Nederlands
  • autorisatie
  • organisatie
  • api-bronnen
  • rbac

Het autorisatiesysteem van Logto en het gebruik ervan in identiteitsbeheerscenario's

Ontdek het veelzijdige autorisatiesysteem van Logto.

Guamian
Guamian
Product & Design

Logto fungeert niet alleen als een authenticatieprovider, maar ook als een autorisatieprovider. In dit artikel geef ik een overzicht van de autorisatiemethoden van Logto en leg ik uit hoe deze flexibele lagen kunnen worden toegepast op verschillende scenario's.

Gebruik rolgebaseerde toegangscontrole om je API-bron te beschermen

Registreer API-bronnen in Logto

Om een autorisatiesysteem op te stellen waarbij verschillende gebruikers verschillende toegang hebben tot bronnen en actierechten, kun je beginnen met het registreren van de API-bron in Logto en vervolgens machtigingen toevoegen. Gebruik rollen om deze machtigingen te aggregeren, of het nu voor een enkele API is of voor meerdere.

Beheer Machtigingen

Een geweldig kenmerk van Logto is het vermogen om verschillende soorten rollen te creëren die kunnen worden toegepast op verschillende entiteiten, waaronder zowel gebruikers als machine-tot-machine-apps. Gebruikers kunnen gebruikersspecifieke rollen erven, terwijl machine-tot-machine-apps rollen kunnen erven die voor hen zijn ontworpen.

Gerichte entiteit: Gebruiker

Als je app een algemene applicatie is waar verschillende gebruikers verschillende acties moeten uitvoeren, is het gebruik van gebruikersrollen een flexibele manier om een effectief toegangssysteem op te zetten.

Creëer API Bronnen


Rol Ruiter

Gerichte entiteit: Machine-tot-machine-app

Machine-to-machine (M2M) is een gangbare praktijk om te authentiseren als je een app hebt die direct moet communiceren met bronnen. Bijvoorbeeld een API-service die de aangepaste gegevens van gebruikers in Logto bijwerkt, een statistiekservice die dagelijkse bestellingen ophaalt, enz.

Machine-tot-machine-apps kunnen in Logto worden gebruikt in twee belangrijke use-cases:

  1. Bescherm je headless API-app door een autorisatiesysteem in te stellen.
  2. Gebruik de Logto beheers-API om je diensten te ontwikkelen, zoals het inschakelen van gebruikersprofielen die eindgebruikers toestaan hun identiteitsgerelateerde informatie bij te werken.

Het onderscheid met gebruikersrollen in deze context is dat de rol specifiek is gedefinieerd als een machine-tot-machine-rol, niet als een gebruikersrol, en hij kan alleen worden toegewezen aan machine-tot-machine-apps.

Creëer Rol

In deze API RBAC-context worden API-bronnen, rollen en machtigingen "gedemocratiseerd" en op systeemniveau bekeken binnen een uniform identiteitsysteem. Deze benadering is vrij gebruikelijk in eenvoudige B2C-producten, waar er minder behoefte is aan complex hiërarchisch beheer.

Gebruik organisatie templates (RBAC) om je organisatieniveau-bron te beschermen

In B2B-scenario's kunnen gebruikersrollen variëren in verschillende organisaties. John kan bijvoorbeeld een admin-rol hebben in Organisatie A, maar slechts een lidrol in Organisatie B.

Org Template

Dit kan worden bereikt door organisatie templates in Logto op te zetten, wat je multi-tenant-app helpt bij het bouwen van een toegangssysteem.

In plaats van talloze rollen te maken voor elke organisatie, stelt Logto je in staat om een organisatie template te maken. Deze aanpak behoudt consistentie over alle organisaties, terwijl gebruikers de flexibiliteit hebben om verschillende rollen in verschillende organisaties te hebben.

De organisatiebevoegdheden vereisen geen geregistreerde API-bron. Logto geeft organisatietokens uit die rollen en andere claims bevatten, die kunnen worden gebruikt voor verdere verificatie van het organisatietoken in je API.

Gebruik een organisatie template (RBAC) om zowel de systeem- als organisatieniveau bronnen te beschermen

Als je API-bronnen in Logto hebt geregistreerd en hun gebruik wilt uitbreiden naar het organisatieniveau, is dat volledig mogelijk.

Deze behoefte kan ontstaan als je dezelfde endpoint gebruikt voor zowel systeemfuncties als organisatie specifieke operaties. Het hebben van een enkele endpoint is prima, en het gebruik van organisatiecontext kan ook effectief zorgen voor tenantisolatie.

In Logto kun je API-machtigingen direct toewijzen aan een organisatierol, aangepast aan je specifieke vereisten.

Hier is een snel overzicht van hoe je API-machtigingen integreert met de rol van je organisatie.

Deze functie is in ontwikkeling en wordt verwacht in de eerste helft van 2024.

Wijs Machtigingen Toe

Ben je enthousiast over Logto autorisatiesystemen en onze aankomende autorisatiefuncties? Meld je aan vandaag en ontvang direct de laatste productupdates.