테넌트 온보딩

OPA 문서의 구조는 번거로운 요구 사항을 도입하지 않고 간단한 테넌트 온보딩을 허용해야 합니다. 패키지로 OPA 문서 모델 계층 구조에서 가상 문서를 구성할 수 있으며, 이러한 패키지에는 많은 규칙이 포함될 수 있습니다. 다중 테넌트 애플리케이션에 대한 OPA 문서 모델을 계획할 때는 먼저 OPA가 결정을 내리는 데 필요한 데이터를 결정합니다. 데이터를 입력으로 제공하거나, OPA에 사전 로드하거나, 결정 시 또는 주기적으로 외부 데이터 소스에서 제공할 수 있습니다. OPA에서 외부 데이터를 사용하는 방법에 대한 자세한 내용은이 안내서 뒷부분의 OPA에서 PDP에 대한 외부 데이터 검색 섹션을 참조하세요.

OPA에서 결정을 내리는 데 필요한 데이터를 결정한 후에는 패키지로 구성된 OPA 규칙을 구현하여 해당 데이터에 대한 결정을 내리는 방법을 고려합니다. 예를 들어, 각 테넌트가 권한 부여 결정을 내리는 방법에 대한 고유한 요구 사항을 가질 수 있는 사일로화된 SaaS 모델에서는 테넌트별 규칙 OPA 패키지를 구현할 수 있습니다.

이 접근 방식의 단점은 SaaS 애플리케이션에 추가하는 각 테넌트에 대해 각 테넌트에 고유한 새 OPA 규칙 세트를 추가해야 한다는 것입니다. 이는 번거롭고 규모 조정이 어렵지만 테넌트의 요구 사항에 따라 불가피할 수 있습니다.

또는 풀링된 SaaS 모델에서 모든 테넌트가 동일한 규칙을 기반으로 권한 부여 결정을 내리고 동일한 데이터 구조를 사용하는 경우 일반적으로 적용되는 규칙이 있는 표준 OPA 패키지를 사용하여 테넌트를 더 쉽게 온보딩하고 OPA 구현을 확장할 수 있습니다.

가능하면 일반화된 OPA 규칙 및 패키지(또는 가상 문서)를 사용하여 각 테넌트가 제공하는 표준화된 데이터를 기반으로 결정을 내리는 것이 좋습니다. 이 접근 방식을 사용하면 OPA가 규칙을 통해 결정을 제공하는 방식이 아니라 각 테넌트에 대해 OPA에 제공된 데이터만 변경하므로 OPA를 쉽게 확장할 수 있습니다. 개별 테넌트가 고유한 결정을 요구하거나 다른 테넌트와 다른 데이터를 OPA에 제공해야 하는 경우에만 테넌트rules-per-tenant 도입하면 됩니다.