Tenant 隔离组织与数据。Project 在租户内选择成员关系、架构与执行范围。当前 Project 是经签名且由服务器验证的会话决策,而非表面筛选器。
每个已认证请求都必须匹配与操作者绑定的有效注册表 JTI、租户与用户状态、当前策略有效期、空闲超时和当前 Project 上下文。注册表故障、签名材料缺失、撤销或身份不匹配都会以安全关闭方式失败,而不会退回匿名或过期浏览器上下文。
已实现租户 SAML 元数据、登录与 ACS、外部身份关联/JIT、域策略和由 IdP 断言的 MFA 证据。端点生成使用服务器拥有的公共来源,AuthnRequest 关联使用短期、签名且绑定提供方与请求的状态。
Analytics RLS 由服务器拥有并受保护。客户端运行时筛选器无法伪造 RLS 来源元数据;缓存身份包含权限与 RLS 范围,而不只依赖 SQL 文本。
凭据、令牌、授权标头、私钥和签名 URL 材料不应出现在公共元数据、聊天提示或通用审计载荷中。掩码文本不是可执行凭据。当工作流需要一次性披露凭据时,披露范围受限,按配置在传输与存储中加密,具有短有效期,并在不把已披露秘密持久化到通用证据的前提下记录。
Tenant 与 Project 构成有效安全上下文。
Tenant 隔离组织与数据。Project 在租户内选择成员关系、架构与执行范围。当前 Project 是经签名且由服务器验证的会话决策,而非表面筛选器。
登录后,会话注册表具有权威性。
每个已认证请求都必须匹配与操作者绑定的有效注册表 JTI、租户与用户状态、当前策略有效期、空闲超时和当前 Project 上下文。注册表故障、签名材料缺失、撤销或身份不匹配都会以安全关闭方式失败,而不会退回匿名或过期浏览器上下文。
更改 Project 是受 CSRF 保护的服务器操作,会重新签发上下文,但不会延长原始令牌或策略到期时间。
退出登录使用受 CSRF 保护的 POST;更改或重置密码以及删除账户都会撤销有效会话。
JSON 请求会收到结构化认证失败响应并删除 Cookie;浏览器导航会在重定向前清除上下文。
SAML 以明确边界提供。
已实现租户 SAML 元数据、登录与 ACS、外部身份关联/JIT、域策略和由 IdP 断言的 MFA 证据。端点生成使用服务器拥有的公共来源,AuthnRequest 关联使用短期、签名且绑定提供方与请求的状态。
SAML 不会创建 Project 成员关系;用户仍需获得租户和项目访问授权。
应用层 TOTP、WebAuthn、恢复质询以及完整会话清单/全部撤销界面不属于当前能力。
不受支持的密码 MFA 策略会被拒绝,而不会作为虚假控制保存。
RLS 与运行时筛选器不可互换。
Analytics RLS 由服务器拥有并受保护。客户端运行时筛选器无法伪造 RLS 来源元数据;缓存身份包含权限与 RLS 范围,而不只依赖 SQL 文本。
秘密信息不得进入通用证据。
凭据、令牌、授权标头、私钥和签名 URL 材料不应出现在公共元数据、聊天提示或通用审计载荷中。掩码文本不是可执行凭据。当工作流需要一次性披露凭据时,披露范围受限,按配置在传输与存储中加密,具有短有效期,并在不把已披露秘密持久化到通用证据的前提下记录。
准确陈述当前 IAM 能力。
已存在模块特定的权限契约,但通用持久化负权限和平台级 DENY-wins 合并尚未完成。不得暗示应用 MFA 和增强认证行为超出当前身份提供方与会话控制。
下一步
从不容含糊的流程开始。
带上真正重要的系统、责任人、规则、交付义务和证据要求。
讨论关键流程