## 組織とは ### 定義組織はユーザー (アイデンティティ) のグループであり、アプリケーションにアクセスできるチーム、ビジネス顧客、およびパートナー企業を表すことができます。 ![組織](https://uploads.strapi.logto.io/1/organization_3435c708a4.webp) 組織は特に B2B (企業間取引) の設定で効果的です。個別の消費者とは対照的に、ビジネスクライアントはしばしば個人ではなく、チーム、組織、または企業全体で構成されます。組織をエンティティとして導入することは、ユーザーをグループ化するだけでなく、マルチテナントアプリでのテナント隔離のコンテキストを提供するため、重要です。 ### 使用例この基本的な要素で、あなたはあなたの B2B 製品の必須機能を構築できるようになります: - クライアントのデータとリソースを隔離するマルチテナントアーキテクチャを構築。 - アプリケーションのアクセスレベルは組織メンバーに割り当てられたロールによって定義されます。 - 招待とジャストインタイム基準でのメンバーのプロビジョニング。 - 各組織はシングルサインオン (SSO) 認証エクスペリエンスを持つことができます。 ## ロールベースのアクセス制御とは？ ### 定義ロールベースのアクセス制御 (RBAC) は、ユーザーに役割に基づいて権限を付与する方法です。ロールベースのアクセス制御は、役割と特権を中心に定義されたポリシーニュートラルなアクセス制御メカニズムです。RBAC のコンポーネントである役割の権限、ユーザーロール、およびロール間の関係により、ユーザーの割り当てが簡単になります。NISTによる研究は、RBACが商業および政府組織の多くのニーズに対処することを示しています。 ### 使用例以前、ビジネス要件を満たすために RBAC を使用するためのいくつかのガイドを開発しました。簡単に始めるためのチュートリアルをぜひご覧ください。 [🔐 ロールベースのアクセス制御 (RBAC) | Logto Docs](https://docs.logto.io/docs/recipes/rbac/) ## Logtoでのさまざまな認可モデルの使用におけるベストプラクティスロールベースのアクセス制御と組織は、Logto の承認機能の重要なコンポーネントです。Logto は包括的なアイデンティティ管理プラットフォームとして、さまざまなシナリオとレイヤーに対してカスタマイズされたソリューションを提供し、開発者やビジネスに多様な製品アーキテクチャを提供します。 ### API ロールベースのアクセス制御特定の組織に限定されない一般的な API リソースを保護し、コンテキスト制限を必要としない場合、 **API RBAC** 機能が理想的です。単に API を登録し、それぞれのリソースに権限を割り当てます。そして、役割とユーザー間の関係を通じてアクセスを制御します。 ![権限の管理](https://uploads.strapi.logto.io/1/manage_permissions_15227c1cd8.webp) ここでの API リソース、役割、権限は、統一されたアイデンティティシステムのもとで「民主化」されています。これは、階層が少なく非常に深いレベルのデータ隔離を必要としない B2C 製品でかなり一般的です。 ### 組織ロールベースのアクセス制御 B2B およびマルチテナント環境では、テナント隔離が必要です。これを達成するために、組織は隔離のコンテキストとして使われ、したがって、RBAC は特定の組織に所属するユーザーに対してのみ効果があります。 ![組織のオンボーディング](https://uploads.strapi.logto.io/1/organization_onboarding_cb46c47fd4.webp) 組織 RBAC は、API レベルではなく組織レベルでアクセスを制御することに焦点を当てています。これは、組織レベルでの自己管理において長期的に大きな柔軟性を提供しますが、それでも統一されたアイデンティティシステムの中にあります。組織 RBAC の重要な機能は、役割と権限がデフォルトで全ての組織において一般的に同じであることであり、これにより Logto の「組織テンプレート」は開発効率を大きく向上させるために非常に意味があります。 ![組織テンプレート](https://uploads.strapi.logto.io/1/organization_template_14dda1d742.webp) これは、アクセス制御ポリシーとアイデンティティがすべてのテナント (アプリテナント) に共通のインフラストラクチャコンポーネントであるという共通の哲学に一致し、SaaS 製品で一般的な慣行です。 ## 適切な認可モデルを選択し設計する適切な認可モデルを選択する際には、以下の質問を検討してください: 1. B2C、B2B、またはその両方のタイプの製品を開発していますか？アイデンティティはビジネスアイデンティティとして扱われますか？ 2. アプリにはマルチテナントアーキテクチャが必要ですか？ 3. アプリにおいて、ビジネスユニットによって定義されるある程度の隔離の必要がありますか？ 4. 組織のコンテキスト内で定義する必要がある権限と役割は何ですか、そしてどれがそうではないですか？ ### B2C アプリウェブアプリの例を使ってみましょう: BookHarber, オンライン書店です。BookHarber は、顧客とスタッフにシームレスで安全なショッピング体験を提供し、幅広い機能を備えています。 BookHarber の主な機能は以下のとおりです: 1. **本の閲覧と購入**: ユーザーはさまざまなジャンルや著者の多様なコレクションから簡単に本を検索して購入することができます。 2. **注文管理と物流追跡**: 登録ユーザーは注文を管理し、出荷状況を追跡し、購入のアップデートを受け取ることができます。 3. **特別オファーと休日の活動**: BookHarber は特別なイベントや休日にお客様に魅力的で報酬のある限定割引とプロモーションを提供します。 4. **カスタマーサポート**: ユーザーは問題や懸念に対処するためにサポートチケットを開設し、BookHarber スタッフから迅速な支援を受けることができます。 5. **顧客管理**: 異なる役割を持つスタッフメンバーは、顧客アカウント、注文処理、問題解決などプラットフォームのさまざまな側面を管理する能力を持っています。 ### ロール BookHarber のエコシステム内では、いくつかの主要なユーザーロールを特定できます、たとえば: 1. **ゲスト**: ウェブサイトを閲覧し、本を検索し、特別オファーを見ることができる未登録ユーザー。 2. **顧客**: 本を購入し、注文を管理し、物流を追跡し、サポートチケットを開設できる登録ユーザー。 3. **ストア管理者**: プラットフォームの全体管理と運営を監督する責任を持つスタッフメンバー。フルアクセス機能。 4. **本の管理者**: 書籍とカテゴリの管理を担当するスタッフメンバー。 5. **カスタマーサービスエージェント**: サポートチケットに対応する任務を持つスタッフメンバー。 6. **サードパーティロジスティクスプロバイダー**: 注文の出荷と配送を管理および追跡する責任を持つ外部パートナー。 7. **マーケティングスタッフ**: BookHarber を促進し、特別オファーとイベントを管理する責任を持つスタッフメンバー。以前、ビジネス要件を満たすために RBAC を使用するためのいくつかのガイドを開発しました。簡単に始めるためのチュートリアルをぜひご覧ください。 [LogtoでのRBACのマスター: 包括的な実際の例](https://blog.logto.io/mastering-rbac/) ### B2B アプリマルチテナントアプリは、生産性向上ツール、企業資源計画 (ERP) システム、その他の SaaS 製品などのビジネス向けソリューションでよく見られます。この文脈では、各「テナント」は通常、複数のユーザー (その従業員) を持つビジネス顧客を表します。さらに、ビジネス顧客は、異なる組織または事業部を表す複数のテナントを持つ可能性があります。 ![B2B](https://uploads.strapi.logto.io/1/b2b_d78ed8b63b.webp) #### いくつかの組織を作る ![組織の作成](https://uploads.strapi.logto.io/1/create_organizations_d12965adc8.webp) #### 組織レベルのアクセス制御のための組織テンプレートを定義 ![組織テンプレートを定義](https://uploads.strapi.logto.io/1/define_organization_template_b19b4805e7.webp) ### ハイブリッド B2B & B2C アプリ B2B アプリケーションは SaaS 製品を超えて広がり、マルチテナントアプリの利用を頻繁に伴います。B2B の文脈では、これらのアプリはさまざまなチーム、ビジネスクライアント、パートナー企業があなたのアプリケーションにアクセスするための共通プラットフォームとして機能します。たとえば、B2C と B2B の両方のアプリを提供するライドシェア会社を考えてみましょう。B2B アプリは複数のビジネスクライアントにサービスを提供し、彼らの従業員とリソースの管理を助けるためにマルチテナントアーキテクチャを採用することができます。具体例を挙げると、会社が統一されたユーザーアイデンティティシステムを維持したい場合、以下のようなアーキテクチャを設計することができます: サラを例にとってみましょう。サラは個人的なアイデンティティとビジネスアイデンティティの両方を持っています。彼女は乗客としてのライドシェアサービスを利用し、また暇な時間にドライバーとしても働いています。彼女の職業上の役割では、彼女は自分自身の個人事業を管理し、このビジネスアイデンティティを使ってビジネス1のパートナーとしても活動しています。

Logtoに設定されたエンティティ

ユーザーのアイデンティティとロールマップ

#### API リソース、ユーザーロールの定義 ![API リソースの作成](https://uploads.strapi.logto.io/1/create_api_resources_13db8fcd63.webp)

#### 組織のセットアップ

#### サラのプロフィール ![サラのプロフィール - 組織](https://uploads.strapi.logto.io/1/sarahs_profile_organizations_17f75a2647.webp)

![サラのプロフィール - ロール](https://uploads.strapi.logto.io/1/sarahs_profile_roles_8c1114ef1b.webp) ## 今日あなたの承認モデルを構築しましょう。 Logto は、ロールベースのアクセス制御 (RBAC) と組織機能を提供し、承認要件を満たします。これらの機能は、製品のさまざまな部分に簡単に統合できるように設計されています。詳細については、[組織](https://logto.io/products/organizations)および[RBAC](https://logto.io/products/rbac)のセクションをご覧いただくか、今すぐ Logto をお試しいただけます。今すぐ Logto を試す