Multi-tenancy implementatie met PostgreSQL: leer via een eenvoudig praktijkvoorbeeld
Leer hoe je een multi-tenant architectuur implementeert met PostgreSQL Row-Level Security (RLS) en databaserollen door middel van een praktijkvoorbeeld voor veilige gegevensisolatie tussen tenants.
Developer
In enkele van onze eerdere artikelen hebben we ons verdiept in het concept van multi-tenancy en de toepassing ervan in producten en praktijksituaties in het bedrijfsleven.
In dit artikel verkennen we hoe je een multi-tenant architectuur voor je applicatie implementeert met PostgreSQL vanuit een technisch perspectief.
Wat is een single-tenant architectuur?
Single-tenant architectuur verwijst naar een softwarearchitectuur waarbij elke klant zijn eigen toegewijde instantie van de applicatie en database heeft.
In deze architectuur zijn de gegevens en bronnen van elke tenant volledig geïsoleerd van andere tenants.
Wat is een multi-tenant architectuur?
Multi-tenant architectuur is een softwarearchitectuur waarbij meerdere klanten (tenants) dezelfde applicatie-instantie en infrastructuur delen, terwijl ze gegevensisolatie behouden. In deze architectuur bedient een enkele instantie van de software meerdere tenants, waarbij de gegevens van elke tenant apart worden gehouden van anderen door middel van verschillende isolatiemechanismen.
Single-tenant architectuur vs multi-tenant architectuur
Single-tenant architectuur en multi-tenant architectuur verschillen op het gebied van gegevensisolatie, hulpbronnengebruik, schaalbaarheid, beheer en onderhoud, en beveiliging.
In een single-tenant architectuur heeft elke klant een onafhankelijke gegevensruimte, wat leidt tot een lager gebruik van hulpbronnen maar relatief eenvoudiger voor maatwerk. Typisch is single-tenant software afgestemd op specifieke klantbehoeften, zoals voorraadbeheersystemen voor een bepaalde stoffenleverancier of een persoonlijke blogwebapp. Gemeenschappelijk kenmerk van deze systemen is dat elke klant een aparte instantie van de applicatiedienst heeft, wat maatwerk vergemakkelijkt om aan specifieke eisen te voldoen.
In een multi-tenant architectuur delen meerdere tenants dezelfde onderliggende middelen, wat resulteert in een hoger gebruik van hulpbronnen. Het is echter cruciaal om gegevensisolatie en beveiliging te waarborgen.
Multi-tenant architectuur is vaak de voorkeurssoftwarearchitectuur wanneer serviceproviders gestandaardiseerde diensten aanbieden aan verschillende klanten. Deze diensten hebben doorgaans een laag niveau van maatwerk en alle klanten delen dezelfde applicatie-instantie. Wanneer een applicatie een update vereist, is het bijwerken van één applicatie-instantie gelijk aan het bijwerken van de applicatie voor alle klanten. CRM (Customer Relationship Management) is bijvoorbeeld een gestandaardiseerde vereiste. Deze systemen maken doorgaans gebruik van een multi-tenant architectuur om dezelfde dienst aan alle tenants te bieden.
Tenant gegevensisolatiestrategieën in multi-tenant architectuur
In een multi-tenant architectuur delen alle tenants dezelfde onderliggende middelen, waardoor de isolatie van middelen tussen tenants cruciaal is. Deze isolatie hoeft niet noodzakelijk fysiek te zijn; het vereist eenvoudigweg dat middelen tussen tenants niet zichtbaar zijn voor elkaar.
In het ontwerp van de architectuur kunnen verschillende gradaties van middelenisolatie tussen tenants worden bereikt:
In het algemeen geldt: hoe meer middelen er gedeeld worden tussen tenants, hoe lager de kosten voor systeemiteratie en onderhoud. Omgekeerd, hoe minder gedeelde middelen, hoe hoger de kosten.
Starten met multi-tenant implementatie met een praktijkvoorbeeld
In dit artikel gebruiken we een CRM-systeem als voorbeeld om een eenvoudige maar praktische multi-tenant architectuur te introduceren.
We beseffen dat alle tenants dezelfde standaarddiensten gebruiken, dus hebben we besloten om alle tenants dezelfde basisbronnen te laten delen, en we zullen gegevensisolatie tussen verschillende tenants op databasetniveau implementeren met behulp van PostgreSQL's Row-Level Security.
Daarnaast zullen we voor elke tenant een aparte gegevensverbinding creëren om het beheer van tenantrechten te vergemakkelijken.
%3btext-align:center%3b%7d%23mermaid-0 .edgeLabel p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .edgeLabel rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .labelBkg%7bbackground-color:rgba(232%2c 232%2c 232%2c 0.5)%3b%7d%23mermaid-0 .cluster rect%7bfill:%23ffffde%3bstroke:%23aaaa33%3bstroke-width:1px%3b%7d%23mermaid-0 .cluster text%7bfill:%23333%3b%7d%23mermaid-0 .cluster span%7bcolor:%23333%3b%7d%23mermaid-0 div.mermaidTooltip%7bposition:absolute%3btext-align:center%3bmax-width:200px%3bpadding:2px%3bfont-family:arial%2csans-serif%3bfont-size:12px%3bbackground:hsl(80%2c 100%25%2c 96.2745098039%25)%3bborder:1px solid %23aaaa33%3bborder-radius:2px%3bpointer-events:none%3bz-index:100%3b%7d%23mermaid-0 .flowchartTitleText%7btext-anchor:middle%3bfont-size:18px%3bfill:%23333%3b%7d%23mermaid-0 rect.text%7bfill:none%3bstroke-width:0%3b%7d%23mermaid-0 .icon-shape%2c%23mermaid-0 .image-shape%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3btext-align:center%3b%7d%23mermaid-0 .icon-shape p%2c%23mermaid-0 .image-shape p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bpadding:2px%3b%7d%23mermaid-0 .icon-shape rect%2c%23mermaid-0 .image-shape rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointEnd'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 0 L 10 5 L 0 10 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='4.5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointStart'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 5 L 10 10 L 10 0 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='11' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleEnd'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='-1' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleStart'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='12' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossEnd'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='-1' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossStart'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cg class='root'%3e%3cg class='clusters'%3e%3cg data-look='classic' id='Database' class='cluster'%3e%3crect height='332' width='271.875' y='8' x='734.15625' style=''/%3e%3cg transform='translate(835.84375%2c 8)' class='cluster-label'%3e%3cforeignObject height='24' width='68.5'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eDatabase%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg data-look='classic' id='subGraph0' class='cluster'%3e%3crect height='332' width='230.078125' y='8' x='254.078125' style=''/%3e%3cg transform='translate(322%2c 8)' class='cluster-label'%3e%3cforeignObject height='24' width='94.234375'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eCRM System%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3cg class='edgePaths'%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_A_TA_0' d='M203.195%2c70L207.509%2c70C211.823%2c70%2c220.451%2c70%2c228.931%2c70C237.411%2c70%2c245.745%2c70%2c253.633%2c70C261.521%2c70%2c268.964%2c70%2c272.685%2c70L276.406%2c70'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_B_TB_1' d='M203.641%2c174L207.88%2c174C212.12%2c174%2c220.599%2c174%2c229.005%2c174C237.411%2c174%2c245.745%2c174%2c253.486%2c174C261.227%2c174%2c268.375%2c174%2c271.949%2c174L275.523%2c174'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_C_TC_2' d='M204.078%2c278L208.245%2c278C212.411%2c278%2c220.745%2c278%2c229.078%2c278C237.411%2c278%2c245.745%2c278%2c253.411%2c278C261.078%2c278%2c268.078%2c278%2c271.578%2c278L275.078%2c278'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_TA_RDA_3' d='M457.828%2c70L462.216%2c70C466.604%2c70%2c475.38%2c70%2c500.602%2c70C525.823%2c70%2c567.49%2c70%2c609.156%2c70C650.823%2c70%2c692.49%2c70%2c716.97%2c70C741.451%2c70%2c748.745%2c70%2c752.392%2c70L756.039%2c70'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_TB_RDB_4' d='M458.711%2c174L462.952%2c174C467.193%2c174%2c475.674%2c174%2c500.749%2c174C525.823%2c174%2c567.49%2c174%2c609.156%2c174C650.823%2c174%2c692.49%2c174%2c716.897%2c174C741.305%2c174%2c748.453%2c174%2c752.027%2c174L755.602%2c174'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_TC_RDC_5' d='M459.156%2c278L463.323%2c278C467.49%2c278%2c475.823%2c278%2c500.823%2c278C525.823%2c278%2c567.49%2c278%2c609.156%2c278C650.823%2c278%2c692.49%2c278%2c716.823%2c278C741.156%2c278%2c748.156%2c278%2c751.656%2c278L755.156%2c278'/%3e%3c/g%3e%3cg class='edgeLabels'%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(609.15625%2c 70)' class='edgeLabel'%3e%3cg transform='translate(-99.6171875%2c -12)' class='label'%3e%3cforeignObject height='24' width='199.234375'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3cp%3eDB verbinding voor tenant A%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(609.15625%2c 174)' class='edgeLabel'%3e%3cg transform='translate(-100%2c -24)' class='label'%3e%3cforeignObject height='48' width='200'%3e%3cdiv style='display: table%3b white-space: break-spaces%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b width: 200px%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3cp%3eDB verbinding voor tenant B%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(609.15625%2c 278)' class='edgeLabel'%3e%3cg transform='translate(-100%2c -24)' class='label'%3e%3cforeignObject height='48' width='200'%3e%3cdiv style='display: table%3b white-space: break-spaces%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b width: 200px%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3cp%3eDB verbinding voor tenant C%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3cg class='nodes'%3e%3cg transform='translate(369.1171875%2c 70)' id='flowchart-TA-0' class='node default'%3e%3crect height='54' width='177.421875' y='-27' x='-88.7109375' style='' class='basic label-container'/%3e%3cg transform='translate(-58.7109375%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='117.421875'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eTenant A context%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(369.1171875%2c 174)' id='flowchart-TB-1' class='node default'%3e%3crect height='54' width='179.1875' y='-27' x='-89.59375' style='' class='basic label-container'/%3e%3cg transform='translate(-59.59375%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='119.1875'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eTenant B context%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(369.1171875%2c 278)' id='flowchart-TC-2' class='node default'%3e%3crect height='54' width='180.078125' y='-27' x='-90.0390625' style='' class='basic label-container'/%3e%3cg transform='translate(-60.0390625%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='120.078125'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eTenant C context%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(106.0390625%2c 70)' id='flowchart-A-3' class='node default'%3e%3crect height='54' width='194.3125' y='-27' x='-97.15625' style='' class='basic label-container'/%3e%3cg transform='translate(-67.15625%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='134.3125'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eClient van tenant A%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(106.0390625%2c 174)' id='flowchart-B-5' class='node default'%3e%3crect height='54' width='195.203125' y='-27' x='-97.6015625' style='' class='basic label-container'/%3e%3cg transform='translate(-67.6015625%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='135.203125'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eClient van tenant B%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(106.0390625%2c 278)' id='flowchart-C-7' class='node default'%3e%3crect height='54' width='196.078125' y='-27' x='-98.0390625' style='' class='basic label-container'/%3e%3cg transform='translate(-68.0390625%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='136.078125'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eClient van tenant C%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(870.09375%2c 70)' id='flowchart-RDA-9' class='node default'%3e%3crect height='54' width='220.109375' y='-27' x='-110.0546875' style='' class='basic label-container'/%3e%3cg transform='translate(-80.0546875%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='160.109375'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3erow data voor tenant A%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(870.09375%2c 174)' id='flowchart-RDB-10' class='node default'%3e%3crect height='54' width='220.984375' y='-27' x='-110.4921875' style='' class='basic label-container'/%3e%3cg transform='translate(-80.4921875%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='160.984375'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3erow data voor tenant B%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(870.09375%2c 278)' id='flowchart-RDC-11' class='node default'%3e%3crect height='54' width='221.875' y='-27' x='-110.9375' style='' class='basic label-container'/%3e%3cg transform='translate(-80.9375%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='161.875'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3erow data voor tenant C%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
Vervolgens zullen we introduceren hoe we deze multi-tenant architectuur kunnen implementeren.
Hoe implementeer je multi-tenant architectuur met PostgreSQL
Voeg tenant-identificatie toe voor alle bronnen
In een CRM-systeem hebben we veel middelen die in verschillende tabellen worden opgeslagen. Klantinformatie wordt bijvoorbeeld opgeslagen in de customers-tabel.
Voordat we multi-tenancy implementeren, worden deze middelen niet geassocieerd met een tenant:
%3bopacity:0.7%3bbackground-color:hsl(80%2c 100%25%2c 96.2745098039%25)%3b%7d%23mermaid-1 .relationshipLabelBox rect%7bopacity:0.5%3b%7d%23mermaid-1 .relationshipLine%7bstroke:%23333333%3b%7d%23mermaid-1 .entityTitleText%7btext-anchor:middle%3bfont-size:18px%3bfill:%23333%3b%7d%23mermaid-1 %23MD_PARENT_START%7bfill:%23f5f5f5!important%3bstroke:%23333333!important%3bstroke-width:1%3b%7d%23mermaid-1 %23MD_PARENT_END%7bfill:%23f5f5f5!important%3bstroke:%23333333!important%3bstroke-width:1%3b%7d%23mermaid-1 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg/%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='240' markerWidth='190' refY='7' refX='0' id='MD_PARENT_START'%3e%3cpath d='M 18%2c7 L9%2c13 L1%2c7 L9%2c1 Z'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='28' markerWidth='20' refY='7' refX='19' id='MD_PARENT_END'%3e%3cpath d='M 18%2c7 L9%2c13 L1%2c7 L9%2c1 Z'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='18' markerWidth='18' refY='9' refX='0' id='ONLY_ONE_START'%3e%3cpath d='M9%2c0 L9%2c18 M15%2c0 L15%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='18' markerWidth='18' refY='9' refX='18' id='ONLY_ONE_END'%3e%3cpath d='M3%2c0 L3%2c18 M9%2c0 L9%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='18' markerWidth='30' refY='9' refX='0' id='ZERO_OR_ONE_START'%3e%3ccircle r='6' cy='9' cx='21' fill='white' stroke='gray'/%3e%3cpath d='M9%2c0 L9%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='18' markerWidth='30' refY='9' refX='30' id='ZERO_OR_ONE_END'%3e%3ccircle r='6' cy='9' cx='9' fill='white' stroke='gray'/%3e%3cpath d='M21%2c0 L21%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='36' markerWidth='45' refY='18' refX='18' id='ONE_OR_MORE_START'%3e%3cpath d='M0%2c18 Q 18%2c0 36%2c18 Q 18%2c36 0%2c18 M42%2c9 L42%2c27' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='36' markerWidth='45' refY='18' refX='27' id='ONE_OR_MORE_END'%3e%3cpath d='M3%2c9 L3%2c27 M9%2c18 Q27%2c0 45%2c18 Q27%2c36 9%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='36' markerWidth='57' refY='18' refX='18' id='ZERO_OR_MORE_START'%3e%3ccircle r='6' cy='18' cx='48' fill='white' stroke='gray'/%3e%3cpath d='M0%2c18 Q18%2c0 36%2c18 Q18%2c36 0%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='36' markerWidth='57' refY='18' refX='39' id='ZERO_OR_MORE_END'%3e%3ccircle r='6' cy='18' cx='9' fill='white' stroke='gray'/%3e%3cpath d='M21%2c18 Q39%2c0 57%2c18 Q39%2c36 21%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cg transform='translate(20%2c20 )' id='entity-customers-81c4bf60-f037-5ffd-bea1-c082debbd530'%3e%3crect height='66' width='100' y='0' x='0' class='er entityBox'/%3e%3ctext style='dominant-baseline: middle%3b text-anchor: middle%3b font-family: arial%2c sans-serif%3b font-size: 12px%3b' transform='translate(50%2c12)' y='0' x='0' id='text-entity-customers-81c4bf60-f037-5ffd-bea1-c082debbd530' class='er entityLabel'%3ecustomers%3c/text%3e%3crect height='21' width='49.88072204589844' y='24' x='0' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(5%2c34.5)' y='0' x='0' id='text-entity-customers-81c4bf60-f037-5ffd-bea1-c082debbd530-attr-1-type' class='er entityLabel'%3estring%3c/text%3e%3crect height='21' width='50.11927795410156' y='24' x='49.88072204589844' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(54.88072204589844%2c34.5)' y='0' x='0' id='text-entity-customers-81c4bf60-f037-5ffd-bea1-c082debbd530-attr-1-name' class='er entityLabel'%3eid%3c/text%3e%3crect height='21' width='49.88072204589844' y='45' x='0' class='er attributeBoxEven'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(5%2c55.5)' y='0' x='0' id='text-entity-customers-81c4bf60-f037-5ffd-bea1-c082debbd530-attr-2-type' class='er entityLabel'%3estring%3c/text%3e%3crect height='21' width='50.11927795410156' y='45' x='49.88072204589844' class='er attributeBoxEven'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(54.88072204589844%2c55.5)' y='0' x='0' id='text-entity-customers-81c4bf60-f037-5ffd-bea1-c082debbd530-attr-2-name' class='er entityLabel'%3enaam%3c/text%3e%3c/g%3e%3c/svg%3e)
Om de tenants te onderscheiden die verschillende middelen bezitten, introduceren we een tenants-tabel om tenantinformatie op te slaan (waar db_user en db_user_password worden gebruikt om de database-verbindinginformatie voor elke tenant op te slaan, hieronder nader toegelicht). We voegen ook een tenant_id-veld toe aan elke bron om te identificeren aan welke tenant het toebehoort:
%3bopacity:0.7%3bbackground-color:hsl(80%2c 100%25%2c 96.2745098039%25)%3b%7d%23mermaid-2 .relationshipLabelBox rect%7bopacity:0.5%3b%7d%23mermaid-2 .relationshipLine%7bstroke:%23333333%3b%7d%23mermaid-2 .entityTitleText%7btext-anchor:middle%3bfont-size:18px%3bfill:%23333%3b%7d%23mermaid-2 %23MD_PARENT_START%7bfill:%23f5f5f5!important%3bstroke:%23333333!important%3bstroke-width:1%3b%7d%23mermaid-2 %23MD_PARENT_END%7bfill:%23f5f5f5!important%3bstroke:%23333333!important%3bstroke-width:1%3b%7d%23mermaid-2 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg/%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='240' markerWidth='190' refY='7' refX='0' id='MD_PARENT_START'%3e%3cpath d='M 18%2c7 L9%2c13 L1%2c7 L9%2c1 Z'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='28' markerWidth='20' refY='7' refX='19' id='MD_PARENT_END'%3e%3cpath d='M 18%2c7 L9%2c13 L1%2c7 L9%2c1 Z'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='18' markerWidth='18' refY='9' refX='0' id='ONLY_ONE_START'%3e%3cpath d='M9%2c0 L9%2c18 M15%2c0 L15%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='18' markerWidth='18' refY='9' refX='18' id='ONLY_ONE_END'%3e%3cpath d='M3%2c0 L3%2c18 M9%2c0 L9%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='18' markerWidth='30' refY='9' refX='0' id='ZERO_OR_ONE_START'%3e%3ccircle r='6' cy='9' cx='21' fill='white' stroke='gray'/%3e%3cpath d='M9%2c0 L9%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='18' markerWidth='30' refY='9' refX='30' id='ZERO_OR_ONE_END'%3e%3ccircle r='6' cy='9' cx='9' fill='white' stroke='gray'/%3e%3cpath d='M21%2c0 L21%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='36' markerWidth='45' refY='18' refX='18' id='ONE_OR_MORE_START'%3e%3cpath d='M0%2c18 Q 18%2c0 36%2c18 Q 18%2c36 0%2c18 M42%2c9 L42%2c27' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='36' markerWidth='45' refY='18' refX='27' id='ONE_OR_MORE_END'%3e%3cpath d='M3%2c9 L3%2c27 M9%2c18 Q27%2c0 45%2c18 Q27%2c36 9%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='36' markerWidth='57' refY='18' refX='18' id='ZERO_OR_MORE_START'%3e%3ccircle r='6' cy='18' cx='48' fill='white' stroke='gray'/%3e%3cpath d='M0%2c18 Q18%2c0 36%2c18 Q18%2c36 0%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='36' markerWidth='57' refY='18' refX='39' id='ZERO_OR_MORE_END'%3e%3ccircle r='6' cy='18' cx='9' fill='white' stroke='gray'/%3e%3cpath d='M21%2c18 Q39%2c0 57%2c18 Q39%2c36 21%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cg transform='translate(20%2c20 )' id='entity-tenants-56b5c3c6-4585-5857-96ff-f027447cdf2e'%3e%3crect height='87' width='131.66140747070312' y='0' x='0' class='er entityBox'/%3e%3ctext style='dominant-baseline: middle%3b text-anchor: middle%3b font-family: arial%2c sans-serif%3b font-size: 12px%3b' transform='translate(65.83070373535156%2c12)' y='0' x='0' id='text-entity-tenants-56b5c3c6-4585-5857-96ff-f027447cdf2e' class='er entityLabel'%3etenants%3c/text%3e%3crect height='21' width='35.245819091796875' y='24' x='0' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(5%2c34.5)' y='0' x='0' id='text-entity-tenants-56b5c3c6-4585-5857-96ff-f027447cdf2e-attr-1-type' class='er entityLabel'%3estring%3c/text%3e%3crect height='21' width='96.41558837890625' y='24' x='35.245819091796875' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(40.245819091796875%2c34.5)' y='0' x='0' id='text-entity-tenants-56b5c3c6-4585-5857-96ff-f027447cdf2e-attr-1-name' class='er entityLabel'%3eid%3c/text%3e%3crect height='21' width='35.245819091796875' y='45' x='0' class='er attributeBoxEven'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(5%2c55.5)' y='0' x='0' id='text-entity-tenants-56b5c3c6-4585-5857-96ff-f027447cdf2e-attr-2-type' class='er entityLabel'%3estring%3c/text%3e%3crect height='21' width='96.41558837890625' y='45' x='35.245819091796875' class='er attributeBoxEven'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(40.245819091796875%2c55.5)' y='0' x='0' id='text-entity-tenants-56b5c3c6-4585-5857-96ff-f027447cdf2e-attr-2-name' class='er entityLabel'%3edb_user%3c/text%3e%3crect height='21' width='35.245819091796875' y='66' x='0' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(5%2c76.5)' y='0' x='0' id='text-entity-tenants-56b5c3c6-4585-5857-96ff-f027447cdf2e-attr-3-type' class='er entityLabel'%3estring%3c/text%3e%3crect height='21' width='96.41558837890625' y='66' x='35.245819091796875' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(40.245819091796875%2c76.5)' y='0' x='0' id='text-entity-tenants-56b5c3c6-4585-5857-96ff-f027447cdf2e-attr-3-name' class='er entityLabel'%3edb_user_password%3c/text%3e%3c/g%3e%3cg transform='translate(251.66140747070312%2c20 )' id='entity-customers-81c4bf60-f037-5ffd-bea1-c082debbd530'%3e%3crect height='87' width='100' y='0' x='0' class='er entityBox'/%3e%3ctext style='dominant-baseline: middle%3b text-anchor: middle%3b font-family: arial%2c sans-serif%3b font-size: 12px%3b' transform='translate(50%2c12)' y='0' x='0' id='text-entity-customers-81c4bf60-f037-5ffd-bea1-c082debbd530' class='er entityLabel'%3ecustomers%3c/text%3e%3crect height='21' width='41.49632263183594' y='24' x='0' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(5%2c34.5)' y='0' x='0' id='text-entity-customers-81c4bf60-f037-5ffd-bea1-c082debbd530-attr-1-type' class='er entityLabel'%3estring%3c/text%3e%3crect height='21' width='58.50367736816406' y='24' x='41.49632263183594' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(46.49632263183594%2c34.5)' y='0' x='0' id='text-entity-customers-81c4bf60-f037-5ffd-bea1-c082debbd530-attr-1-name' class='er entityLabel'%3eid%3c/text%3e%3crect height='21' width='41.49632263183594' y='45' x='0' class='er attributeBoxEven'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(5%2c55.5)' y='0' x='0' id='text-entity-customers-81c4bf60-f037-5ffd-bea1-c082debbd530-attr-2-type' class='er entityLabel'%3estring%3c/text%3e%3crect height='21' width='58.50367736816406' y='45' x='41.49632263183594' class='er attributeBoxEven'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(46.49632263183594%2c55.5)' y='0' x='0' id='text-entity-customers-81c4bf60-f037-5ffd-bea1-c082debbd530-attr-2-name' class='er entityLabel'%3enaam%3c/text%3e%3crect height='21' width='41.49632263183594' y='66' x='0' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(5%2c76.5)' y='0' x='0' id='text-entity-customers-81c4bf60-f037-5ffd-bea1-c082debbd530-attr-3-type' class='er entityLabel'%3estring%3c/text%3e%3crect height='21' width='58.50367736816406' y='66' x='41.49632263183594' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(46.49632263183594%2c76.5)' y='0' x='0' id='text-entity-customers-81c4bf60-f037-5ffd-bea1-c082debbd530-attr-3-name' class='er entityLabel'%3etenant_id%3c/text%3e%3c/g%3e%3c/svg%3e)
Nu is elke bron gekoppeld aan een tenant_id, waardoor we theoretisch een where-clausule kunnen toevoegen aan alle queries om de toegang tot resources voor elke tenant te beperken:
Op het eerste gezicht lijkt dit eenvoudig en haalbaar. Het heeft echter de volgende problemen:
- Bijna elke query zal deze
where-clausule bevatten, wat de code rommelig maakt en moeilijker te onderhouden, vooral bij het schrijven van complexe join-statements. - Nieuwkomers in de codebase kunnen gemakkelijk vergeten deze
where-clausule toe te voegen. - Gegevens tussen verschillende tenants zijn niet echt geïsoleerd, omdat elke tenant nog steeds rechten heeft om gegevens te benaderen die tot andere tenants behoren.
Daarom zullen we deze aanpak niet gebruiken. In plaats daarvan zullen we PostgreSQL' Row Level Security gebruiken om deze zorgen aan te pakken. Voordat we verder gaan, zullen we echter een dedicated database-account creëren voor elke tenant om toegang te krijgen tot deze gedeelde database.
Stel DB-rollen in voor tenants
Het is een goede gewoonte om een databasero om toe te wijzen aan elke gebruiker die toegang kan krijgen tot de database. Dit biedt betere controle over de toegang van elke gebruiker tot de database, vergemakkelijkt de isolatie van operaties tussen verschillende gebruikers en verbetert de stabiliteit en beveiliging van het systeem.
Omdat alle tenants dezelfde databasebedieningsrechten hebben, kunnen we een basisrol creëren om deze rechten te beheren:
Vervolgens, om elke tenantrol te onderscheiden, wordt bij het aanmaken van een tenant een rol afgeleid van de basisrol aan elke tenant toegewezen:
Vervolgens zal de databaseverbindinginformatie voor elke tenant worden opgeslagen in de tenants-tabel:
| id | db_user | db_user_password |
|---|---|---|
| x2euic | crm_tenant_x2euic | pa55w0rd |
Dit mechanisme biedt elke tenant zijn eigen databasero, en deze rollen delen de rechten die aan de crm_tenant-rol zijn toegekend.
Vervolgens kunnen we het toestemmingsbereik voor tenants definiëren met behulp van de crm_tenant-rol:
- Tenants moeten CRUD-toegang hebben tot alle CRM-systeembrontabellen.
- Tabellen die niet gerelateerd zijn aan CRM-systeembronnen moeten onzichtbaar zijn voor tenants (ervan uitgaande dat alleen de
systems-tabel). - Tenants mogen de
tenants-tabel niet wijzigen, en alleen de veldenidendb_usermogen zichtbaar zijn voor hen om hun eigen tenant-id op te vragen bij het uitvoeren van databasebewerkingen.
Zodra de rollen voor tenants zijn ingesteld, wanneer een tenant toegang vraagt tot de service, kunnen we met de database communiceren met behulp van de databasero die die tenant vertegenwoordigt:
%3bfill:%23ECECFF%3b%7d%23mermaid-3 text.actor%26gt%3btspan%7bfill:black%3bstroke:none%3b%7d%23mermaid-3 .actor-line%7bstroke:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3b%7d%23mermaid-3 .messageLine0%7bstroke-width:1.5%3bstroke-dasharray:none%3bstroke:%23333%3b%7d%23mermaid-3 .messageLine1%7bstroke-width:1.5%3bstroke-dasharray:2%2c2%3bstroke:%23333%3b%7d%23mermaid-3 %23arrowhead path%7bfill:%23333%3bstroke:%23333%3b%7d%23mermaid-3 .sequenceNumber%7bfill:white%3b%7d%23mermaid-3 %23sequencenumber%7bfill:%23333%3b%7d%23mermaid-3 %23crosshead path%7bfill:%23333%3bstroke:%23333%3b%7d%23mermaid-3 .messageText%7bfill:%23333%3bstroke:none%3b%7d%23mermaid-3 .labelBox%7bstroke:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3bfill:%23ECECFF%3b%7d%23mermaid-3 .labelText%2c%23mermaid-3 .labelText%26gt%3btspan%7bfill:black%3bstroke:none%3b%7d%23mermaid-3 .loopText%2c%23mermaid-3 .loopText%26gt%3btspan%7bfill:black%3bstroke:none%3b%7d%23mermaid-3 .loopLine%7bstroke-width:2px%3bstroke-dasharray:2%2c2%3bstroke:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3bfill:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3b%7d%23mermaid-3 .note%7bstroke:%23aaaa33%3bfill:%23fff5ad%3b%7d%23mermaid-3 .noteText%2c%23mermaid-3 .noteText%26gt%3btspan%7bfill:black%3bstroke:none%3b%7d%23mermaid-3 .activation0%7bfill:%23f4f4f4%3bstroke:%23666%3b%7d%23mermaid-3 .activation1%7bfill:%23f4f4f4%3bstroke:%23666%3b%7d%23mermaid-3 .activation2%7bfill:%23f4f4f4%3bstroke:%23666%3b%7d%23mermaid-3 .actorPopupMenu%7bposition:absolute%3b%7d%23mermaid-3 .actorPopupMenuPanel%7bposition:absolute%3bfill:%23ECECFF%3bbox-shadow:0px 8px 16px 0px rgba(0%2c0%2c0%2c0.2)%3bfilter:drop-shadow(3px 5px 2px rgb(0 0 0 / 0.4))%3b%7d%23mermaid-3 .actor-man line%7bstroke:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3bfill:%23ECECFF%3b%7d%23mermaid-3 .actor-man circle%2c%23mermaid-3 line%7bstroke:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3bfill:%23ECECFF%3bstroke-width:2px%3b%7d%23mermaid-3 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg/%3e%3cdefs%3e%3csymbol height='24' width='24' id='computer'%3e%3cpath d='M2 2v13h20v-13h-20zm18 11h-16v-9h16v9zm-10.228 6l.466-1h3.524l.467 1h-4.457zm14.228 3h-24l2-6h2.104l-1.33 4h18.45l-1.297-4h2.073l2 6zm-5-10h-14v-7h14v7z' transform='scale(.5)'/%3e%3c/symbol%3e%3c/defs%3e%3cdefs%3e%3csymbol clip-rule='evenodd' fill-rule='evenodd' id='database'%3e%3cpath d='M12.258.001l.256.004.255.005.253.008.251.01.249.012.247.015.246.016.242.019.241.02.239.023.236.024.233.027.231.028.229.031.225.032.223.034.22.036.217.038.214.04.211.041.208.043.205.045.201.046.198.048.194.05.191.051.187.053.183.054.18.056.175.057.172.059.168.06.163.061.16.063.155.064.15.066.074.033.073.033.071.034.07.034.069.035.068.035.067.035.066.035.064.036.064.036.062.036.06.036.06.037.058.037.058.037.055.038.055.038.053.038.052.038.051.039.05.039.048.039.047.039.045.04.044.04.043.04.041.04.04.041.039.041.037.041.036.041.034.041.033.042.032.042.03.042.029.042.027.042.026.043.024.043.023.043.021.043.02.043.018.044.017.043.015.044.013.044.012.044.011.045.009.044.007.045.006.045.004.045.002.045.001.045v17l-.001.045-.002.045-.004.045-.006.045-.007.045-.009.044-.011.045-.012.044-.013.044-.015.044-.017.043-.018.044-.02.043-.021.043-.023.043-.024.043-.026.043-.027.042-.029.042-.03.042-.032.042-.033.042-.034.041-.036.041-.037.041-.039.041-.04.041-.041.04-.043.04-.044.04-.045.04-.047.039-.048.039-.05.039-.051.039-.052.038-.053.038-.055.038-.055.038-.058.037-.058.037-.06.037-.06.036-.062.036-.064.036-.064.036-.066.035-.067.035-.068.035-.069.035-.07.034-.071.034-.073.033-.074.033-.15.066-.155.064-.16.063-.163.061-.168.06-.172.059-.175.057-.18.056-.183.054-.187.053-.191.051-.194.05-.198.048-.201.046-.205.045-.208.043-.211.041-.214.04-.217.038-.22.036-.223.034-.225.032-.229.031-.231.028-.233.027-.236.024-.239.023-.241.02-.242.019-.246.016-.247.015-.249.012-.251.01-.253.008-.255.005-.256.004-.258.001-.258-.001-.256-.004-.255-.005-.253-.008-.251-.01-.249-.012-.247-.015-.245-.016-.243-.019-.241-.02-.238-.023-.236-.024-.234-.027-.231-.028-.228-.031-.226-.032-.223-.034-.22-.036-.217-.038-.214-.04-.211-.041-.208-.043-.204-.045-.201-.046-.198-.048-.195-.05-.19-.051-.187-.053-.184-.054-.179-.056-.176-.057-.172-.059-.167-.06-.164-.061-.159-.063-.155-.064-.151-.066-.074-.033-.072-.033-.072-.034-.07-.034-.069-.035-.068-.035-.067-.035-.066-.035-.064-.036-.063-.036-.062-.036-.061-.036-.06-.037-.058-.037-.057-.037-.056-.038-.055-.038-.053-.038-.052-.038-.051-.039-.049-.039-.049-.039-.046-.039-.046-.04-.044-.04-.043-.04-.041-.04-.04-.041-.039-.041-.037-.041-.036-.041-.034-.041-.033-.042-.032-.042-.03-.042-.029-.042-.027-.042-.026-.043-.024-.043-.023-.043-.021-.043-.02-.043-.018-.044-.017-.043-.015-.044-.013-.044-.012-.044-.011-.045-.009-.044-.007-.045-.006-.045-.004-.045-.002-.045-.001-.045v-17l.001-.045.002-.045.004-.045.006-.045.007-.045.009-.044.011-.045.012-.044.013-.044.015-.044.017-.043.018-.044.02-.043.021-.043.023-.043.024-.043.026-.043.027-.042.029-.042.03-.042.032-.042.033-.042.034-.041.036-.041.037-.041.039-.041.04-.041.041-.04.043-.04.044-.04.046-.04.046-.039.049-.039.049-.039.051-.039.052-.038.053-.038.055-.038.056-.038.057-.037.058-.037.06-.037.061-.036.062-.036.063-.036.064-.036.066-.035.067-.035.068-.035.069-.035.07-.034.072-.034.072-.033.074-.033.151-.066.155-.064.159-.063.164-.061.167-.06.172-.059.176-.057.179-.056.184-.054.187-.053.19-.051.195-.05.198-.048.201-.046.204-.045.208-.043.211-.041.214-.04.217-.038.22-.036.223-.034.226-.032.228-.031.231-.028.234-.027.236-.024.238-.023.241-.02.243-.019.245-.016.247-.015.249-.012.251-.01.253-.008.255-.005.256-.004.258-.001.258.001zm-9.258 20.499v.01l.001.021.003.021.004.022.005.021.006.022.007.022.009.023.01.022.011.023.012.023.013.023.015.023.016.024.017.023.018.024.019.024.021.024.022.025.023.024.024.025.052.049.056.05.061.051.066.051.07.051.075.051.079.052.084.052.088.052.092.052.097.052.102.051.105.052.11.052.114.051.119.051.123.051.127.05.131.05.135.05.139.048.144.049.147.047.152.047.155.047.16.045.163.045.167.043.171.043.176.041.178.041.183.039.187.039.19.037.194.035.197.035.202.033.204.031.209.03.212.029.216.027.219.025.222.024.226.021.23.02.233.018.236.016.24.015.243.012.246.01.249.008.253.005.256.004.259.001.26-.001.257-.004.254-.005.25-.008.247-.011.244-.012.241-.014.237-.016.233-.018.231-.021.226-.021.224-.024.22-.026.216-.027.212-.028.21-.031.205-.031.202-.034.198-.034.194-.036.191-.037.187-.039.183-.04.179-.04.175-.042.172-.043.168-.044.163-.045.16-.046.155-.046.152-.047.148-.048.143-.049.139-.049.136-.05.131-.05.126-.05.123-.051.118-.052.114-.051.11-.052.106-.052.101-.052.096-.052.092-.052.088-.053.083-.051.079-.052.074-.052.07-.051.065-.051.06-.051.056-.05.051-.05.023-.024.023-.025.021-.024.02-.024.019-.024.018-.024.017-.024.015-.023.014-.024.013-.023.012-.023.01-.023.01-.022.008-.022.006-.022.006-.022.004-.022.004-.021.001-.021.001-.021v-4.127l-.077.055-.08.053-.083.054-.085.053-.087.052-.09.052-.093.051-.095.05-.097.05-.1.049-.102.049-.105.048-.106.047-.109.047-.111.046-.114.045-.115.045-.118.044-.12.043-.122.042-.124.042-.126.041-.128.04-.13.04-.132.038-.134.038-.135.037-.138.037-.139.035-.142.035-.143.034-.144.033-.147.032-.148.031-.15.03-.151.03-.153.029-.154.027-.156.027-.158.026-.159.025-.161.024-.162.023-.163.022-.165.021-.166.02-.167.019-.169.018-.169.017-.171.016-.173.015-.173.014-.175.013-.175.012-.177.011-.178.01-.179.008-.179.008-.181.006-.182.005-.182.004-.184.003-.184.002h-.37l-.184-.002-.184-.003-.182-.004-.182-.005-.181-.006-.179-.008-.179-.008-.178-.01-.176-.011-.176-.012-.175-.013-.173-.014-.172-.015-.171-.016-.17-.017-.169-.018-.167-.019-.166-.02-.165-.021-.163-.022-.162-.023-.161-.024-.159-.025-.157-.026-.156-.027-.155-.027-.153-.029-.151-.03-.15-.03-.148-.031-.146-.032-.145-.033-.143-.034-.141-.035-.14-.035-.137-.037-.136-.037-.134-.038-.132-.038-.13-.04-.128-.04-.126-.041-.124-.042-.122-.042-.12-.044-.117-.043-.116-.045-.113-.045-.112-.046-.109-.047-.106-.047-.105-.048-.102-.049-.1-.049-.097-.05-.095-.05-.093-.052-.09-.051-.087-.052-.085-.053-.083-.054-.08-.054-.077-.054v4.127zm0-5.654v.011l.001.021.003.021.004.021.005.022.006.022.007.022.009.022.01.022.011.023.012.023.013.023.015.024.016.023.017.024.018.024.019.024.021.024.022.024.023.025.024.024.052.05.056.05.061.05.066.051.07.051.075.052.079.051.084.052.088.052.092.052.097.052.102.052.105.052.11.051.114.051.119.052.123.05.127.051.131.05.135.049.139.049.144.048.147.048.152.047.155.046.16.045.163.045.167.044.171.042.176.042.178.04.183.04.187.038.19.037.194.036.197.034.202.033.204.032.209.03.212.028.216.027.219.025.222.024.226.022.23.02.233.018.236.016.24.014.243.012.246.01.249.008.253.006.256.003.259.001.26-.001.257-.003.254-.006.25-.008.247-.01.244-.012.241-.015.237-.016.233-.018.231-.02.226-.022.224-.024.22-.025.216-.027.212-.029.21-.03.205-.032.202-.033.198-.035.194-.036.191-.037.187-.039.183-.039.179-.041.175-.042.172-.043.168-.044.163-.045.16-.045.155-.047.152-.047.148-.048.143-.048.139-.05.136-.049.131-.05.126-.051.123-.051.118-.051.114-.052.11-.052.106-.052.101-.052.096-.052.092-.052.088-.052.083-.052.079-.052.074-.051.07-.052.065-.051.06-.05.056-.051.051-.049.023-.025.023-.024.021-.025.02-.024.019-.024.018-.024.017-.024.015-.023.014-.023.013-.024.012-.022.01-.023.01-.023.008-.022.006-.022.006-.022.004-.021.004-.022.001-.021.001-.021v-4.139l-.077.054-.08.054-.083.054-.085.052-.087.053-.09.051-.093.051-.095.051-.097.05-.1.049-.102.049-.105.048-.106.047-.109.047-.111.046-.114.045-.115.044-.118.044-.12.044-.122.042-.124.042-.126.041-.128.04-.13.039-.132.039-.134.038-.135.037-.138.036-.139.036-.142.035-.143.033-.144.033-.147.033-.148.031-.15.03-.151.03-.153.028-.154.028-.156.027-.158.026-.159.025-.161.024-.162.023-.163.022-.165.021-.166.02-.167.019-.169.018-.169.017-.171.016-.173.015-.173.014-.175.013-.175.012-.177.011-.178.009-.179.009-.179.007-.181.007-.182.005-.182.004-.184.003-.184.002h-.37l-.184-.002-.184-.003-.182-.004-.182-.005-.181-.007-.179-.007-.179-.009-.178-.009-.176-.011-.176-.012-.175-.013-.173-.014-.172-.015-.171-.016-.17-.017-.169-.018-.167-.019-.166-.02-.165-.021-.163-.022-.162-.023-.161-.024-.159-.025-.157-.026-.156-.027-.155-.028-.153-.028-.151-.03-.15-.03-.148-.031-.146-.033-.145-.033-.143-.033-.141-.035-.14-.036-.137-.036-.136-.037-.134-.038-.132-.039-.13-.039-.128-.04-.126-.041-.124-.042-.122-.043-.12-.043-.117-.044-.116-.044-.113-.046-.112-.046-.109-.046-.106-.047-.105-.048-.102-.049-.1-.049-.097-.05-.095-.051-.093-.051-.09-.051-.087-.053-.085-.052-.083-.054-.08-.054-.077-.054v4.139zm0-5.666v.011l.001.02.003.022.004.021.005.022.006.021.007.022.009.023.01.022.011.023.012.023.013.023.015.023.016.024.017.024.018.023.019.024.021.025.022.024.023.024.024.025.052.05.056.05.061.05.066.051.07.051.075.052.079.051.084.052.088.052.092.052.097.052.102.052.105.051.11.052.114.051.119.051.123.051.127.05.131.05.135.05.139.049.144.048.147.048.152.047.155.046.16.045.163.045.167.043.171.043.176.042.178.04.183.04.187.038.19.037.194.036.197.034.202.033.204.032.209.03.212.028.216.027.219.025.222.024.226.021.23.02.233.018.236.017.24.014.243.012.246.01.249.008.253.006.256.003.259.001.26-.001.257-.003.254-.006.25-.008.247-.01.244-.013.241-.014.237-.016.233-.018.231-.02.226-.022.224-.024.22-.025.216-.027.212-.029.21-.03.205-.032.202-.033.198-.035.194-.036.191-.037.187-.039.183-.039.179-.041.175-.042.172-.043.168-.044.163-.045.16-.045.155-.047.152-.047.148-.048.143-.049.139-.049.136-.049.131-.051.126-.05.123-.051.118-.052.114-.051.11-.052.106-.052.101-.052.096-.052.092-.052.088-.052.083-.052.079-.052.074-.052.07-.051.065-.051.06-.051.056-.05.051-.049.023-.025.023-.025.021-.024.02-.024.019-.024.018-.024.017-.024.015-.023.014-.024.013-.023.012-.023.01-.022.01-.023.008-.022.006-.022.006-.022.004-.022.004-.021.001-.021.001-.021v-4.153l-.077.054-.08.054-.083.053-.085.053-.087.053-.09.051-.093.051-.095.051-.097.05-.1.049-.102.048-.105.048-.106.048-.109.046-.111.046-.114.046-.115.044-.118.044-.12.043-.122.043-.124.042-.126.041-.128.04-.13.039-.132.039-.134.038-.135.037-.138.036-.139.036-.142.034-.143.034-.144.033-.147.032-.148.032-.15.03-.151.03-.153.028-.154.028-.156.027-.158.026-.159.024-.161.024-.162.023-.163.023-.165.021-.166.02-.167.019-.169.018-.169.017-.171.016-.173.015-.173.014-.175.013-.175.012-.177.01-.178.01-.179.009-.179.007-.181.006-.182.006-.182.004-.184.003-.184.001-.185.001-.185-.001-.184-.001-.184-.003-.182-.004-.182-.006-.181-.006-.179-.007-.179-.009-.178-.01-.176-.01-.176-.012-.175-.013-.173-.014-.172-.015-.171-.016-.17-.017-.169-.018-.167-.019-.166-.02-.165-.021-.163-.023-.162-.023-.161-.024-.159-.024-.157-.026-.156-.027-.155-.028-.153-.028-.151-.03-.15-.03-.148-.032-.146-.032-.145-.033-.143-.034-.141-.034-.14-.036-.137-.036-.136-.037-.134-.038-.132-.039-.13-.039-.128-.041-.126-.041-.124-.041-.122-.043-.12-.043-.117-.044-.116-.044-.113-.046-.112-.046-.109-.046-.106-.048-.105-.048-.102-.048-.1-.05-.097-.049-.095-.051-.093-.051-.09-.052-.087-.052-.085-.053-.083-.053-.08-.054-.077-.054v4.153zm8.74-8.179l-.257.004-.254.005-.25.008-.247.011-.244.012-.241.014-.237.016-.233.018-.231.021-.226.022-.224.023-.22.026-.216.027-.212.028-.21.031-.205.032-.202.033-.198.034-.194.036-.191.038-.187.038-.183.04-.179.041-.175.042-.172.043-.168.043-.163.045-.16.046-.155.046-.152.048-.148.048-.143.048-.139.049-.136.05-.131.05-.126.051-.123.051-.118.051-.114.052-.11.052-.106.052-.101.052-.096.052-.092.052-.088.052-.083.052-.079.052-.074.051-.07.052-.065.051-.06.05-.056.05-.051.05-.023.025-.023.024-.021.024-.02.025-.019.024-.018.024-.017.023-.015.024-.014.023-.013.023-.012.023-.01.023-.01.022-.008.022-.006.023-.006.021-.004.022-.004.021-.001.021-.001.021.001.021.001.021.004.021.004.022.006.021.006.023.008.022.01.022.01.023.012.023.013.023.014.023.015.024.017.023.018.024.019.024.02.025.021.024.023.024.023.025.051.05.056.05.06.05.065.051.07.052.074.051.079.052.083.052.088.052.092.052.096.052.101.052.106.052.11.052.114.052.118.051.123.051.126.051.131.05.136.05.139.049.143.048.148.048.152.048.155.046.16.046.163.045.168.043.172.043.175.042.179.041.183.04.187.038.191.038.194.036.198.034.202.033.205.032.21.031.212.028.216.027.22.026.224.023.226.022.231.021.233.018.237.016.241.014.244.012.247.011.25.008.254.005.257.004.26.001.26-.001.257-.004.254-.005.25-.008.247-.011.244-.012.241-.014.237-.016.233-.018.231-.021.226-.022.224-.023.22-.026.216-.027.212-.028.21-.031.205-.032.202-.033.198-.034.194-.036.191-.038.187-.038.183-.04.179-.041.175-.042.172-.043.168-.043.163-.045.16-.046.155-.046.152-.048.148-.048.143-.048.139-.049.136-.05.131-.05.126-.051.123-.051.118-.051.114-.052.11-.052.106-.052.101-.052.096-.052.092-.052.088-.052.083-.052.079-.052.074-.051.07-.052.065-.051.06-.05.056-.05.051-.05.023-.025.023-.024.021-.024.02-.025.019-.024.018-.024.017-.023.015-.024.014-.023.013-.023.012-.023.01-.023.01-.022.008-.022.006-.023.006-.021.004-.022.004-.021.001-.021.001-.021-.001-.021-.001-.021-.004-.021-.004-.022-.006-.021-.006-.023-.008-.022-.01-.022-.01-.023-.012-.023-.013-.023-.014-.023-.015-.024-.017-.023-.018-.024-.019-.024-.02-.025-.021-.024-.023-.024-.023-.025-.051-.05-.056-.05-.06-.05-.065-.051-.07-.052-.074-.051-.079-.052-.083-.052-.088-.052-.092-.052-.096-.052-.101-.052-.106-.052-.11-.052-.114-.052-.118-.051-.123-.051-.126-.051-.131-.05-.136-.05-.139-.049-.143-.048-.148-.048-.152-.048-.155-.046-.16-.046-.163-.045-.168-.043-.172-.043-.175-.042-.179-.041-.183-.04-.187-.038-.191-.038-.194-.036-.198-.034-.202-.033-.205-.032-.21-.031-.212-.028-.216-.027-.22-.026-.224-.023-.226-.022-.231-.021-.233-.018-.237-.016-.241-.014-.244-.012-.247-.011-.25-.008-.254-.005-.257-.004-.26-.001-.26.001z' transform='scale(.5)'/%3e%3c/symbol%3e%3c/defs%3e%3cdefs%3e%3csymbol height='24' width='24' id='clock'%3e%3cpath d='M12 2c5.514 0 10 4.486 10 10s-4.486 10-10 10-10-4.486-10-10 4.486-10 10-10zm0-2c-6.627 0-12 5.373-12 12s5.373 12 12 12 12-5.373 12-12-5.373-12-12-12zm5.848 12.459c.202.038.202.333.001.372-1.907.361-6.045 1.111-6.547 1.111-.719 0-1.301-.582-1.301-1.301 0-.512.77-5.447 1.125-7.445.034-.192.312-.181.343.014l.985 6.238 5.394 1.011z' transform='scale(.5)'/%3e%3c/symbol%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto-start-reverse' markerHeight='12' markerWidth='12' markerUnits='userSpaceOnUse' refY='5' refX='7.9' id='arrowhead'%3e%3cpath d='M -1 0 L 10 5 L 0 10 z'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker refY='4.5' refX='4' orient='auto' markerHeight='8' markerWidth='15' id='crosshead'%3e%3cpath style='stroke-dasharray: 0%2c 0%3b' d='M 1%2c2 L 6%2c7 M 6%2c2 L 1%2c7' stroke-width='1pt' stroke='black' fill='none'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='28' markerWidth='20' refY='7' refX='15.5' id='filled-head'%3e%3cpath d='M 18%2c7 L9%2c13 L14%2c7 L9%2c1 Z'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='40' markerWidth='60' refY='15' refX='15' id='sequencenumber'%3e%3ccircle r='6' cy='15' cx='15'/%3e%3c/marker%3e%3c/defs%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='80' x='289'%3eVraag resources van tenant A op met %60tenant_id_a%60%3c/text%3e%3cline style='fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='111' x2='502' y1='111' x1='76'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='126' x='826'%3eHaal tenant DB-inloggegevens op door %60tenant_id_a%60%3c/text%3e%3cline style='fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='157' x2='1145' y1='157' x1='507'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='172' x='829'%3eDB-inloggegevens voor tenant A%3c/text%3e%3cline style='stroke-dasharray: 3%2c 3%3b fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine1' y2='201' x2='510' y1='201' x1='1148'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='216' x='826'%3eLeg een DB-verbinding met tenant A vast met de DB-inloggegevens van tenant A%3c/text%3e%3cline style='fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='245' x2='1145' y1='245' x1='507'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='260' x='829'%3eDB-verbinding voor tenant A%3c/text%3e%3cline style='stroke-dasharray: 3%2c 3%3b fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine1' y2='289' x2='510' y1='289' x1='1148'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='304' x='826'%3eHaal tenant A resources op via de tenant A DB-verbinding%3c/text%3e%3cline style='fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='333' x2='1145' y1='333' x1='507'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='348' x='829'%3eResources van tenant A%3c/text%3e%3cline style='stroke-dasharray: 3%2c 3%3b fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine1' y2='377' x2='510' y1='377' x1='1148'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='392' x='292'%3eResources van tenant A%3c/text%3e%3cline style='stroke-dasharray: 3%2c 3%3b fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine1' y2='421' x2='79' y1='421' x1='505'/%3e%3c/svg%3e)
Beveilig tenantgegevens met PostgreSQL Row-Level Security
Tot nu toe hebben we overeenkomstige databasero voor tenants ingesteld, maar dit beperkt de gegevens toegang tussen tenants niet. Vervolgens zullen we de Row-Level Security-functie van PostgreSQL gebruiken om de toegang van elke tenant tot hun eigen gegevens te beperken.
In PostgreSQL kunnen tabellen row security policies hebben die bepalen welke rijen toegankelijk zijn voor queries of aangepast kunnen worden door datamanipulatiecommando's. Deze functie staat ook bekend als RLS (Row-Level Security).
Standaard hebben tabellen geen rij-beveiligingsbeleid. Om RLS te gebruiken, moet je het inschakelen voor de tabel en beveiligingsbeleid creëren die elke keer dat de tabel wordt benaderd, worden uitgevoerd.
Aan de hand van de customers-tabel in het CRM-systeem als voorbeeld, zullen we RLS inschakelen en een beveiligingsbeleid creëren om elke tenant alleen toegang te geven tot hun eigen klantgegevens:
In de verklaring voor het maken van het beveiligingsbeleid:
for all(optioneel) geeft aan dat dit toegangsbeleid zal worden gebruikt voorselect,insert,updateendeletebewerkingen op de tabel. Je kunt een toegangsbeleid specificeren voor specifieke operaties metforgevolgd door het commando-woord.to crm_tenantgeeft aan dat dit beleid van toepassing is op gebruikers met de databaserocrm_tenant, dat wil zeggen alle tenants.as restrictivespecificeert de handhavingsmodus van het beleid, wat aangeeft dat toegang strikt beperkt moet worden. Standaard kan een tabel meerdere beleidsregels hebben, meerderepermissivebeleidsregels worden gecombineerd met eenOF-relatie. In dit scenario verklaren we dit beleid alsrestrictiveomdat we willen dat deze beleidscontrole verplicht is voor gebruikers die behoren tot CRM-systeemtenants.usingexpressie definieert de voorwaarden voor daadwerkelijke toegang, waarbij de huidige query-databasegebruikers worden beperkt om alleen gegevens te bekijken die behoren tot hun respectieve tenant. Deze beperking is van toepassing op rijen die door een commando zijn geselecteerd (select,updateofdelete).with checkexpressie definieert de beperking die nodig is bij het wijzigen van gegevensrijen (insertofupdate), die ervoor zorgt dat tenants alleen records voor zichzelf kunnen toevoegen of updaten.
Het gebruik van RLS om de toegang van tenants tot onze resourcetabellen te beperken biedt verschillende voordelen:
- Dit beleid voegt effectief
where tenant_id = (select id from tenants where db_user = current_user)toe aan alle query-operaties (select,updateofdelete). Bijvoorbeeld, wanneer jeselect * from customersuitvoert, is dat gelijk aanselect * from customers where tenant_id = (select id from tenants where db_user = current_user). Dit elimineert de noodzaak om explicietwhere-voorwaarden toe te voegen in de applicatiecode, waardoor deze wordt vereenvoudigd en de kans op fouten wordt verminderd. - Het controleert centraal de toegangsrechten van gegevens tussen verschillende tenants op databaseniveau, waardoor het risico van kwetsbaarheden of inconsistenties in de applicatie wordt verminderd en de veiligheid van het systeem wordt verhoogd.
Er zijn echter enkele punten om rekening mee te houden:
- RLS-beleid worden voor elke rij gegevens uitgevoerd. Als de queryvoorwaarden binnen het RLS-beleid te complex zijn, kan dit aanzienlijke invloed hebben op de systeemprestaties. Gelukkig is onze tenant gegevenstoets query simpel genoeg en zal de prestaties niet beïnvloeden. Als je van plan bent om later andere functionaliteiten te implementeren met RLS, kun je de Row-Level Security prestatie aanbevelingen van Supabase volgen om RLS-prestaties te optimaliseren.
- RLS-beleid vullen
tenant_idniet automatisch in tijdensinsert-operaties. Ze beperken alleen tenants tot het invoeren van hun eigen gegevens. Dit betekent dat we bij het invoeren van gegevens nog steeds de tenant ID moeten opgeven, wat niet consistent is met het queryproces en voor verwarring kan zorgen tijdens de ontwikkeling, waardoor de kans op fouten toeneemt (dit zal in de volgende stappen worden aangepakt).
Naast de customers-tabel moeten we dezelfde operaties toepassen op alle CRM-systeembrontabellen (dit proces kan een beetje vervelend zijn, maar we kunnen een programma schrijven om het te configureren tijdens tabelinitialisatie), zodat gegevens van verschillende tenants geïsoleerd zijn.
Maak triggerfunctie voor gegevensinvoer
Zoals eerder vermeld, stelt RLS (Row-Level Security) ons in staat om queries uit te voeren zonder ons zorgen te maken over het bestaan van tenant_id, omdat de database dit automatisch afhandelt. Voor insert-operaties moeten we echter nog steeds handmatig de bijbehorende tenant_id specificeren.
Om dezelfde gebruiksgemak van RLS voor gegevensinvoer te bereiken, moet de database tenant_id automatisch kunnen verwerken tijdens gegevensinvoer.
Dit heeft een duidelijk voordeel: op het niveau van applicatieontwikkeling hoeven we niet meer na te denken over tot welke tenant de gegevens behoren, waardoor de kans op fouten wordt verkleind en onze mentale last bij het ontwikkelen van multi-tenant applicaties wordt verminderd.
Gelukkig biedt PostgreSQL krachtige triggerfunctionaliteit.
Triggers zijn speciale functies die aan tabellen zijn gekoppeld en automatisch specifieke acties uitvoeren (zoals insert, update of delete) wanneer deze worden uitgevoerd op de tabel. Deze acties kunnen worden geactiveerd op rij niveau (voor elke rij) of instructieniveau (voor de gehele instructie). Met triggers kunnen we aangepaste logica uitvoeren voor of na specifieke databasebewerkingen, wat ons gemakkelijk in staat stelt om ons doel te bereiken.
Laten we eerst een triggerfunctie set_tenant_id maken die wordt uitgevoerd vóór elke gegevensinvoer:
Vervolgens koppelen we deze triggerfunctie aan de customers-tabel voor invoerbewerkingen (vergelijkbaar met het inschakelen van RLS voor een tabel, deze triggerfunctie moet worden gekoppeld aan alle relevante tabellen):
Deze trigger zorgt ervoor dat ingevoerde gegevens het juiste tenant_id bevatten. Als de nieuwe gegevens al een tenant_id bevatten, doet de triggerfunctie niets. Anders vult het automatisch het tenant_id-veld op basis van de informatie van de huidige gebruiker in de tenants-tabel.
Op deze manier bereiken we automatische verwerking van tenant_id op databaseniveau tijdens gegevensinvoer door tenants.
Samenvatting
In dit artikel hebben we ons verdiept in de praktische toepassing van multi-tenant architectuur, met als voorbeeld een CRM-systeem om een praktische oplossing aan te tonen met behulp van PostgreSQL-database.
We bespreken database rolbeheer, toegangscontrole en de Row-Level Security-functie van PostgreSQL om gegevensisolatie tussen tenants te waarborgen. Bovendien maken we gebruik van triggerfuncties om de cognitieve belasting voor ontwikkelaars in het beheer van verschillende tenants te verminderen.
Dat is alles voor dit artikel. Als je je multi-tenant applicatie verder wilt verbeteren met gebruikers toegangsbeheer, kun je Een eenvoudige gids om te beginnen met Logto organisaties - voor het bouwen van een multi-tenant app raadplegen voor meer inzichten.