Nederlands
  • organisatie
  • B2B
  • RBAC
  • auth
  • authenticatie

Organisatie- en rolgebaseerde toegangscontrole: Hoe je je autorisatiemodel voor je product ontwerpt

Dit artikel biedt een gedetailleerde handleiding over hoe je een autorisatiemodel ontwerpt voor organisatie- en rolgebaseerde toegangscontrole, en biedt best practices voor verschillende autorisatiemodellen op het Logto-platform.

Guamian
Guamian
Product & Design

Wat is een organisatie

Definitie van organisatie

De organisatie is een groep gebruikers (identiteiten) en kan de teams, zakelijke klanten en partnerbedrijven vertegenwoordigen die toegang hebben tot je applicatie.

Organisatie

Organisatie is bijzonder effectief in business-to-business (B2B) omgevingen. In tegenstelling tot individuele consumenten, bestaan zakelijke klanten vaak uit teams, organisaties of hele bedrijven, in plaats van slechts één persoon. De introductie van een organisatie als entiteit is belangrijk, omdat het niet alleen gebruikers groepeert maar ook een context biedt voor tenantisolatie in multi-tenant apps.

Gebruiksscenario's van organisatie

Met dit fundamentele element kun je nu de noodzakelijke functies voor je B2B-producten bouwen:

  • Bouw een multi-tenant architectuur om klantgegevens en -bronnen te isoleren.
  • Toegangsniveaus van de applicatie worden gedefinieerd door rollen die aan organisatiemedewerkers zijn toegewezen.
  • Voorziening van leden op uitnodigingsbasis en just-in-time basis.
  • Organisaties kunnen elk een single sign-on (SSO) authenticatie-ervaring hebben.

Wat is rolgebaseerde toegangscontrole?

Definitie van rolgebaseerde toegangscontrole

Rolgebaseerde toegangscontrole (RBAC) is een methode om gebruikers permissies toe te wijzen op basis van hun rollen. Rolgebaseerde toegangscontrole is een beleidsneutrale toegangscontrolemechanisme gedefinieerd rond rollen en privileges. De componenten van RBAC, zoals rolpermissies, gebruikersrol en rol-rolrelaties, maken het eenvoudig om gebruikersopdrachten uit te voeren. Een studie door NIST heeft aangetoond dat RBAC voorziet in veel behoeften van commerciële en overheidsorganisaties.

Gebruiksscenario's van rolgebaseerde toegangscontrole

Eerder hebben we verschillende handleidingen ontwikkeld om je te helpen RBAC te gebruiken om aan je zakelijke vereisten te voldoen. Bekijk deze eenvoudig te volgen tutorials om snel aan de slag te gaan.

🔐 Role-Based Access Control (RBAC) | Logto Docs

Gebruik van verschillende autorisatiemodellen in Logto voor best practices

Rolgebaseerde toegangscontrole en organisatie zijn belangrijke componenten van de autorisatiefuncties van Logto. Als een uitgebreid identiteitsbeheerplatform biedt Logto op maat gemaakte oplossingen voor verschillende scenario's en lagen, gericht op ontwikkelaars en bedrijven voor diverse productarchitecturen.

API rolgebaseerde toegangscontrole

Om algemene API-bronnen te beschermen die niet specifiek voor een bepaalde organisatie zijn en geen contextbeperkingen vereisen, is de API RBAC-functie ideaal.

Registreer gewoon de API en wijs permissies toe aan elke bron. Beheer vervolgens de toegang via de relatie tussen rollen en gebruikers.

Beheer permissies

API-bronnen, rollen en permissies hier zijn "gedemocratiseerd" onder een verenigd identiteitsysteem. Dit is heel gebruikelijk in B2C-producten met minder hiërarchie en die geen zeer diep niveau van gegevensisolatie nodig hebben.

Organisatie rolgebaseerde toegangscontrole

In de B2B en multi-tenant omgeving is tenantisolatie noodzakelijk. Om dit te bereiken, worden organisaties gebruikt als een context voor isolatie, wat betekent dat RBAC effectief is alleen wanneer een gebruiker tot een specifieke organisatie behoort.

Organisatie onboarding

Organisatie RBAC richt zich op het beheersen van toegang op organisatieniveau in plaats van op API-niveau. Dit biedt op lange termijn aanzienlijke flexibiliteit voor zelfbeheer op organisatieniveau, maar blijft binnen een verenigd identiteitsysteem.

Een belangrijk kenmerk van organisatie RBAC is dat rollen en permissies over het algemeen standaard hetzelfde zijn voor alle organisaties, wat Logto's "organisatie sjabloon" buitengewoon betekenisvol maakt voor het verbeteren van ontwikkelings efficiëntie.

Organisatie sjabloon

Dit sluit aan bij de gedeelde filosofie van multi-tenant apps, waar toegangscontrolebeleid en identiteiten gemeenschappelijke infrastructuurcomponenten zijn voor alle tenants (app-tenants), een gangbare praktijk in SaaS-producten.

Het kiezen en ontwerpen van het juiste autorisatiemodel

Bij het selecteren van het juiste autorisatiemodel, overweeg deze vragen:

  1. Ontwikkel je een B2C, B2B of een combinatie van beide soorten producten? Worden identiteiten beschouwd als zakelijke identiteiten?
  2. Heeft je app een multi-tenant architectuur nodig?
  3. Is er behoefte aan een bepaald niveau van isolatie in je app, zoals bepaald door de businessunit?
  4. Welke permissies en rollen moeten worden gedefinieerd binnen de context van de organisatie, en welke niet?

Een B2C-app

Laten we een voorbeeld van een webapplicatie gebruiken: BookHarber, een online boekwinkel. BookHarber biedt een breed scala aan functies voor klanten en personeel om een naadloze en veilige winkelervaring te garanderen.

Belangrijke kenmerken van BookHarber zijn:

  1. Boeken Bladeren en kopen: Gebruikers kunnen eenvoudig zoeken naar en boeken kopen uit een diverse collectie, die verschillende genres en auteurs bestrijkt.
  2. Orderbeheer en logistieke tracking: Geregistreerde klanten kunnen hun bestellingen beheren, verzending volgen en updates ontvangen over hun aankopen.
  3. Speciale aanbiedingen en feestactiviteiten: BookHarber biedt exclusieve kortingen en promoties tijdens speciale evenementen en feestdagen om zijn klantenbestand te betrekken en te belonen.
  4. Klantenservice: Klanten kunnen ondersteuningtickets openen om eventuele zorgen of problemen aan te kaarten, waarbij ze snelle hulp ontvangen van BookHarber-medewerkers.
  5. Klantenbeheer: Medewerkers met verschillende rollen hebben de mogelijkheid om verschillende aspecten van het platform te beheren, zoals klantenaccounts, orderverwerking en probleemoplossing.

Rollen

In het BookHarber-ecosysteem kunnen we verschillende belangrijke gebruikersrollen identificeren, zoals:

  1. Gast: Ongeregistreerde gebruikers die de website kunnen doorbladeren, zoeken naar boeken en speciale aanbiedingen kunnen bekijken.
  2. Klant: Geregistreerde gebruikers die boeken kunnen kopen, orders kunnen beheren, logistiek kunnen volgen en ondersteuningtickets kunnen openen.
  3. Winkelbeheerder: Medewerkers verantwoordelijk voor het toezicht houden op het algehele beheer en de operationele zaken van het platform. Met volledige toegang.
  4. Boekenbeheerder: Medewerkers verantwoordelijk voor het beheer van boeken en categorieën.
  5. Klantenservice agent: Medewerkers verantwoordelijk voor het beantwoorden van ondersteuningtickets.
  6. Externe logistieke partner: Externe partners verantwoordelijk voor het beheren en volgen van de verzending en levering van orders.
  7. Marketingmedewerker: Medewerkers verantwoordelijk voor de promotie van BookHarber, verantwoordelijk voor het beheren van speciale aanbiedingen en evenementen.

Eerder hebben we verschillende handleidingen ontwikkeld om je te helpen RBAC te gebruiken om aan je zakelijke vereisten te voldoen. Bekijk deze eenvoudig te volgen tutorials om snel aan de slag te gaan.

Mastering RBAC in Logto: A Comprehensive Real-World Example

B2B-app

Multi-tenant apps vinden vaak hun plaats in business-to-business (B2B) oplossingen zoals productiviteitstools, enterprise resource planning (ERP) systemen en andere software-as-a-service (SaaS) producten. In deze context vertegenwoordigt elke "tenant" doorgaans een zakelijke klant, wat meerdere gebruikers (zijn werknemers) kan hebben. Bovendien kan een zakelijke klant meerdere tenants hebben om verschillende organisaties of bedrijfsonderdelen te vertegenwoordigen.

B2B

Creëer enkele organisaties

Organisaties creëren

Definieer organisatie sjabloon voor toegang op organisatieniveau

Definieer organisatiesjabloon

Hybride B2B & B2C app

B2B-toepassingen gaan verder dan SaaS-producten en omvatten vaak het gebruik van multi-tenant apps. In B2B-contexten dienen deze apps als een gemeenschappelijk platform voor verschillende teams, zakelijke klanten en partnerbedrijven om toegang te krijgen tot je applicaties.

Denk bijvoorbeeld aan een ride-sharing bedrijf dat zowel B2C- als B2B-apps biedt. De B2B-apps bedienen meerdere zakelijke klanten en een multi-tenant architectuur kan helpen bij het beheer van hun werknemers en bronnen. Ter illustratie, als het bedrijf een verenigd gebruikersidentiteitssysteem wenst te behouden, kan het een architectuur ontwerpen zoals in het volgende voorbeeld:

Laten we Sarah als voorbeeld nemen. Sarah heeft zowel een persoonlijke als een zakelijke identiteit. Ze gebruikt de ride-sharing service als passagier en werkt ook als chauffeur in haar vrije tijd. In haar professionele rol beheert ze ook haar eigen persoonlijke bedrijf en gebruikt deze zakelijke identiteit om partner te zijn met Bedrijf 1.

Entiteiten ingesteld in Logto

Entiteiten ingesteld in Logto

Een gebruikers identiteit en rolkaart

Een gebruikers identiteit en rolkaart

API-bronnen definiëren, gebruikersrollen

API-bronnen creëren

Rol rijderRol bestuurder

Organisaties opzetten

Zakelijke organisaties creërenDetails van zakelijke organisatie

Sarah's profiel

Sarah's profiel - organisaties

Sarah's profiel - rollen

Bouw vandaag nog je autorisatie.

Logto biedt zowel rolgebaseerde toegangscontrole (RBAC) als organisatie-functies om aan je autorisatievereisten te voldoen. Deze functies zijn ontworpen om eenvoudig te worden geïntegreerd in verschillende delen van je product. Voor meer informatie, bekijk onze secties over organisaties en RBAC, of je kunt Logto nu uitproberen.

Probeer Logto nu