Sikkerhed og governance

Sikkerhedsbeslutninger forbliver serverejede og scopebundne.

Synlighed i browseren er ikke en tilladelsesgrænse. Beskyttede routes, applikationstjenester og repositoryprædikater vurderer identitets-, Tenant-, Project- og autorisationskontekst igen, når operationen kræver det.

Synlighed i browseren er ikke en tilladelsesgrænse. Beskyttede routes, applikationstjenester og repositoryprædikater vurderer identitets-, Tenant-, Project- og autorisationskontekst igen, når operationen kræver det.
Sikkerhed og governance
Tenant og Project er aktiv sikkerhedskontekst.

Tenant adskiller organisationer og data. Project vælger medlemskabs-, planlægnings- og udførelsesscope inden for Tenant. Active Project er en signeret og servervalideret sessionsbeslutning – ikke et kosmetisk filter.

Sessionsregistret er autoritativt efter login.

Hver autentificeret anmodning skal matche en aktiv Actor-bundet JTI i registret, Tenant- og brugertilladelser, aktuel politikgyldighed, inaktivitetstimeout og aktiv Project-kontekst. Registerfejl, manglende signeringsmateriale, tilbagekaldelse eller identitetsafvigelse afvises sikkert frem for at falde tilbage til anonym eller forældet browserkontekst.

SAML har tydelige afgrænsninger.

SAML-metadata, login og ACS pr. Tenant, kobling/JIT af ekstern identitet, domænepolitik og IdP-attesteret MFA-dokumentation er implementeret. Endpointgenerering anvender den serverejede offentlige origin, og AuthnRequest-korrelation anvender kortlivet, signeret og leverandør-/anmodningsbundet state.

RLS og runtimefiltre kan ikke erstatte hinanden.

Analytics RLS er serverejet og beskyttet. Et runtimefilter fra klienten kan ikke forfalske metadata om RLS-oprindelse, og cacheidentiteter omfatter adgangs- og RLS-scope frem for kun at stole på SQL-tekst.

Secrets holdes ude af generel dokumentation.

Loginoplysninger, tokens, autorisationsheaders, private nøgler og materiale til signerede URL’er hører ikke hjemme i offentlige metadata, chatforespørgsler eller generelle auditpayloads. Maskeret tekst er ikke en brugbar legitimationsoplysning. Engangsvisning er afgrænset, konfigurationsbeskyttet, kortlivet og registreret uden at gemme secretet i generel dokumentation.

Tenant og Project er aktiv sikkerhedskontekst.

Tenant adskiller organisationer og data. Project vælger medlemskabs-, planlægnings- og udførelsesscope inden for Tenant. Active Project er en signeret og servervalideret sessionsbeslutning – ikke et kosmetisk filter.

Sessionsregistret er autoritativt efter login.

Hver autentificeret anmodning skal matche en aktiv Actor-bundet JTI i registret, Tenant- og brugertilladelser, aktuel politikgyldighed, inaktivitetstimeout og aktiv Project-kontekst. Registerfejl, manglende signeringsmateriale, tilbagekaldelse eller identitetsafvigelse afvises sikkert frem for at falde tilbage til anonym eller forældet browserkontekst.

Project-skift er en CSRF-beskyttet serverhandling, der udsteder ny kontekst uden at forlænge det oprindelige tokens eller politikkens gyldighed.

Logout sker med CSRF-beskyttet POST; ændring og nulstilling af adgangskode samt kontosletning tilbagekalder aktive sessioner.

JSON-anmodninger modtager strukturerede autentificeringsfejl og sletning af cookies; browsernavigation rydder konteksten før omdirigering.

SAML har tydelige afgrænsninger.

SAML-metadata, login og ACS pr. Tenant, kobling/JIT af ekstern identitet, domænepolitik og IdP-attesteret MFA-dokumentation er implementeret. Endpointgenerering anvender den serverejede offentlige origin, og AuthnRequest-korrelation anvender kortlivet, signeret og leverandør-/anmodningsbundet state.

SAML opretter ikke Project-medlemskab; brugeren kræver fortsat autoriseret Tenant- og Project-adgang.

TOTP, WebAuthn, recovery challenges og en fuld grænseflade til sessionsoverblik og tilbagekaldelse i applikationen er ikke aktuelle kapabiliteter.

En ikke-understøttet MFA-adgangskodepolitik afvises frem for at blive gemt som en falsk kontrol.

RLS og runtimefiltre kan ikke erstatte hinanden.

Analytics RLS er serverejet og beskyttet. Et runtimefilter fra klienten kan ikke forfalske metadata om RLS-oprindelse, og cacheidentiteter omfatter adgangs- og RLS-scope frem for kun at stole på SQL-tekst.

Secrets holdes ude af generel dokumentation.

Loginoplysninger, tokens, autorisationsheaders, private nøgler og materiale til signerede URL’er hører ikke hjemme i offentlige metadata, chatforespørgsler eller generelle auditpayloads. Maskeret tekst er ikke en brugbar legitimationsoplysning. Engangsvisning er afgrænset, konfigurationsbeskyttet, kortlivet og registreret uden at gemme secretet i generel dokumentation.

Den aktuelle IAM-styrke angives præcist.

Modulspecifikke tilladelseskontrakter findes, men en universel vedvarende negativ tilladelsesmodel og DENY-wins-sammenlægning på tværs af platformen er ikke fuldført. MFA- og step-up-adfærd i applikationen må ikke underforstås ud over de aktuelle identitetsleverandør- og sessionskontroller.

Næste trin

Begynd med det dataflow, hvor uklarhed ikke er en mulighed.

Kortlæg de relevante systemer, ejere, regler, leveringsforpligtelser og dokumentationskrav.

Drøft et kritisk dataflow