Tenant ločuje organizacije in podatke. Project določa članstvo, shemo in obseg izvajanja znotraj Tenant. Aktivni Project je podpisana in strežniško preverjena odločitev seje, ne zgolj prikazni filter.
Varnost in upravljanje
Varnostne odločitve ostanejo v lasti strežnika in vezane na obseg.
Vidnost v brskalniku ni meja pooblastil. Zaščitene poti, aplikacijske storitve in pogoji repozitorija znova preverijo identiteto, Tenant, Project in kontekst dovoljenj, kadar to zahteva operacija.
Vsaka overjena zahteva se mora ujemati z dejavnim registrskim JTI, vezanim na akterja, stanjem Tenant in uporabnika, življenjsko dobo trenutnega pravilnika, časovno omejitvijo nedejavnosti ter kontekstom aktivnega Project. Napaka registra, manjkajoče gradivo za podpisovanje, preklic ali neujemanje identitete se varno zavrnejo, namesto da bi sistem uporabil anonimni ali zastareli kontekst brskalnika.
Implementirani so metapodatki SAML za Tenant, prijava in ACS, povezovanje zunanje identitete/JIT, pravilnik domene ter dokazilo MFA, ki ga potrdi IdP. Ustvarjanje končnih točk uporablja javni izvor v lasti strežnika, korelacija AuthnRequest pa kratkotrajno podpisano stanje, vezano na ponudnika in zahtevo.
RLS za Analytics je v lasti strežnika in zaščiten. Odjemalski filter med izvajanjem ne more ponarediti izvornih metapodatkov RLS, identitete predpomnilnika pa vključujejo obseg dovoljenj in RLS, namesto da bi se zanašale samo na besedilo SQL.
Poverilnice, žetoni, glave pooblastil, zasebni ključi in podpisani URL-ji ne sodijo v javne metapodatke, pozive klepeta ali splošne revizijske podatke. Zakrito besedilo ni uporabna poverilnica. Če potek zahteva enkratno razkritje poverilnice, je to omejeno, glede na konfiguracijo šifrirano med prenosom in hrambo, kratkotrajno ter zabeleženo brez trajnega shranjevanja skrivnosti v splošna dokazila.
Tenant in Project sta dejaven varnostni kontekst.
Tenant ločuje organizacije in podatke. Project določa članstvo, shemo in obseg izvajanja znotraj Tenant. Aktivni Project je podpisana in strežniško preverjena odločitev seje, ne zgolj prikazni filter.
Register sej je po prijavi merodajen.
Vsaka overjena zahteva se mora ujemati z dejavnim registrskim JTI, vezanim na akterja, stanjem Tenant in uporabnika, življenjsko dobo trenutnega pravilnika, časovno omejitvijo nedejavnosti ter kontekstom aktivnega Project. Napaka registra, manjkajoče gradivo za podpisovanje, preklic ali neujemanje identitete se varno zavrnejo, namesto da bi sistem uporabil anonimni ali zastareli kontekst brskalnika.
Sprememba Project je strežniška akcija, zaščitena pred CSRF, ki znova izda kontekst, ne da bi podaljšala veljavnost izvornega žetona ali pravilnika.
Odjava je zahteva POST, zaščitena pred CSRF; sprememba ali ponastavitev gesla in izbris računa prekličejo dejavne seje.
Zahteve JSON prejmejo strukturirano napako overjanja in izbris piškotka; navigacija v brskalniku pred preusmeritvijo počisti kontekst.
SAML je na voljo z izrecnimi mejami.
Implementirani so metapodatki SAML za Tenant, prijava in ACS, povezovanje zunanje identitete/JIT, pravilnik domene ter dokazilo MFA, ki ga potrdi IdP. Ustvarjanje končnih točk uporablja javni izvor v lasti strežnika, korelacija AuthnRequest pa kratkotrajno podpisano stanje, vezano na ponudnika in zahtevo.
SAML ne ustvari članstva Project; uporabnik še vedno potrebuje odobren dostop do Tenant in Project.
TOTP in WebAuthn na ravni aplikacije, obnovitveni izzivi ter celovit uporabniški vmesnik za seznam sej in preklic vseh sej trenutno niso podprte zmožnosti.
Nepodprti pravilnik MFA z geslom se zavrne, namesto da bi se shranil kot navidezna kontrola.
RLS in filtri med izvajanjem niso zamenljivi.
RLS za Analytics je v lasti strežnika in zaščiten. Odjemalski filter med izvajanjem ne more ponarediti izvornih metapodatkov RLS, identitete predpomnilnika pa vključujejo obseg dovoljenj in RLS, namesto da bi se zanašale samo na besedilo SQL.
Skrivnosti ostanejo zunaj splošnih dokazil.
Poverilnice, žetoni, glave pooblastil, zasebni ključi in podpisani URL-ji ne sodijo v javne metapodatke, pozive klepeta ali splošne revizijske podatke. Zakrito besedilo ni uporabna poverilnica. Če potek zahteva enkratno razkritje poverilnice, je to omejeno, glede na konfiguracijo šifrirano med prenosom in hrambo, kratkotrajno ter zabeleženo brez trajnega shranjevanja skrivnosti v splošna dokazila.
Trenutna moč IAM je navedena natančno.
Pogodbe dovoljenj za posamezne module obstajajo, vendar splošno trajno shranjevanje negativnih dovoljenj in združevanje DENY-wins za celotno platformo še nista dokončana. Vedenja MFA in dodatnega preverjanja v aplikaciji se ne sme nakazovati zunaj trenutnih kontrol ponudnika identitete in seje.
Naslednji korak
Začnite s tokom, ki ne dopušča dvoumnosti.
Vključite pomembne sisteme, odgovorne osebe, pravila, obveznosti dobave in zahteve glede dokazil.
Pogovorimo se o kritičnem toku