Autentizace a RBAC
Identita a role-based access control — základ zero-trust. Integruje se s vaším stávajícím identity providerem, scope-uje oprávnění až na jednotlivé dokumenty a nástroje.
Identity provideři
StellarBase integruje s jakýmkoli mainstreamovým identity providerem přes standardní protokoly:
| Protokol | Typičtí IdP |
|---|---|
| SAML 2.0 | Okta, Azure AD, ADFS, Google Workspace, Auth0, Keycloak, Ping |
| OIDC | Totéž — většina IdP podporuje obojí |
| SCIM 2.0 | Automatizované provisioning uživatelů / skupin z Okta, Azure AD atd. |
| LDAP / Active Directory | Přímé bindování pro on-prem nasazení |
Pro organizace bez IdP (malé týmy, piloty) je k dispozici lokální password-based auth + MFA, ale pro produkci se nedoporučuje.
MFA
Multi-factor autentizace se vynucuje přes váš IdP. StellarBase respektuje MFA assertion ze SAML/OIDC tokenů. Pro citlivé akce (admin operace, bulk exporty) lze vyžadovat step-up reautentizaci i uvnitř aktivní session.
Hierarchie rolí
Tři úrovně:
- Organizace — top-level fakturace + SSO konfigurace + globální admin
- Base — obsah, agenti, workflows pro jeden projekt / kauzu / oddělení
- Zdroj — jednotlivé dokumenty, kolekce, agenti, nástroje
Efektivní oprávnění uživatele je průnik role v organizaci, role ve Base a ACL na zdroji.
Standardní role
Úroveň organizace
| Role | Co může |
|---|---|
| Owner | Vše — fakturace, SSO, uživatelský životní cyklus, všechny Bases |
| Admin | Vše kromě fakturace a převodu vlastnictví |
| User | Vytvořit vlastní Bases, připojit se k pozvaným |
Úroveň Base
| Role | Co může |
|---|---|
| Base admin | Spravovat zdroje, agenty, workflows, členy; vidět audit log |
| Editor | Read + write obsahu, konfigurace agentů, spouštění workflows |
| Reviewer | Read + komentáře + schvalování HITL bran; nemůže upravovat |
| Viewer | Read-only přístup ke specifikovaným kolekcím |
| External | Časově omezený, úzce scope-ovaný přístup |
Vlastní role
Definujte si vlastní roli s konkrétní permission maticí. Příklady:
- Senior Reviewer — Reviewer + schopnost přebít HITL zamítnutí
- Analyst — Editor minus konfigurace agentů (analytici agenty používají, ne ladí)
- Compliance Officer — cross-Base read audit logu + write konfigurace politik
Vlastní role se definují jako JSON politiky; editor politik má autocomplete pro každou dostupnou permission.
ACL na úrovni zdroje
Jakoukoli Base-level roli lze přebít per zdroj. Běžné vzorce:
- Dokumenty otagované „privileged” jsou viditelné jen pro pojmenovaný seznam uživatelů, bez ohledu na Base roli
- Konkrétního agenta mohou volat jen uživatelé v pojmenované skupině
- Konkrétní workflow mohou spouštět jen admini
Dědičnost oprávnění
Kolekce dědí z Bases. Dokumenty dědí z kolekcí. Tagy a per-document ACL mohou dědičnost přebít — vždy zužováním, nikdy rozšiřováním.
Oprávnění ze zdrojového systému
Konektory mohou přenášet oprávnění zdrojového systému:
- Google Drive, SharePoint, Box: nativní ACL zachované. Dokument, který uživatel nemůže číst v Drive, je dokument, který nemůže číst ve StellarBase.
- Databáze: row-level security přes nakonfigurované sloupcové filtry
- Vlastní: mapování oprávnění poskytnete vy
Oprávnění agentů
Agenti jsou principálové taky. Oprávnění agenta jsou průnik:
- Uživatele, který ho volá (pro interaktivní volání)
- Nakonfigurovaného knowledge scope agenta
- Tool allowlistu agenta
Tohle znamená, že agent nikdy neuvidí víc než uživatel, který ho volá — i kdyby byl agent technicky nakonfigurovaný se širším přístupem.
Service účty
Pro API integrace vytvořte service účty se scope-ovanými API klíči. Každý service účet má:
- Sadu oprávnění (stejný model jako uživatelé)
- Rate limit
- Volitelnou expiraci
- IP allowlist
Externí uživatelé
Pozvěte uživatele mimo vaši organizaci s těsně scope-ovaným přístupem:
- Scope: jeden Base, jedna kolekce nebo jeden dokument
- Doba: default 7 dnů, konfigurovatelná
- Autentizace: SAML/OIDC z jejich IdP, nebo e-mail + ověřovací kód
- Audit: všechny jejich akce logované s flagem
external=true
Správa session
- Defaultní životnost session: 12 hodin
- Refresh tokeny se prodlužují automaticky pro aktivní uživatele
- Admin může okamžitě revokovat všechny aktivní session
- Step-up reauth vyžadovaný pro high-risk akce
Audit
Každá auth událost logovaná: login, logout, MFA challenge, změna oprávnění, přiřazení role, neúspěšná autorizace. Viz Audit log.
