SCIM 2.0 - Как предоставить права и как связать их с группами
Я прочитал RFC7644 и RFC7643, и у меня есть несколько вопросов.
Первый: как я могу предоставить права? Я вижу, что есть методология по умолчанию для обеспечения групп и пользователей. Это включает в себя довольно простой механизм для обеспечения членства пользователей в группах, их прав и ролей.
Я также вижу, что есть механизм для создания группы с членами во время подготовки.
Чего я не вижу, так это встроенного механизма для создания группы и привязки к ней прав (или создания прав, которые затем связываются с группами).
Нужно ли создавать собственное расширение схемы для групп? Нужно ли создавать собственную схему для прав?
Мой второй вопрос: как именно я могу создавать собственные расширения и схемы? RFC довольно расплывчаты в отношении того, как вы можете это сделать, при этом соблюдая их стандарт.
1 ответ
После перечитывания стандарта SCIM у меня есть ответ, по крайней мере, на первую часть моего вопроса.
"Групповые" ресурсы предназначены для обеспечения возможности выражения общих моделей управления доступом на основе групп или ролей, хотя явная модель авторизации не определена. Предполагается, что семантика членства в группе и любое поведение или авторизация, предоставленные в результате членства, определяются поставщиком услуг; они считаются выходящими за рамки данной спецификации.
Это означает, что права, предоставляемые через членство в группе, находятся вне области действия SCIM. Если вы хотите предоставить права (или не относящиеся к группе роли), вам нужно реализовать их самостоятельно или создать собственное расширение схемы / пользовательскую схему.
К сожалению, RFC пока не дал того, как бы вы на самом деле сделали это в последний раз.