Inserimento degli inquilini - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Inserimento degli inquilini

La struttura dei documenti OPA deve consentire un semplice onboarding degli inquilini senza introdurre requisiti ingombranti. È possibile organizzare i documenti virtuali nella gerarchia dei modelli di documenti OPA con pacchetti e questi pacchetti possono contenere molte regole. Quando pianificate un modello di documento OPA per un'applicazione multi-tenant, stabilite innanzitutto quali dati sono necessari all'OPA per prendere una decisione. È possibile fornire dati come input, precaricarli in OPA o fornirli da fonti di dati esterne al momento della decisione o periodicamente. Per ulteriori informazioni sull'utilizzo di dati esterni con OPA, vedere la sezione Recupero di dati esterni per un PDP in OPA più avanti in questa guida.

Dopo aver determinato i dati necessari per prendere una decisione in OPA, considerate come implementare le regole OPA organizzate come pacchetti, per prendere decisioni con quei dati. Ad esempio, in un modello SaaS in silos in cui ogni tenant potrebbe avere requisiti unici per il modo in cui vengono prese le decisioni di autorizzazione, è possibile implementare pacchetti di regole OPA specifici del tenant.

Modello di documento OPA per il caso d'uso rules-per-tenant

Lo svantaggio di questo approccio è che è necessario aggiungere un nuovo set di regole OPA, specifiche per ogni tenant, per ogni tenant aggiunto all'applicazione SaaS. Si tratta di un'operazione complessa e difficile da scalare, ma potrebbe essere inevitabile a seconda delle esigenze dei vostri inquilini.

In alternativa, in un modello SaaS condiviso, se tutti i tenant prendono decisioni di autorizzazione sulla base delle stesse regole e utilizzano la stessa struttura di dati, è possibile utilizzare pacchetti OPA standard con regole generalmente applicabili per semplificare l'onboarding dei tenant e scalare l'implementazione OPA.

Modello di documento OPA per regole generalizzate

Ove possibile, si consiglia di utilizzare regole e pacchetti OPA generalizzati (o documenti virtuali) per prendere decisioni basate su dati standardizzati forniti da ciascun tenant. Questo approccio rende l'OPA facilmente scalabile, poiché si modificano solo i dati forniti all'OPA per ogni tenant, non il modo in cui OPA fornisce le proprie decisioni tramite le proprie regole. È necessario introdurre un rules-per-tenant modello solo quando i singoli inquilini richiedono decisioni uniche o devono fornire all'OPA dati diversi rispetto agli altri inquilini.