Безопасность и управление

Решения безопасности принадлежат серверу и ограничены областью.

Видимость в браузере не является границей авторизации. Защищенные маршруты, прикладные сервисы и предикаты репозиториев повторно проверяют идентичность, Tenant, Project и разрешения там, где этого требует операция.

Видимость в браузере не является границей авторизации. Защищенные маршруты, прикладные сервисы и предикаты репозиториев повторно проверяют идентичность, Tenant, Project и разрешения там, где этого требует операция.
Безопасность и управление
Tenant и Project образуют активный контекст безопасности.

Tenant разделяет организации и данные. Project выбирает членство, схему и область выполнения внутри Tenant. Активный Project — это подписанное и проверенное сервером решение сессии, а не визуальный фильтр.

После входа реестр сессий является авторитетным источником.

Каждый аутентифицированный запрос должен соответствовать активному связанной с субъектом записи реестра JTI, состоянию Tenant и пользователя, сроку текущей политики, тайм-ауту бездействия и контексту активного Project. Сбой реестра, отсутствие материала подписи, отзыв или несовпадение идентичности приводят к закрытому отказу, без возврата к анонимному или устаревшему контексту браузера.

SAML поставляется с явно обозначенными границами.

Реализованы метаданные, вход и ACS для Tenant SAML, связывание внешней идентичности/JIT, политика домена и подтвержденное IdP доказательство MFA. Конечные точки формируются из принадлежащего серверу public origin, а корреляция AuthnRequest использует краткоживущее подписанное состояние, привязанное к провайдеру и запросу.

RLS и фильтры времени выполнения не взаимозаменяемы.

RLS в Analytics принадлежит серверу и защищён. Клиентский фильтр времени выполнения не может подделать метаданные происхождения RLS, а идентичность кэша включает область разрешений и RLS, а не только текст SQL.

Секреты остаются вне универсальных доказательств.

Учетные данные, токены, заголовки авторизации, закрытые ключи и данные подписанных URL не должны попадать в публичные метаданные, подсказки чата или общие данные аудита. Маскированный текст не является исполняемыми учётными данными. Однократное раскрытие ограничено, кратковременно, шифруется при передаче и хранении согласно настройкам и фиксируется без сохранения секрета в общих доказательствах.

Tenant и Project образуют активный контекст безопасности.

Tenant разделяет организации и данные. Project выбирает членство, схему и область выполнения внутри Tenant. Активный Project — это подписанное и проверенное сервером решение сессии, а не визуальный фильтр.

После входа реестр сессий является авторитетным источником.

Каждый аутентифицированный запрос должен соответствовать активному связанной с субъектом записи реестра JTI, состоянию Tenant и пользователя, сроку текущей политики, тайм-ауту бездействия и контексту активного Project. Сбой реестра, отсутствие материала подписи, отзыв или несовпадение идентичности приводят к закрытому отказу, без возврата к анонимному или устаревшему контексту браузера.

Смена Project — защищенное CSRF действие сервера, которое перевыпускает контекст, не продлевая исходный токен или срок политики.

Выход выполняется защищенным CSRF POST-запросом; смена или сброс пароля и удаление учетной записи отзывают активные сессии.

JSON-запросы получают структурированную ошибку аутентификации и удаление cookie; браузерная навигация очищает контекст до перенаправления.

SAML поставляется с явно обозначенными границами.

Реализованы метаданные, вход и ACS для Tenant SAML, связывание внешней идентичности/JIT, политика домена и подтвержденное IdP доказательство MFA. Конечные точки формируются из принадлежащего серверу public origin, а корреляция AuthnRequest использует краткоживущее подписанное состояние, привязанное к провайдеру и запросу.

SAML не создает членство в Project; пользователю по-прежнему нужен разрешенный доступ к Tenant и Project.

TOTP уровня приложения, WebAuthn, проверочные процедуры восстановления и полный интерфейс инвентаризации и отзыва всех сессий пока не поддерживаются.

Неподдерживаемая политика парольной MFA отклоняется, а не сохраняется как ложный контроль.

RLS и фильтры времени выполнения не взаимозаменяемы.

RLS в Analytics принадлежит серверу и защищён. Клиентский фильтр времени выполнения не может подделать метаданные происхождения RLS, а идентичность кэша включает область разрешений и RLS, а не только текст SQL.

Секреты остаются вне универсальных доказательств.

Учетные данные, токены, заголовки авторизации, закрытые ключи и данные подписанных URL не должны попадать в публичные метаданные, подсказки чата или общие данные аудита. Маскированный текст не является исполняемыми учётными данными. Однократное раскрытие ограничено, кратковременно, шифруется при передаче и хранении согласно настройкам и фиксируется без сохранения секрета в общих доказательствах.

Текущая сила IAM формулируется точно.

Существуют контракты разрешений для отдельных модулей, но универсальные сохраняемые отрицательные разрешения и единое для платформы слияние с приоритетом DENY ещё не завершены. Нельзя подразумевать MFA и дополнительную проверку уровня приложения сверх текущих средств поставщика идентификации и сессий.

Следующий шаг

Начните с процесса, в котором недопустима неоднозначность.

Опишите важные системы, ответственных лиц, правила, обязательства по поставке и требования к доказательствам.

Обсудить критически важный процесс