テナントオンボーディング

OPA ドキュメントの構造では、面倒な要件を導入することなく、テナントのオンボーディングを簡単に行えるようにする必要があります。パッケージを使用して OPA ドキュメントモデル階層に仮想ドキュメントを整理でき、これらのパッケージには多くのルールを含めることができます。マルチテナントアプリケーションの OPA ドキュメントモデルを計画するときは、まず OPA が決定を行うために必要なデータを決定します。データを入力として提供したり、OPA に事前ロードしたり、決定時または定期的に外部データソースから提供したりできます。OPA で外部データを使用する方法の詳細については、このガイドの後半にある「OpA での PDP の外部データの取得」セクションを参照してください。

OPA で決定するために必要なデータを決定したら、パッケージとして整理された OPA ルールを実装して、そのデータで決定を行う方法を検討してください。例えば、各テナントに認可の決定方法に関する固有の要件があるサイロ化された SaaS モデルでは、テナント固有のルールの OPA パッケージを実装できます。

このアプローチの欠点は、SaaS アプリケーションに追加するテナントごとに、テナントごとに固有の新しい OPA ルールセットを追加する必要があることです。これは煩雑でスケーリングが難しいですが、テナントの要件によっては避けられない場合があります。

または、プールされた SaaS モデルでは、すべてのテナントが同じルールに基づいて承認を決定し、同じデータ構造を使用する場合は、一般的に適用可能なルールを持つ標準 OPA パッケージを使用して、テナントのオンボーディングと OPA 実装のスケーリングを容易にすることができます。

可能であれば、一般化された OPA ルールとパッケージ (または仮想ドキュメント) を使用して、各テナントが提供する標準化されたデータに基づいて決定を行うことをお勧めします。このアプローチでは、OPA がルールを通じてどのように決定を行うかではなく、テナントごとに OPA に提供されるデータのみを変更するため、OPA を簡単に拡張できます。テナントrules-per-tenantモデルを導入する必要があるのは、個々のテナントが独自の決定を必要とする場合や、他のテナントとは異なるデータを OPA に提供する必要がある場合のみです。