多租户用户模型

Question

在托管多个组织和应用程序的多租户系统中，一个组织可能使用系统上托管的多个应用程序，我的用户和角色模型是否应该使单个用户或角色可以跨多个应用程序和组织存在？或者我应该将用户实体限制为单个组织/应用程序对，然后定义一些总体模型将这些用户实体绑定在一起？

即：

• John Doe 是一个人

• 他想要使用 ApplicationA 和 ApplicationB

• 他为两家不同的公司工作（请耐心等待），OrganizationA 和 OrganizationB

如果用户模型为：

1. johndoe@someuniquesuffix 是他的唯一用户名。这使他能够访问两个组织的两个应用程序。

2. johndoe@applicationa@organizationa 是他在 OrganizationA 的 ApplicationA 的用户名。 johndoe@applicationb@organizationa 是他在 OrganizationA 中的 ApplicationB 的用户名...对于 OrganizationB 来说也是如此。然后有一些“主”列表，表明应用程序/组织的所有 4 个用户帐户都对应于同一个实际“人”，John Doe？

上面描述的相同场景也适用于我将如何设计我的角色架构。

感谢您的帮助！

Answer 1

IMO，您应该将每组凭据限制为一个组织。此外，您应该为每个应用程序启用限制该组织内的用户可以对每个应用程序执行哪些操作的功能。即，每个应用程序应该管理自己的授权角色。您需要一些方法来处理乔离开组织 A 但继续为组织 B 工作的情况。

Answer 2

就我个人而言，我认为跟踪 John Doe 是同时在组织 A 和组织 B 工作的一个人会使事情变得非常复杂，并且在大多数情况下不会增加太多价值。除非您有明确的业务理由在模型中理解 A 的 John Doe 与 B 的 John Doe 相同，否则我会避开它。跨所有组织维护您的用户数据库，必须处理跨组织的唯一名称（“你是什么意思已经有一个 John Doe？那不是我！”）并拥有 UI 模型（例如在登录时询问用户“您今天要处理 A 的数据还是 B 的数据？”只会增加明显的复杂性。

我的建议的一个缺点是，如果您使用 OpenID 或 OAuth 等第三方身份验证器，那么拥有多个租户的人必须使用不同的 ID 登录。例如。我用我的 google openId 登录，最终得到 A 的数据，但要处理 B 的数据，我需要使用我的 Twitter 帐户，因为我的 Google id 已经与 A 绑定，并且仅与 A 绑定。