Polski
  • authorization
  • organization
  • api resources
  • rbac

System autoryzacji Logto i jego zastosowanie w scenariuszach zarządzania tożsamością

Poznaj wszechstronny system autoryzacji Logto.

Guamian
Guamian
Product & Design

Logto służy nie tylko jako dostawca uwierzytelniania, ale także jako dostawca autoryzacji. W tym artykule przedstawię przegląd metod autoryzacji Logto i wyjaśnię, jak te elastyczne warstwy można zastosować w różnych scenariuszach.

Używaj kontroli dostępu opartej na rolach, aby chronić swoje zasoby API

Rejestruj zasoby API w Logto

Aby ustanowić system autoryzacji, w którym różni użytkownicy mają różny dostęp do zasobów i uprawnień do działań, możesz rozpocząć od rejestracji zasobu API w Logto, a następnie dodać uprawnienia. Wykorzystuj role, aby agregować te uprawnienia, niezależnie od tego, czy dotyczą jednego API, czy wielu.

Zarządzaj uprawnieniami

Świetną funkcją Logto jest jego zdolność do tworzenia różnych typów ról, które można zastosować do różnych jednostek, w tym zarówno użytkowników, jak i aplikacji komunikacji między maszynami. Użytkownicy mogą dziedziczyć specyficzne dla nich role, podczas gdy aplikacje komunikacji między maszynami mogą dziedziczyć role zaprojektowane dla nich.

Celowana jednostka: Użytkownik

Jeśli Twoja aplikacja jest aplikacją ogólną, w której różni użytkownicy muszą wykonywać różne działania, wykorzystanie ról użytkowników jest elastycznym sposobem na ustanowienie skutecznego systemu kontroli dostępu.

Twórz zasoby API


Rola użytkownika

Celowana jednostka: Aplikacja między maszynami

Komunikacja między maszynami (M2M) jest powszechną praktyką uwierzytelniania, jeśli masz aplikację, która musi bezpośrednio komunikować się z zasobami. Na przykład, usługa API, która aktualizuje dane użytkowników w Logto, usługa statystyk, która zbiera codzienne zamówienia itp.

Aplikacje między maszynami mogą być wykorzystywane w dwóch kluczowych przypadkach użycia w Logto:

  1. Chroń swoją bezgłową aplikację API, ustawiając system autoryzacji.
  2. Użyj API zarządzania Logto do rozwijania swoich usług, takich jak umożliwienie profilom użytkowników aktualizacji informacji związanych z tożsamością.

Różnica w kontekście ról użytkownika polega na tym, że rola jest definiowana specjalnie jako rola międzymaszynowa, a nie rola użytkownika, i może być przypisywana tylko aplikacjom między maszynami.

Twórz rolę

W tym kontekście RBAC API, zasoby API, role i uprawnienia są "demokratyzowane" i rozpatrywane na poziomie systemowym w ramach zjednoczonego systemu tożsamości. To podejście jest dość powszechne w prostych produktach B2C, gdzie potrzeba złożonego hierarchicznego zarządzania jest mniejsza.

Użyj szablonu organizacji (RBAC) do ochrony zasobów na poziomie organizacji

W scenariuszach B2B role użytkowników mogą się różnić w różnych organizacjach. Na przykład, John może mieć rolę administratora w Organizacji A, ale pełnić tylko rolę członka w Organizacji B.

Szablon organizacji

Można to osiągnąć poprzez ustawienie szablonów organizacyjnych w Logto, co pomaga Twojej aplikacji wielotenancyjnej w tworzeniu systemu kontroli dostępu.

Zamiast tworzyć liczne role dla każdej organizacji, Logto umożliwia tworzenie szablonu organizacji. To podejście utrzymuje spójność w całej organizacji, jednocześnie pozwalając użytkownikom na elastyczność polegającą na posiadaniu różnych ról w różnych organizacjach.

Uprawnienia organizacyjne nie wymagają rejestracji zasobu API. Logto wydaje tokeny organizacyjne, które zawierają role i inne roszczenia, które mogą być używane do dalszej weryfikacji tokena organizacyjnego w Twoim API.

Użyj szablonu organizacji (RBAC) do ochrony zasobów zarówno na poziomie systemu, jak i organizacji

Jeśli masz zasoby API zarejestrowane w Logto i chcesz rozszerzyć ich użycie na poziom organizacji, jest to całkowicie możliwe.

Ta potrzeba może wystąpić, jeśli używasz tego samego punktu końcowego zarówno do funkcji systemowych, jak i operacji specyficznych dla organizacji. Posiadanie jednego punktu końcowego jest w porządku, a wykorzystanie kontekstu organizacji może również skutecznie zapewnić izolację najemcy.

W Logto możesz przypisać uprawnienia API bezpośrednio do roli organizacji, dostosowując je do swoich specyficznych wymagań.

Oto szybkie spojrzenie na to, jak zintegrować uprawnienia API z rolą organizacji.

Ta funkcja jest w trakcie rozwoju i planowana jest na pierwszą połowę 2024 roku.

Przypisywanie uprawnień

Podekscytowany systemami autoryzacji Logto i naszymi nadchodzącymi funkcjami autoryzacji? Zapisz się już dziś i otrzymuj najnowsze aktualizacje produktów na bieżąco.