Federace mezi organizacemi: spolupráce bez kompromisů

Poznámka: Tento článek popisuje architekturu a design Mandraki. Některé zmiňované funkce jsou zaváděny postupně a nemusí být zatím dostupné ve všech plánech.

Podniková spolupráce neprobíhá izolovaně. Organizace pracují s partnery, klienty, regulátory, dodavateli a oborovými sdruženími. Lidé, s nimiž potřebujete komunikovat, jsou často mimo vaši organizaci a často mimo vaši platformu pro spolupráci.

Tradiční řešení tohoto problému nejsou uspokojivá. Můžete pozvat externí uživatele jako hosty do své platformy, což rozmlžuje bezpečnostní hranice a vytváří administrativní zátěž. Můžete udržovat účty na více platformách, což fragmentuje vaši komunikaci. Nebo se můžete uchýlit k e-mailu, který neposkytuje žádnou z funkcí spolupráce v reálném čase, jaké si moderní práce žádá.

Federace mezi organizacemi v Mandraki nabízí lepší přístup: dvě organizace mohou spolupracovat ve sdílených kanálech a hovorech, přičemž si každá zachovává plnou suverenitu nad vlastními daty, bezpečnostními zásadami a administrativní kontrolou.

Jak federace funguje

Federace v Mandraki je bilaterální vztah mezi dvěma organizacemi založený na souhlasu. Žádná strana nemůže federaci na druhé vynucovat. Proces začíná, když jedna organizace zašle federační žádost druhé.

Žádost specifikuje, které schopnosti spolupráce si žádající organizace přeje povolit: zasílání zpráv, hovory, sdílení souborů a sdílené kanály. Cílová organizace žádost přezkoumá a může ji schválit s vlastní sadou oprávnění. Obě strany musí souhlasit a kterákoli strana může vztah kdykoli upravit nebo zrušit.

Jakmile je federační vztah zaveden, mohou uživatelé z obou organizací participovat ve sdílených kanálech a hovorech. Zážitek je plynulý — sdílený kanál se zobrazí vedle interních kanálů organizace a uživatelé z federované organizace jsou jasně označeni odznakem „Externí”.

Vlastnictví dat ve sdílených kanálech

Sdílený kanál v Mandraki má jednu vlastnící organizaci. Zásady vlastnící organizace řídí nastavení šifrování kanálu, zásady uchovávání a dostupnost funkcí AI. Ostatní organizace v kanálu participují, ale jeho konfiguraci nekontrolují.

Zásadní je, že každá zpráva ve sdíleném kanálu nese originOrgId, který identifikuje, ke které organizaci odesílatel patří. To zajišťuje sledovatelnost: každá organizace vidí, které zprávy pocházejí od jejích členů a které od externích účastníků.

Pro účely souladu si každá organizace ponechává přístup ke zprávám zaslaným vlastními členy. Pokud jedna organizace opustí federaci, ponechává si vlastní zprávy, ale ztrácí přístup ke zprávám druhé organizace. Vlastnictví dat sleduje hranici organizace, nikoli hranici kanálu.

Správa a politické kontroly

Federace v Mandraki je řízena granulárními politickými kontrolami na úrovni organizace.

Politika mezi organizacemi. Administrátoři nastavují postoj organizace k federaci: zakázáno (federace není povolena), pouze federované (federace pouze se schválenými organizacemi) nebo otevřeno (federační žádosti ve výchozím nastavení přijímány, podléhají individuálnímu schválení).

Seznam povolených. Organizace mohou udržovat explicitní seznam schválených federačních partnerů. Pouze organizace na seznamu mohou zakládat federační vztahy.

Požadavek schválení. Při povolení vyžadují všechny federační žádosti explicitní schválení administrátorem, i když je žádající organizace na seznamu povolených.

Oprávnění podle funkcí. Federační vztahy mají granulární přepínače funkcí. Organizace může povolit zasílání zpráv s partnerem, ale ne sdílení souborů, nebo povolit hovory, ale ne sdílené kanály. Tato oprávnění lze kdykoli upravit.

Tyto kontroly odrážejí realitu, že různé organizace mají různý apetit vůči riziku a různé regulatorní požadavky. Finanční instituce může federovat se svým auditorem pouze pro zasílání zpráv bez sdílení souborů. Vládní úřad může federovat s oborovým orgánem pro sdílené kanály, ale vyžadovat schválení každého nového účastníka.

Bezpečnostní hranice

Federace neslučuje bezpečnostní domény dvou organizací. Každá organizace si zachovává vlastní šifrovací klíče, vlastní správu uživatelů, vlastní kontroly přístupu a vlastní auditní protokoly. SFU a API server vynucují hranice organizací na každé vrstvě.

Když je zpráva odeslána ve sdíleném kanálu, je šifrována šifrovacím kontextem kanálu (který patří vlastnící organizaci). Uživatelé z federovaných organizací, kterým byl udělen přístup, mohou zprávu dešifrovat a přečíst. Federační vztah však neuděluje přístup k žádným jiným datům uvnitř vlastnící organizace — interní kanály, přímé zprávy ani organizační nastavení zůstávají zcela izolovány.

Pro hovory ve federovaných kontextech platí stejný princip. Účastníci z obou organizací se připojují k hovoru standardním WebRTC signalizačním tokem, ověřeni vůči svým příslušným organizacím. SFU směruje média mezi účastníky bez ohledu na to, ke které organizaci patří, ale API vynucuje, aby se mohli připojit pouze účastníci s platnými federačními oprávněními.

Identita instalace a federace mezi instalacemi

Federační model Mandraki přesahuje organizace v rámci jediné instalace a podporuje komunikaci mezi samostatnými nasazeními Mandraki — tomu říkáme federace mezi instalacemi.

Každá instalace Mandraki má jedinečnou identitu, včetně Ed25519 páru klíčů pro kryptografickou autentizaci. Instalace publikují well-known deskriptor na /.well-known/eurocom-server, který zahrnuje jejich veřejný klíč, schopnosti a verzi.

Když spolu komunikují dvě instalace, všechny payloady jsou podepsány soukromým klíčem odesílající instalace a ověřeny veřejným klíčem přijímající instalace. To zabraňuje vydávání se za jiného a zajišťuje, že federační zprávy jsou autentické.

Federace mezi instalacemi je obzvláště relevantní pro organizace s požadavky na rezidenci dat. Instalace Mandraki v Německu může federovat s instalací ve Francii, což umožňuje přeshraniční spolupráci, přičemž si každá instalace udržuje rezidenci dat v rámci své příslušné jurisdikce.

Zážitek externích uživatelů

Pečlivě jsme se zabývali tím, jak federovaní uživatelé vypadají v rozhraní. Externí uživatelé jsou vždy vizuálně odlišeni jasným odznakem „Externí”. Toto není volitelné ani konfigurovatelné — vynucuje to platforma, aby se předešlo zmatkům ohledně toho, kdo je v konverzaci.

Při psaní zprávy ve sdíleném kanálu připomíná oblast pro psaní uživateli, že externí účastníci vidí jeho zprávy. Při zahájení hovoru ve federovaném kontextu vidí účastníci jasnou indikaci toho, které organizace jsou zastoupeny.

Tato designová rozhodnutí odrážejí zásadu: federace by měla usnadňovat spolupráci mezi organizacemi, ale nikdy by ji neměla učinit neviditelnou. Uživatelé by měli vždy vědět, kdy komunikují přes hranice organizací.

Argument pro federaci místo hostujících účtů

Mnoho platforem pro spolupráci řeší komunikaci mezi organizacemi prostřednictvím hostujících účtů — externím uživatelům jsou udělovány omezené účty v rámci pracovního prostoru hostitelské organizace. Tento přístup má několik nevýhod, kterým se federace vyhýbá.

Hostující účty vytvářejí administrativní zátěž: někdo musí každého hosta vytvořit, spravovat a nakonec deaktivovat. Hostující účty rozmlžují bezpečnostní hranice: host existuje v bezpečnostní doméně hostitele, která nemusí být v souladu s bezpečnostními zásadami vlastní organizace hosta. Hostující účty fragmentují komunikaci: host musí udržovat samostatné identity a kontexty pro každou organizaci, s níž spolupracuje.

Federace ponechává každého uživatele v doméně jeho vlastní organizace. Autentizuje se svými vlastními přihlašovacími údaji, vidí kanály vlastní organizace vedle sdílených a je řízen zásadami vlastní organizace. Žádné hostující účty ke správě, žádné rozmlžené hranice, žádná fragmentovaná identita.

Pro evropské organizace, které potřebují spolupracovat přes hranice a zároveň si udržet suverenitu, je federace architekturou, která to umožňuje bez kompromisů.