Постанализ юзкейсов, или Как спроектировать непрерывную ABAC-авторизацию UI и API. Часть 2

Всем привет! На связи снова Никита Таскин и Анастасия Ильина . Продолжаем тему о контроле доступа применительно к системным интерфейсам, и на этот раз речь пойдёт об API. Напомним, что первая часть была про авторизацию UI, и ознакомиться с ней можно здесь . У нас всё так же разбор контекста ABAC -авторизации для управления задачами команд разработки в Сфера.Задачи . В этот раз мы глубже окунёмся в архитектуру и спроектируем решения для разных по сложности вариантов атрибутного контроля. Также посмотрим на другой вариант применения нашего экспериментального подхода «постанализ юзкейсов» .

https://habr.com/ru/companies/T1Holding/articles/1044870/

#авторизация #архитектура #api #информационная_безопасность #use_case #системный_анализ #тасктрекер #rbac #abac #проектирование_систем

Выступил на митапе по аутентификации/авторизации, который организовал коллега и "свободный художник" в сфере IAM (см https://t.me/unauthz):

https://youtu.be/wMMbIx0d1us

#iam #authz #rbac #abac

Постанализ юзкейсов, или Как спроектировать непрерывную ABAC-авторизацию UI и API. Часть 1

Замечаете, что безопасность становится важнейшим атрибутом качества современных систем. А знакомы ли вы с концепцией Zero Trust? Не упустили ли вы момент перехода к непрерывной проверке безопасности? А значит уже сегодня нужно уметь оценивать влияние требований авторизации на UI и API, дизайн которых стало одним из самых востребованных скиллов проектировщиков систем. Давайте на примере таск-трекера посмотрим как разные уровни ABAC влияют на логику фронтэнда и бэкэнда. Разберём как системному аналитику с помощью экспериментальной методики — постанализа юзкейсов — быстро оценить ситуацию и понять, когда принять решение простое, а когда сложное.

https://habr.com/ru/companies/T1Holding/articles/1042096/

#проектирование_систем #авторизация #пользовательский_интерфейс #тасктрекер #abac #rbac #use_cases #системный_анализ #информационная_безопасность #архитектура

Почему RBAC недостаточно: опыт построения тарифно-зависимой системы доступа в SaaS или о чём молчат в статьях компаний

Тема разграничения доступности действий в рамках конкретного тенанта выходит далеко за рамки ERP домена и требует особо пристальной реализации. Это особенно применимо для коммерческих систем (коей и является Kroncl - название системы), в которых классический RBAC требует определённых доработок, включающих адаптацию к упрощённой features-based access control (в народе - FBAC, является своего рода реализацией ABAC). Кроме того, технологические компании крайне редко (уникальные случаи всё же есть) посвящают публичные статьи внутреннему устройству своих систем тарификации, что крайне печально, ведь это буквально могли быть рассказы о том, как архитектурные решения напрямую влияют на маркетинг и как следствие доходность компании. Как же строить системы определения доступа не вокруг конкретных действий, а экономической модели платформы? Как легко переусложнить то, что переусложнять априори не стоит? Где заканчивается гибкость и начинается ад поддержки?

https://habr.com/ru/articles/1028298/

#go #архитектура #rbac #abac #тарификация #php #доступы #saas #erp #crm

RBACX — что изменилось за полгода: от простого RBAC/ABAC до ReBAC с ИИ-генерацией политик

Полгода назад написал первую статью про RBACX — RBAC/ABAC-движок авторизации для Python. С тех пор вышло 25+ релизов, и библиотека стала заметно мощнее: добавил ReBAC с поддержкой OpenFGA и SpiceDB, пакетную проверку прав, ИИ-генерацию политик из OpenAPI-схемы, Redis-кэш, async Django, шортхэнд для ролей и закрыл три security-бага. Рассказываю что, зачем и как это вообще делается в одного.

https://habr.com/ru/articles/1019690/

#python #rbacx #rbac #abac #pdp #security #REBAC #authorization

All Boxes Are Comfy

#ABAC #caturday #caturdayeveryday

Authorization без middleware: как я завернул Casbin в декораторы для FastAPI

Когда в FastAPI-проекте появляется нормальная авторизация, код быстро начинает расползаться в стороны. Сначала все выглядит терпимо: один Depends(get_current_user) , один Depends(get_enforcer) , одна ручная проверка. Потом роутов становится больше, правил доступа становится больше, и внезапно половина endpoint’ов начинает содержать не бизнес-логику, а обвязку вокруг нее. В какой-то момент меня перестал устраивать и классический подход через dependency injection в каждом роуте, и вариант с middleware. Хотелось, чтобы правило доступа было видно прямо рядом с маршрутом, но при этом не приходилось таскать авторизацию в сигнатуры всех функций. В итоге я собрал casbin-fastapi-decorator — тонкий слой над Casbin для FastAPI, который позволяет описывать authorization через декораторы. Идея простая:

https://habr.com/ru/articles/1018670/

#FastAPI #Python #Casbin #авторизация #rbac #abac #декораторы #api #open_source

Продвинутый RBAC: роли, статусы, теги без боли и страданий

Сегодня детально расскажу про сердце JMatrixPlatform - статусно-ролевой доступ к данным. Э то основа платформы, доступная сразу "из коробки", которая реализует продвинутый RBAC с привязкой прав к статусам объектов. Вы не найдёте в общем доступе внятного и современного описания такой методологии, тем более с примерами реализации "из коробки", а это означает, что сегодня очередной эпизод погружения в Области тьмы ИТ , куда не заглядывают модные фреймворки.

https://habr.com/ru/articles/1017810/

#jmatrixplatform #управление_доступом_к_данным #управление_доступом #rbac #статусноролевая_модель #abac #жизненный_цикл_объекта #keycloak #plm #импортозамещение

STAC — знакомство: Браузеры, API и управление доступом к пространственным данным (часть 3)

В первых двух статьях мы разобрали основы спецификации STAC (SpatioTemporal Asset Catalog), её объектную модель и философию, превращающую разрозненные архивы геоданных в единую, машиночитаемую «библиотеку». Мы увидели, как STAC описывает каталоги (catalog), коллекции (collection), элементы (item) и их ресурсы (assets), создавая универсальный язык для работы с геопространственной информацией. В комментариях были затронуты две темы, которые просили рассмотреть в новых статьях — семантическая паутина и универсальные браузеры, которые требуют постепенного перехода от теории к практике. Действительно, какая польза от идеально структурированного каталога, если с ним неудобно или невозможно работать? Поэтому, прежде чем углубиться в онтологии, мы рассмотрим инструменты взаимодействия с STAC. Эта статья посвящена клиентской стороне экосистемы — STAC-браузерам, а также ключевому аспекту их работы в корпоративной среде — безопасному доступу к данным через STAC-API. Мы разберём, как устроен универсальный браузер, и представим нашу реализацию стека STAC-сервера с распределённой системой управления доступом IAM (Identity and Access Management), где каждый запрос, от просмотра метаданных до скачивания тайла, проходит через цепочку авторизации.

https://habr.com/ru/articles/1009110/

#STAC #GeoJSON #item #catalog #collection #GeoTIFF #assets #IAM #ABAC #RBAC