen werden durch Rollen festgelegt, die Mitgliedern der Organisation zugewiesen sind. - Bereitstellung von Mitgliedern auf Einladungs- und Just-in-Time-Basis. - Organisationen können jeweils eine Single-Sign-On (SSO) Authentifizierungserfahrung haben. ## Was ist rollenbasierte Zugriffskontrolle? ### Definition Rollenbasierte Zugriffskontrolle (RBAC) ist eine Methode, um Nutzern basierend auf ihren Rollen Berechtigungen zuzuweisen. Rollenbasierte Zugriffskontrolle ist ein politisch neutrales Zugriffssteuerungsmechanismus, das umrollen und Privilegien definiert ist. Die Komponenten von RBAC wie Rollenberechtigungen, Nutzer-Rollen- und Rollen-Rollen-Beziehungen machen es einfach, Benutzerzuweisungen durchzuführen. Eine Studie der NIST hat gezeigt, dass RBAC viele Bedürfnisse kommerzieller und staatlicher Organisationen adressiert. ### Anwendungsfälle Bisher haben wir mehrere Leitfäden entwickelt, um dir zu helfen, RBAC zu nutzen, um deine geschäftlichen Anforderungen zu erfüllen. Schau dir diese einfach zu befolgenden Tutorials an, um schnell loszulegen. [🔐 Rollenbasierte Zugriffskontrolle (RBAC) | Logto Docs](https://docs.logto.io/docs/recipes/rbac/) ## Verwendung verschiedener Autorisierungsmodelle in Logto für Best Practices Rollenbasierte Zugriffskontrolle und Organisation sind Schlüsselfunktionen der Autorisierungsfunktionen von Logto. Als umfassende Identitätsmanagement-Plattform bietet Logto maßgeschneiderte Lösungen für verschiedene Szenarien und Ebenen, die sich an Entwickler und Unternehmen für diverse Produktarchitekturen richten. ### API rollenbasierte Zugriffskontrolle Um allgemeine API-Ressourcen zu schützen, die nicht spezifisch für eine Organisation sind und keine Kontextbeschränkungen benötigen, ist die **API RBAC**-Funktion ideal. Registriere einfach die API und weise jeder Ressource Berechtigungen zu. Dann kontrolliere den Zugriff durch die Beziehung zwischen Rollen und Nutzern. ![Berechtigungen verwalten](https://uploads.strapi.logto.io/1/manage_permissions_15227c1cd8.webp) API-Ressourcen, Rollen und Berechtigungen sind hier unter einem einheitlichen Identitätssystem „demokratisiert“. Dies ist ziemlich üblich in B2C-Produkten mit weniger Hierarchie und benötigt keine sehr tiefe Ebene der Datenisolation. ### Organisation rollenbasierte Zugriffskontrolle In einer B2B- und Multi-Tenant-Umgebung ist eine Mandanten-Isolation notwendig. Um dies zu erreichen, werden Organisationen als Kontext für die Isolation verwendet, was bedeutet, dass RBAC nur wirksam ist, wenn ein Nutzer zu einer bestimmten Organisation gehört. ![Organisation Onboarding](https://uploads.strapi.logto.io/1/organization_onboarding_cb46c47fd4.webp) Organisation RBAC konzentriert sich auf die Kontrolle des Zugriffs auf Organisationsebene anstatt auf API-Ebene. Dies bietet erhebliche Flexibilität für die Selbstverwaltung auf Organisationsebene auf lange Sicht, jedoch immer noch innerhalb eines einheitlichen Identitätssystems. Ein Hauptmerkmal von Organisation RBAC ist, dass Rollen und Berechtigungen standardmäßig in allen Organisationen gleich sind, was Logto „Organisationsvorlage“ äußerst bedeutend für die Verbesserung der Entwicklungseffizienz macht. ![Organisationsvorlage](https://uploads.strapi.logto.io/1/organization_template_14dda1d742.webp) Dies stimmt mit der gemeinsamen Philosophie von Multi-Tenant-Apps überein, bei der Zugriffskontrollrichtlinien und Identitäten gemeinsame Infrastrukturkomponenten für alle Mandanten (App-Mandanten) sind, eine gängige Praxis in SaaS-Produkten. ## Auswahl und Design des geeigneten Autorisierungsmodells Bei der Auswahl des richtigen Autorisierungsmodells solltest du diese Fragen berücksichtigen: 1. Entwickelst du ein B2C-, B2B- oder eine Kombination aus beiden Produkttypen? Werden Identitäten als Geschäftidentitäten betrachtet? 2. Benötigt deine App eine Multi-Tenant-Architektur? 3. Gibt es einen Bedarf an einem bestimmten Maß an Isolation in deiner App, bestimmt durch die Geschäftseinheit? 4. Welche Berechtigungen und Rollen müssen im Kontext der Organisation definiert werden und welche nicht? ### Eine B2C-App Lass uns ein Beispiel für eine Webanwendung verwenden: BookHarber, ein Online-Buchladen. BookHarber bietet seinen Kunden und Mitarbeitern eine Vielzahl von Funktionen, um ein nahtloses und sicheres Einkaufserlebnis zu gewährleisten. Die wichtigsten Funktionen von BookHarber umfassen: 1. **Bücher durchsuchen und kaufen**: Nutzer können bequem nach Büchern aus einer vielfältigen Sammlung suchen und diese kaufen, die verschiedene Genres und Autoren umfasst. 2. **Bestellmanagement und Logistikverfolgung**: Registrierte Kunden können ihre Bestellungen verwalten, den Versand verfolgen und Updates zu ihren Käufen erhalten. 3. **Sonderangebote und Feiertagsaktivitäten**: BookHarber bietet exklusive Rabatte und Aktionen während spezieller Veranstaltungen und Feiertage, um seine Kunden zu engagieren und zu belohnen. 4. **Kundensupport**: Kunden können Support-Tickets eröffnen, um Bedenken oder Probleme, die sie möglicherweise haben, anzusprechen und von BookHarber-Mitarbeitern umgehend Unterstützung zu erhalten. 5. **Kundenmanagement**: Mitarbeiter mit unterschiedlichen Rollen haben die Möglichkeit, verschiedene Aspekte der Plattform zu verwalten, wie z.B. Kundenkonten, Bestellverarbeitung und Problemlösung. ### Rollen Im BookHarber-Ökosystem können wir mehrere Schlüsselrollen identifizieren, wie z.B.: 1. **Gast**: Unregistrierte Nutzer, die die Website durchsuchen, nach Büchern suchen und Sonderangebote ansehen können. 2. **Kunde**: Registrierte Nutzer, die Bücher kaufen, Bestellungen verwalten, die Logistik verfolgen und Support-Tickets eröffnen können. 3. **Store Admin**: Mitarbeiter, die für die Überwachung des gesamten Managements und der Abläufe der Plattform verantwortlich sind. Mit vollem Zugriff. 4. **Buch Manager**: Mitarbeiter, die für das Buch- und Kategoriemanagement zuständig sind. 5. **Kundendienstmitarbeiter**: Mitarbeiter, die mit der Beantwortung von Support-Tickets betraut sind. 6. **Drittanbieter-Logistikdienstleister**: Externe Partner, die für die Verwaltung und Verfolgung des Versands und der Lieferung von Bestellungen verantwortlich sind. 7. **Marketingmitarbeiter**: Mitarbeiter, die für die Förderung von BookHarber verantwortlich sind und für die Verwaltung von Sonderangeboten und Veranstaltungen zuständig sind. Bisher haben wir mehrere Leitfäden entwickelt, um dir zu helfen, RBAC zu nutzen, um deine geschäftlichen Anforderungen zu erfüllen. Schau dir diese einfach zu befolgenden Tutorials an, um schnell loszulegen. [Meistere RBAC in Logto: Ein umfassendes, praxisnahes Beispiel](https://blog.logto.io/mastering-rbac/) ### B2B-App Multi-Tenant-Apps finden oft ihren Platz in Business-to-Business (B2B) Lösungen wie Produktivitätstools, Enterprise Resource Planning (ERP) Systemen und anderen Software-as-a-Service (SaaS) Produkten. In diesem Kontext repräsentiert jeder "Mandant" typischerweise einen Geschäftskunden, der mehrere Nutzer (seine Mitarbeiter) haben könnte. Zusätzlich könnte ein Geschäftskunde mehrere Mandanten haben, um verschiedene Organisationen oder Geschäftseinheiten darzustellen. ![B2B](https://uploads.strapi.logto.io/1/b2b_d78ed8b63b.webp) #### Erstellen einiger Organisationen ![Organisationen erstellen](https://uploads.strapi.logto.io/1/create_organizations_d12965adc8.webp) #### Organisationsvorlage für organisationsbezogene Zugriffskontrolle definieren ![Organisationsvorlage definieren](https://uploads.strapi.logto.io/1/define_organization_template_b19b4805e7.webp) ### Hybride B2B- und B2C-App B2B-Anwendungen gehen über SaaS-Produkte hinaus und beinhalten oft die Nutzung von Multi-Tenant-Apps. In B2B-Kontexten dienen diese Apps als gemeinsame Plattform für verschiedene Teams, Geschäftskunden und Partnerunternehmen, um auf deine Anwendungen zuzugreifen. Betrachte zum Beispiel ein Fahrgemeinschaftsunternehmen, das sowohl B2C- als auch B2B-Apps anbietet. Die B2B-Apps bedienen mehrere Geschäftskunden, und der Einsatz einer Multi-Tenant-Architektur kann helfen, ihre Mitarbeiter und Ressourcen zu verwalten. Um dies zu veranschaulichen: Wenn das Unternehmen ein einheitliches Benutzeridentitätssystem beibehalten möchte, kann es eine Architektur wie das folgende Beispiel entwerfen: Nehmen wir Sarah als Beispiel. Sarah hat sowohl eine persönliche als auch eine geschäftliche Identität. Sie nutzt den Fahrdienst als Passagierin und arbeitet in ihrer Freizeit auch als Fahrerin. In ihrer beruflichen Rolle verwaltet sie auch ihr eigenes persönliches Unternehmen und nutzt diese geschäftliche Identität, um Partner mit Business 1 zu sein.

Entitäten in Logto eingerichtet

Identitäts- und Rollenkarte eines Benutzers

#### API-Ressourcen und Benutzerrollen definieren ![API-Ressourcen erstellen](https://uploads.strapi.logto.io/1/create_api_resources_13db8fcd63.webp)

#### Organisationen einrichten

#### Sarahs Profil ![Sarahs Profil - Organisationen](https://uploads.strapi.logto.io/1/sarahs_profile_organizations_17f75a2647.webp)

![Sarahs Profil - Rollen](https://uploads.strapi.logto.io/1/sarahs_profile_roles_8c1114ef1b.webp) ## Baue deine Autorisierung noch heute. Logto bietet sowohl rollenbasierte Zugriffskontrolle (RBAC) als auch Organisationsfunktionen, um deine Autorisierungsanforderungen zu erfüllen. Diese Funktionen sind so konzipiert, dass sie leicht in verschiedene Teile deines Produkts integriert werden können. Für weitere Informationen schaue in unsere Abschnitte zu [Organisationen](https://logto.io/products/organizations) und [RBAC](https://logto.io/products/rbac) oder probiere Logto jetzt aus. Probiere Logto jetzt aus