StellarBase
Dokumentace Bezpečnost a compliance Autentizace a RBAC
Bezpečnost a compliance

Autentizace a RBAC

Identita a role-based access control — základ zero-trust. Integruje se s vaším stávajícím identity providerem, scope-uje oprávnění až na jednotlivé dokumenty a nástroje.

Identity provideři

StellarBase integruje s jakýmkoli mainstreamovým identity providerem přes standardní protokoly:

ProtokolTypičtí IdP
SAML 2.0Okta, Azure AD, ADFS, Google Workspace, Auth0, Keycloak, Ping
OIDCTotéž — většina IdP podporuje obojí
SCIM 2.0Automatizované provisioning uživatelů / skupin z Okta, Azure AD atd.
LDAP / Active DirectoryPřímé bindování pro on-prem nasazení

Pro organizace bez IdP (malé týmy, piloty) je k dispozici lokální password-based auth + MFA, ale pro produkci se nedoporučuje.

MFA

Multi-factor autentizace se vynucuje přes váš IdP. StellarBase respektuje MFA assertion ze SAML/OIDC tokenů. Pro citlivé akce (admin operace, bulk exporty) lze vyžadovat step-up reautentizaci i uvnitř aktivní session.

Hierarchie rolí

Tři úrovně:

  1. Organizace — top-level fakturace + SSO konfigurace + globální admin
  2. Base — obsah, agenti, workflows pro jeden projekt / kauzu / oddělení
  3. Zdroj — jednotlivé dokumenty, kolekce, agenti, nástroje

Efektivní oprávnění uživatele je průnik role v organizaci, role ve Base a ACL na zdroji.

Standardní role

Úroveň organizace

RoleCo může
OwnerVše — fakturace, SSO, uživatelský životní cyklus, všechny Bases
AdminVše kromě fakturace a převodu vlastnictví
UserVytvořit vlastní Bases, připojit se k pozvaným

Úroveň Base

RoleCo může
Base adminSpravovat zdroje, agenty, workflows, členy; vidět audit log
EditorRead + write obsahu, konfigurace agentů, spouštění workflows
ReviewerRead + komentáře + schvalování HITL bran; nemůže upravovat
ViewerRead-only přístup ke specifikovaným kolekcím
ExternalČasově omezený, úzce scope-ovaný přístup

Vlastní role

Definujte si vlastní roli s konkrétní permission maticí. Příklady:

  • Senior Reviewer — Reviewer + schopnost přebít HITL zamítnutí
  • Analyst — Editor minus konfigurace agentů (analytici agenty používají, ne ladí)
  • Compliance Officer — cross-Base read audit logu + write konfigurace politik

Vlastní role se definují jako JSON politiky; editor politik má autocomplete pro každou dostupnou permission.

ACL na úrovni zdroje

Jakoukoli Base-level roli lze přebít per zdroj. Běžné vzorce:

  • Dokumenty otagované „privileged” jsou viditelné jen pro pojmenovaný seznam uživatelů, bez ohledu na Base roli
  • Konkrétního agenta mohou volat jen uživatelé v pojmenované skupině
  • Konkrétní workflow mohou spouštět jen admini

Dědičnost oprávnění

Kolekce dědí z Bases. Dokumenty dědí z kolekcí. Tagy a per-document ACL mohou dědičnost přebít — vždy zužováním, nikdy rozšiřováním.

Oprávnění ze zdrojového systému

Konektory mohou přenášet oprávnění zdrojového systému:

  • Google Drive, SharePoint, Box: nativní ACL zachované. Dokument, který uživatel nemůže číst v Drive, je dokument, který nemůže číst ve StellarBase.
  • Databáze: row-level security přes nakonfigurované sloupcové filtry
  • Vlastní: mapování oprávnění poskytnete vy

Oprávnění agentů

Agenti jsou principálové taky. Oprávnění agenta jsou průnik:

  • Uživatele, který ho volá (pro interaktivní volání)
  • Nakonfigurovaného knowledge scope agenta
  • Tool allowlistu agenta

Tohle znamená, že agent nikdy neuvidí víc než uživatel, který ho volá — i kdyby byl agent technicky nakonfigurovaný se širším přístupem.

Service účty

Pro API integrace vytvořte service účty se scope-ovanými API klíči. Každý service účet má:

  • Sadu oprávnění (stejný model jako uživatelé)
  • Rate limit
  • Volitelnou expiraci
  • IP allowlist

Externí uživatelé

Pozvěte uživatele mimo vaši organizaci s těsně scope-ovaným přístupem:

  • Scope: jeden Base, jedna kolekce nebo jeden dokument
  • Doba: default 7 dnů, konfigurovatelná
  • Autentizace: SAML/OIDC z jejich IdP, nebo e-mail + ověřovací kód
  • Audit: všechny jejich akce logované s flagem external=true

Správa session

  • Defaultní životnost session: 12 hodin
  • Refresh tokeny se prodlužují automaticky pro aktivní uživatele
  • Admin může okamžitě revokovat všechny aktivní session
  • Step-up reauth vyžadovaný pro high-risk akce

Audit

Každá auth událost logovaná: login, logout, MFA challenge, změna oprávnění, přiřazení role, neúspěšná autorizace. Viz Audit log.

Související