Zum Hauptinhalt springen

Planen Sie Ihre Architektur

Um Best Practices im Design zu etablieren und Ihre Architektur zu planen, sollten Sie Ihre Bedürfnisse aus verschiedenen Perspektiven betrachten. Konzentrieren Sie sich auf das Endziel und den Arbeitsablauf, nicht nur auf die zugrunde liegenden Technologien und Funktionen. Hier sind einige Schlüsselfragen, die Sie leiten und inspirieren können, die ideale Architektur für Ihr Produkt zu entwickeln.

Was ist Ihr Geschäftsmodell und wer sind die wichtigsten Parteien und Stakeholder?

Im Allgemeinen gibt es zwei Hauptgeschäftsmodelle, B2C und B2B, die jeweils unterschiedliche Parteien in komplexen Identitätsmanagement-Szenarien einbeziehen. Das Verständnis dieser Schlüsselakteure hilft Ihnen, Systeme zu entwerfen, die eine benutzerzentrierte Erfahrung bieten und alle Aspekte des Identitätsmanagements abdecken.

B2C

In B2C-Anwendungen ist das Identitätsmanagement typischerweise unkompliziert und umfasst in der Regel nur zwei Parteien.

Entwickler (Sie)

Dies bezieht sich auf Logto Console-Administratoren und -Mitarbeiter — typischerweise Sie und Ihr Entwicklungsteam — die den Benutzeridentitätspool verwalten und sichern und direkt mit der Identitätsdatenbank arbeiten. Sie können Kundenidentitäten direkt in der Logto Console verwalten oder eine kundenspezifische Entwicklung mit der Logto Management API durchführen.

Ihre Verbraucher

Ihre Verbraucher sind Benutzeridentitäten, die im Kernservice und in der Datenbank von Logto gespeichert sind. In einem B2C-Modell können Verbraucher ihre eigene Authentifizierung und persönlichen Informationen verwalten.

B2B

In B2B-Anwendungen wird eine weitere Ebene und ein weiterer Kontext in diese Architektur eingeführt. Der Geschäftsbereichsinhaber (oder die Organisation) kontrolliert, wer auf ihre Instanz zugreifen kann, wie sie sich authentifizieren und was sie tun können. Die Organisation verwaltet die Identität aller Endbenutzer, die auf ihre Instanz zugreifen.

Entwickler (Sie)

Dies bezieht sich weiterhin auf Logto Console-Administratoren und -Mitarbeiter. Obwohl Organisationsadministratoren Identitäten verwalten können, können Entwickler weiterhin Kundenidentitäten direkt in der Logto Console oder durch kundenspezifische Entwicklung mit der Logto Management API verwalten.

Ihre Kunden (Organisationsadministratoren)

Ihre Kunden sind Geschäftseinheiten, die „Organisationen“ in einer Multi-Tenant-App repräsentieren, zum Beispiel Workspaces in Slack oder Notion. Jeder Workspace hat typischerweise mehrere Rollen und einen oder mehrere Administratoren, die Mitarbeiter oder Benutzer verwalten. Im folgenden Inhalt beziehen wir uns auf Personen, die Mitgliedsidentitäten verwalten KÖNNEN, als "Organisationsadministratoren".

Die Mitarbeiter, Partner oder Verbraucher Ihrer Kunden

Dies sind Endbenutzeridentitäten, die im Organisationskontext als „Mitglieder“ bezeichnet werden und innerhalb einer Organisation verwaltet werden können. Während diese Identitäten durch Organisationen getrennt sind, werden sie alle unter einem einzigen Identitätssystem zusammengefasst.

In realen Szenarien könnten dies aus Produktsicht Unternehmensmitarbeiter, Geschäftspartner oder sogar Verbraucher sein, die mit der Organisation verbunden sind.

Andere

Andere Modelle, wie B2B2C, können aufgrund ihrer Komplexität aus diesen beiden entstehen. Der Ansatz bleibt jedoch derselbe: Alle Änderungen stammen aus derselben Kernbasis.

Im nächsten Kapitel werden wir einen detaillierten Blick auf diese beiden gängigen Architekturen werfen und die von Logto unterstützten Funktionen hervorheben.

Destillieren Sie Ihre Authentifizierungsbedürfnisse

Sobald Sie die wichtigsten Benutzer und Parteien in Ihrem Technologie- und Produktdesign verstanden haben, sollten Sie die folgenden Fragen in Betracht ziehen, um Ihre Identitätsarchitektur zu verfeinern und Ihre Authentifizierungsbedürfnisse und Kontrollstufe zu bestimmen:

  1. Welche Optionen haben Kunden für die Authentifizierung und die Anmeldeerfahrung? Diese hängen in der Regel von Ihrem Geschäft, Ihrer Akquisitionsstrategie und Ihren Produktanforderungen ab.

    z.B. Welche Funktionen benötigt meine App? Soziale Anmeldung? Passwortloses Login?

  2. Welches Maß an Kontrolle möchten Sie (Entwickler) über Kundenaktionen haben?

    z.B. Können Kunden ihr Profil aktualisieren und pflegen? Können Kunden MFA selbst ein- und ausschalten? Können sie bevorzugte Anmeldemethoden wählen?

  3. Welche Arten von Anpassungen möchten Sie an Organisationen delegieren? Diese hängen von der Domäne und Branche Ihres Produkts sowie den spezifischen Bedürfnissen Ihrer Kunden ab und können von einer Organisation zur anderen variieren.

    z.B. Sollte die Anmeldeerfahrung für jede Organisation variieren? Und wenn ja, sollte die Anpassung auf das Branding beschränkt sein oder auch Unterschiede im Authentifizierungsablauf umfassen?

  4. Welches Maß an Kontrolle möchten Sie, dass Ihre Organisationsadministratoren über die Aktionen ihrer Mitglieder haben?

    z.B. Sollte der Organisationsadministrator entscheiden können, ob MFA erforderlich ist? Sollte der Administrator die Möglichkeit haben, das Passwort eines Mitglieds zu ändern?

Benötigen Sie ein einziges universelles Identitätssystem oder mehrere separate?

Eine weitere wichtige Frage, die Sie im Hinterkopf behalten sollten, ist, ob Sie oder ein Segment Ihres Geschäfts oder Produkts ein Identitätssystem oder separate benötigen.

Typischerweise lautet die Antwort ein einziges universelles Identitätssystem, was bedeutet, dass Sie nur einen Logto-Tenant (oder eine Logto-Admin-Console-Instanz in OSS) benötigen. Logto ist so gebaut, dass es sowohl mehrere Apps als auch mehrere Organisationen innerhalb eines einzigen Tenants unterstützt. Ein Produktions-Logto-Tenant ist in der Regel ausreichend für die meisten Bedürfnisse. Hier sind einige häufige Szenarien, denen Sie begegnen könnten:

Ich möchte eine SaaS-Anwendung mit Multi-Tenancy erstellen

Wenn Sie eine SaaS-Anwendung mit dem Konzept von "Workspace" oder "Organisation" für jeden Kunden erstellen, können Sie Organisationen verwenden, um den Workspace jedes Kunden innerhalb eines einzigen Tenants zu verwalten.

In diesem Fall kann ein Benutzer Mitglied mehrerer Organisationen sein. Zum Beispiel kann ein Benutzer einen persönlichen Workspace haben und dem Unternehmens-Workspace beitreten.

Ich habe mehrere Anwendungen

Mit Logto können Sie mehrere Anwendungen innerhalb eines einzigen Tenants verwalten, unabhängig von

  1. Der Art der Anwendung (zum Beispiel Web, Mobil, Desktop, etc.)
  2. Den Anwendungsfällen und Funktionen der Anwendung (zum Beispiel Fahrer-App, Hailer-App, etc.)

Ich habe mehrere Unternehmenskunden

Sie können Organisationen mit Enterprise SSO verwenden, um mehrere Unternehmenskunden innerhalb eines einzigen Tenants zu verwalten. Durch die Konfiguration der Enterprise SSO-E-Mail-Domäneneinstellungen und die Verwendung der Just-in-Time-Bereitstellungsfunktion können Sie den Prozess automatisieren, bei dem Benutzer mit Enterprise SSO-Konten den entsprechenden Organisationen beitreten oder sich anmelden.