Toegangsstructuur
Een toegangsstructuur wordt gebruikt om hiërarchische toegang in een omgeving te modelleren voor zowel interne gebruikers als externe gebruikers.
Een toegangsstructuur kan klanten, afdelingen, verantwoordelijkheden, rollen of vergelijkbare zakelijke toegangsgroeperingen vertegenwoordigen. Gebruikers worden via lidmaatschappen toegewezen aan een node in de structuur, en de effectieve toegang wordt tijdens het inloggen opgelost.
Toegangsstructuur en nodes
Elke toegangsstructuur bevat één enkele nodehiërarchie met precies één rootnode.
Een node bevat:
- Een naam
- Optioneel claims die de toegang beschrijven die door de node wordt vertegenwoordigd
- Optioneel onderliggende nodes eronder in de hiërarchie
De hiërarchie kan worden gebruikt om toegang te modelleren zoals:
- Klant → Afdeling → Rol
- Organisatie → Team → Verantwoordelijkheid
- Partner → Regio → Functie
Voorbeeld: Acme Corp toegangsstructuur
Het volgende voorbeeld modelleert toegang voor de klant Acme Corp met een financiële afdeling en een goedkeurdersrol:
Acme Corp (customer=acme)
Finance (department=finance)
Approver (role=approver)
In de instellingen van de toegangsstructuur is de bovenste node Acme Corp met de claim customer=acme. De onderliggende node Finance voegt de claim department=finance toe, en de onderliggende node Approver voegt de claim role=approver toe.
Wanneer een gebruiker via een lidmaatschap aan de node Approver wordt toegewezen, lost FoxIDs de hiërarchie op van Approver naar Acme Corp.
In claim-transformaties zijn de opgeloste waarden beschikbaar als _local: toegangsclaims.
Als Forward access structure claims to applications is ingeschakeld, worden de toegangsclaims ook doorgestuurd naar claim-transformaties en applicaties. In dit geval de claims customer=acme, department=finance en role=approver.
Lidmaatschappen
Gebruikers worden via lidmaatschappen verbonden met een toegangsstructuur. Een gebruiker kan met meerdere toegangsstructuren worden verbonden via meerdere lidmaatschappen en meerdere nodes binnen elke structuur.
Een lidmaatschap:
- Geldt voor zowel interne gebruikers als externe gebruikers
- Verwijst naar één node in een toegangsstructuur
- Kan optioneel een geldig-van- en geldig-tot-tijd bevatten
Lidmaatschappen worden beheerd in de FoxIDs Control Client:
- Op de pagina Internal Users voor interne gebruikers
- Op de pagina External Users voor externe gebruikers
- Op de pagina Access Structures voor gebruikersgerichte lidmaatschapsbeheer
Opgeloste toegang bij inloggen
Bij het inloggen lost FoxIDs de lidmaatschappen van de gebruiker op en doorloopt de nodehiërarchie van de toegewezen node naar de rootnode.
Het opgeloste resultaat bevat:
- Effectieve nodepaden
- Effectieve claims uit de hiërarchie
- Pad-gekwalificeerde claims
Deze waarden worden beschikbaar gemaakt voordat normale claim-transformaties worden uitgevoerd, wat betekent dat ze direct kunnen worden gebruikt in bestaande claim-transformatie- en autorisatiestromen.
Lokale claims
Het oplossen van de toegangsstructuur geeft vaste lokale claimtypen uit.
De volgende lokale claims zijn beschikbaar in claim-transformaties:
_local:access_node_local:access_claim_local:access_path_claim
Dit voorkomt dynamische claimtypen terwijl de hiërarchiecontext nog steeds in de claimwaarden wordt meegenomen.
Claims doorsturen naar applicaties
Elke toegangsstructuur bevat de instelling Forward access structure claims to applications, die standaard is ingeschakeld.
Als deze is ingeschakeld, worden opgeloste toegangsclaims doorgestuurd naar applicaties.
Als deze is uitgeschakeld, blijft de opgeloste toegang lokaal beschikbaar binnen claim-transformaties, maar de opgeloste toegangsclaims worden niet doorgestuurd naar applicaties.
Typische gebruiksscenario's
- Modelleer klantspecifieke toegang voor interne en externe gebruikers
- Wijs gebruikers toe aan afdelingen en rollen via lidmaatschappen
- Los goedkeurders- of lezersverantwoordelijkheden op vanuit een hiërarchie
- Stuur opgeloste toegangsclaims door naar applicaties wanneer nodig