조직 및 역할 기반 접근 제어: 제품에 대한 권한 모델을 설계하는 방법

조직이란 무엇인가#

조직 정의#

조직은 사용자(정체성)의 그룹이며, 귀하의 애플리케이션에 접근할 수 있는 팀, 비즈니스 고객, 및 파트너 회사를 나타낼 수 있습니다.

조직은 특히 기업 간 (B2B) 환경에서 효과적입니다. 개인 소비자와는 달리, 비즈니스 클라이언트는 종종 한 사람만이 아닌 팀, 조직 또는 전체 회사로 구성됩니다. 조직을 하나의 엔티티로 도입하는 것은 사용자들을 그룹화할 뿐만 아니라 다중 임차인 앱에서 임차인의 격리를 위한 컨텍스트를 제공하기 때문에 중요합니다.

조직 사용 사례#

이 기본 요소를 통해 이제 B2B 제품에 필요한 기능을 구축할 수 있습니다:

• 고객의 데이터 및 리소스를 분리하기 위한 다중 임차인 아키텍처를 구축하십시오.
• 애플리케이션 접근 수준은 조직 구성원에게 지정된 역할에 의해 정의됩니다.
• 초대 및 즉시 초대 기반으로 구성원 제공.
• 각 조직은 단일 로그인 (SSO) 인증 경험을 가질 수 있습니다.

역할 기반 접근 제어란 무엇인가?#

역할 기반 접근 제어 정의#

역할 기반 접근 제어 (RBAC)는 사용자의 역할에 따라 권한을 지정하는 방법입니다. 역할 기반 접근 제어는 역할과 권한을 중심으로 정의된 정책 중립적인 접근 제어 메커니즘입니다. 역할 권한, 사용자-역할 및 역할-역할 관계와 같은 RBAC의 구성 요소는 사용자 할당을 간단하게 수행할 수 있게 해줍니다. NIST의 연구는 RBAC가 상업적 및 정부 조직의 많은 요구 사항을 해결한다는 것을 보여주었습니다.

역할 기반 접근 제어 사용 사례#

이전에 비즈니스 요구를 충족하기 위해 RBAC를 사용하는 데 도움을 주기 위해 몇 가지 가이드를 개발했습니다. 빠르게 시작하는 데 도움이 되는 이러한 쉬운 튜토리얼을 살펴보세요.

🔐 역할 기반 접근 제어 (RBAC) | Logto 문서

최고의 실천을 위해 Logto에서 다른 권한 모델 사용#

역할 기반 접근 제어와 조직은 Logto의 권한 기능의 핵심 구성 요소입니다. Logto는 다양한 시나리오와 계층을 위한 맞춤형 솔루션을 제공하는 종합적인 정체성 관리 플랫폼으로, 다양한 제품 아키텍처의 개발자와 비즈니스를 대상으로 합니다.

API 역할 기반 접근 제어#

특정 조직에 국한되지 않고 컨텍스트 제한이 필요하지 않은 일반 API 리소스를 보호하기 위해 API RBAC 기능이 이상적입니다.

단순히 API를 등록하고 각 리소스에 대한 권한을 지정한 후, 역할과 사용자 간의 관계를 통해 접근을 제어하면 됩니다.

API 리소스, 역할 및 권한은 통합된 정체성 시스템에서 "민주화"됩니다. 이는 계층 구조가 적고 깊은 수준의 데이터 격리가 필요하지 않은 B2C 제품에서 매우 일반적입니다.

조직 역할 기반 접근 제어#

B2B 및 다중 임차인 환경에서 임차인 격리는 필수적입니다. 이를 구현하기 위해 조직은 격리를 위한 컨텍스트로 사용되며, 이는 RBAC가 특정 조직에 사용자가 속해 있을 때만 효과적입니다.

조직 RBAC는 API 수준이 아닌 조직 수준에서의 접근 제어에 중점을 둡니다. 이는 장기적으로 조직 수준의 자체 관리에 상당한 유연성을 제공하지만 여전히 통합된 정체성 시스템 내에 있습니다.

조직 RBAC의 핵심 기능 중 하나는 기본적으로 모든 조직에서 역할과 권한이 일반적으로 동일하다는 점으로, 이는 Logto의 "조직 템플릿"이 개발 효율성을 크게 개선하는 데 매우 의미가 있습니다.

이는 모든 임차인(앱 임차인)에서 접근 제어 정책과 정체성이 공통 인프라 구성 요소인 다중 임차인 앱의 공유 철학과 일치하며, SaaS 제품에서 일반적인 관행입니다.

적절한 권한 모델 선택 및 설계#

적절한 권한 모델을 선택할 때 다음 질문을 고려하십시오:

1. B2C, B2B 또는 이 두 가지 유형의 제품 결합을 개발하고 있습니까? 정체성이 비즈니스 정체성으로 간주됩니까?
2. 귀하의 앱은 다중 임차인 아키텍처가 필요합니까?
3. 비즈니스 단위에 의해 결정된 대로 귀하의 앱에 특정 수준의 격리가 필요합니까?
4. 조직의 컨텍스트 내에서 정의해야 할 권한 및 역할은 무엇이며, 정의되지 않을 것들은 무엇입니까?

B2C 앱#

웹 애플리케이션 예시를 사용해 봅시다: 온라인 서점인 BookHarber. BookHarber는 고객과 직원에게 원활하고 안전한 쇼핑 경험을 제공하기 위해 다양한 기능을 제공합니다.

BookHarber의 주요 기능은 다음과 같습니다:

1. 도서 검색 및 구매: 사용자가 다양한 장르와 작가의 책 컬렉션을 쉽게 검색하고 구매할 수 있습니다.
2. 주문 관리 및 물류 추적: 등록된 고객은 주문을 관리하고 배송을 추적하며 구매에 대한 업데이트를 받을 수 있습니다.
3. 특별 제공 및 휴가 활동: BookHarber는 특별 행사 및 휴일 동안 독점을 제공하며 고객에게 참여와 보상을 제공합니다.
4. 고객 지원: 고객은 문제나 문제를 해결하기 위해 지원 티켓을 열 수 있으며, BookHarber 직원의 신속한 지원을 받을 수 있습니다.
5. 고객 관리: 다양한 역할을 가진 직원은 플랫폼의 다양한 측면, 예를 들어 고객 계정, 주문 처리, 문제 해결 등을 관리할 수 있는 능력이 있습니다.

역할#

BookHarber 생태계 내에서 우리는 여러 주요 사용자 역할을 식별할 수 있습니다:

1. 손님: 웹사이트를 탐색하고, 책을 검색하고, 특별 이벤트를 확인할 수 있는 등록되지 않은 사용자.
2. 고객: 책을 구매하고, 주문을 관리하고, 물류를 추적하며, 지원 티켓을 열 수 있는 등록된 사용자.
3. 스토어 관리자: 플랫폼 전반의 관리 및 운영을 감독하는 데 책임이 있는 직원. 전체 접근 권한 보유.
4. 도서 관리자: 도서 및 카테고리 관리를 담당하는 직원.
5. 고객 서비스 에이전트: 지원 티켓에 응답하는 직원을 맡고 있는 직원.
6. 제3자 물류 제공자: 주문의 배송 및 배달을 관리 및 추적할 책임이 있는 외부 파트너.
7. 마케팅 직원: BookHarber를 홍보할 책임이 있는 직원으로, 특별 제공 및 이벤트를 관리할 책임을 맡고 있습니다.

이전에 비즈니스 요구를 충족하기 위해 RBAC를 사용하는 데 도움을 주기 위해 여러 가이드를 개발했습니다. 빠르게 시작하는 데 도움이 되는 이러한 쉬운 튜토리얼을 살펴보세요.

Logto에서 RBAC를 마스터하기: 종합적인 실세계 예시

B2B 앱#

다중 임차인 앱은 종종 생산성 도구, 기업 자원 계획 (ERP) 시스템 및 기타 서비스형 소프트웨어 (SaaS) 제품과 같은 B2B 솔루션에서 그 자리를 찾습니다. 이 문맥에서 각 "임차인"은 일반적으로 여러 사용자(그 직원)를 포함할 수 있는 비즈니스 고객을 나타냅니다. 추가적으로, 비즈니스 고객은 별개의 조직이나 비즈니스 부서를 나타내기 위해 여러 임차인을 가질 수도 있습니다.

몇몇 조직 생성하기#

조직 수준 접근 제어를 위한 조직 템플릿 정의하기#

하이브리드 B2B & B2C 앱#

B2B 애플리케이션은 SaaS 제품을 넘어서며 다중 임차인 앱의 사용을 종종 포함합니다. B2B 문맥에서 이러한 앱은 귀하의 애플리케이션에 접근할 수 있는 다양한 팀, 비즈니스 고객 및 파트너 회사에 공통 플랫폼으로 사용됩니다.

예를 들어, B2C와 B2B 앱을 모두 제공하는 라이드 공유 회사를 고려하세요. B2B 앱은 여러 비즈니스 고객을 제공하며, 임차인 아키텍처를 사용하면 그들의 직원과 리소스의 관리를 도울 수 있습니다. 예를 들면, 회사가 통합 사용자 정체성 시스템을 유지하고 싶다면, 다음 예제와 같은 아키텍처를 설계할 수 있습니다:

Sarah를 예로 들어 봅시다. Sarah는 개인과 비즈니스 정체성 둘 다를 가지고 있습니다. 그녀는 승객으로 라이드 공유 서비스를 사용하고, 여가 시간에 운전사로도 일합니다. 그녀의 직업적 역할에서, 그녀는 자신의 개인 비즈니스를 관리하며 이 비즈니스 정체성을 사용해 비즈니스 1과 파트너가 됩니다.

API 리소스 정의, 사용자 역할#

조직 설정하기#

Sarah의 프로필#

오늘 권한 설정을 시작하세요.#

Logto는 역할 기반 접근 제어 (RBAC) 및 조직 기능을 제공하여 귀하의 권한 요구 를 충족합니다. 이러한 기능은 제품의 다양한 부분에 쉽게 통합될 수 있도록 설계되었습니다. 추가 정보는 조직 및 RBAC를 참조하거나 현재 Logto를 시도해 보세요.