Krydsorganisationel føderation: Samarbejd uden kompromis

Bemærk: Denne artikel beskriver Mandrakis arkitektur og design. Nogle af de omtalte funktioner udrulles gradvist og er muligvis ikke tilgængelige i alle abonnementer endnu.

Virksomhedssamarbejde sker ikke i isolation. Organisationer arbejder med partnere, kunder, tilsynsmyndigheder, leverandører og brancheorganisationer. De personer, I har brug for at kommunikere med, er ofte uden for jeres organisation og hyppigt uden for jeres samarbejdsplatform.

De traditionelle løsninger på dette problem er utilfredsstillende. I kan invitere eksterne brugere som gæster ind på jeres platform, hvilket udvisker sikkerhedsgrænser og skaber administrativ byrde. I kan opretholde konti på flere platforme, hvilket fragmenterer jeres kommunikation. Eller I kan falde tilbage til e-mail, der ikke tilbyder nogen af de realtidssamarbejdsfunktioner, som moderne arbejde kræver.

Mandrakis krydsorganisationelle føderation tilbyder en bedre tilgang: to organisationer kan samarbejde i delte kanaler og opkald, mens hver bevarer fuld suverænitet over sine egne data, sikkerhedspolitikker og administrative kontrol.

Hvordan føderation fungerer

Føderation i Mandraki er et bilateralt, samtykkebaseret forhold mellem to organisationer. Ingen af parterne kan pålægge føderation til den anden. Processen begynder, når én organisation sender en føderationsanmodning til en anden.

Anmodningen specificerer, hvilke samarbejdsfunktioner den anmodende organisation ønsker at aktivere: beskeder, opkald, fildeling og delte kanaler. Den modtagende organisation gennemgår anmodningen og kan godkende den med sit eget sæt tilladelser. Begge parter skal være enige, og hver part kan ændre eller tilbagekalde forholdet til enhver tid.

Når et føderationsforhold er etableret, kan brugere fra begge organisationer deltage i delte kanaler og opkald. Oplevelsen er problemfri — en delt kanal vises ved siden af organisationens interne kanaler, og brugere fra den fødererede organisation er tydeligt identificeret med et “Ekstern”-mærke.

Dataejerskab i delte kanaler

En delt kanal i Mandraki har én ejerorganisation. Ejerorganisationens politikker styrer kanalens krypteringsindstillinger, opbevaringspolitikker og tilgængelighed af AI-funktioner. Andre organisationer deltager i kanalen, men kontrollerer ikke dens konfiguration.

Afgørende bærer hver besked i en delt kanal et originOrgId, der identificerer, hvilken organisation afsenderen tilhører. Dette sikrer sporbarhed: hver organisation kan se, hvilke beskeder der stammer fra deres medlemmer, og hvilke der kom fra eksterne deltagere.

Af compliance-hensyn bevarer hver organisation adgang til de beskeder, der sendes af deres egne medlemmer. Hvis én organisation forlader en føderation, bevarer de deres egne beskeder, mens de mister adgang til beskeder fra den anden organisation. Dataejerskab følger organisationsgrænsen, ikke kanalgrænsen.

Governance og politikkontroller

Føderation i Mandraki styres af detaljerede politikkontroller på organisationsniveau.

Krydsorganisationel politik. Administratorer fastsætter organisationens føderationsstilling: deaktiveret (ingen føderation tilladt), kun fødereret (føderation kun med godkendte organisationer) eller åben (føderationsanmodninger accepteres som standard, med forbehold for individuel godkendelse).

Tilladelsesliste. Organisationer kan opretholde en eksplicit liste over godkendte føderationspartnere. Kun organisationer på listen kan etablere føderationsforhold.

Godkendelseskrav. Når aktiveret, kræver alle føderationsanmodninger eksplicit administratorgodkendelse, selvom den anmodende organisation er på tilladelseslisten.

Tilladelser per funktion. Føderationsforhold har detaljerede funktionsskift. En organisation kan tillade beskeder med en partner, men ikke fildeling, eller tillade opkald, men ikke delte kanaler. Disse tilladelser kan justeres når som helst.

Disse kontroller afspejler virkeligheden om, at forskellige organisationer har forskellige risikoappetit og lovgivningsmæssige krav. En finansiel institution kan føderere med sin revisor til kun beskeder uden fildeling. En offentlig myndighed kan føderere med en brancheorganisation til delte kanaler, men kræve godkendelse for hver ny deltager.

Sikkerhedsgrænser

Føderation fletter ikke to organisationers sikkerhedsdomæner sammen. Hver organisation bevarer sine egne krypteringsnøgler, sin egen brugeradministration, sine egne adgangskontroller og sine egne revisionslogge. SFU’en og API-serveren håndhæver organisationsgrænser i hvert lag.

Når en besked sendes i en delt kanal, krypteres den med kanalens krypteringskontekst (som tilhører ejerorganisationen). Brugere fra fødererede organisationer, der har fået adgang, kan dekryptere og læse beskeden. Men føderationsforholdet giver ikke adgang til andre data i ejerorganisationen — interne kanaler, direkte beskeder eller organisationsindstillinger forbliver fuldstændig isolerede.

For opkald i fødererede sammenhænge gælder det samme princip. Deltagere fra begge organisationer deltager i opkaldet gennem det standard WebRTC-signaleringsflow, autentificeret over for deres respektive organisationer. SFU’en router medier mellem deltagere uden hensyn til, hvilken organisation de tilhører, men API’en håndhæver, at kun deltagere med gyldige føderationstilladelser kan deltage.

Installationsidentitet og inter-installations-føderation

Mandrakis føderationsmodel strækker sig ud over organisationer inden for en enkelt installation til at understøtte kommunikation mellem separate Mandraki-implementeringer — det, vi kalder inter-installations-føderation.

Hver Mandraki-installation har en unik identitet, inklusive et Ed25519-nøglepar til kryptografisk autentificering. Installationer publicerer en well-known descriptor på /.well-known/eurocom-server, der inkluderer deres offentlige nøgle, kapaciteter og version.

Når to installationer kommunikerer, signeres alle payloads med den afsendende installations private nøgle og verificeres med den modtagende installations offentlige nøgle. Dette forhindrer impersonation og sikrer, at føderationsbeskeder er autentiske.

Inter-installations-føderation er særligt relevant for organisationer med krav til dataresidens. En Mandraki-installation i Tyskland kan føderere med en installation i Frankrig, hvilket muliggør grænseoverskridende samarbejde, mens hver installation bevarer dataresidens inden for sin respektive jurisdiktion.

Den eksterne brugeroplevelse

Vi var omhyggelige med, hvordan fødererede brugere fremstår i brugergrænsefladen. Eksterne brugere er altid visuelt adskilt med et tydeligt “Ekstern”-mærke. Dette er ikke valgfrit eller konfigurerbart — det håndhæves af platformen for at forhindre forvirring om, hvem der er i en samtale.

Når der skrives en besked i en delt kanal, minder kompositionsområdet brugeren om, at eksterne deltagere kan se deres beskeder. Når der startes et opkald i en fødereret sammenhæng, ser deltagerne en tydelig indikation af, hvilke organisationer der er repræsenteret.

Disse designvalg afspejler et princip: føderation bør gøre krydsorganisationelt samarbejde nemt, men det bør aldrig gøre det usynligt. Brugere bør altid vide, når de kommunikerer på tværs af organisatoriske grænser.

Argumentet for føderation frem for gæstekonti

Mange samarbejdsplatforme håndterer krydsorganisationel kommunikation gennem gæstekonti — eksterne brugere får begrænsede konti inden for værtsorganisationens arbejdsområde. Denne tilgang har flere ulemper, som føderation undgår.

Gæstekonti skaber administrativ byrde: nogen skal oprette, administrere og til sidst deaktivere hver gæst. Gæstekonti udvisker sikkerhedsgrænser: gæsten eksisterer inden for værtens sikkerhedsdomæne, hvilket muligvis ikke stemmer overens med gæstens egen organisations sikkerhedspolitikker. Gæstekonti fragmenterer kommunikation: gæsten skal opretholde separate identiteter og kontekster for hver organisation, de samarbejder med.

Føderation holder hver bruger inden for sin egen organisations domæne. De autentificerer sig med deres egne legitimationsoplysninger, ser deres egen organisations kanaler ved siden af delte og styres af deres egen organisations politikker. Ingen gæstekonti at administrere, ingen udviskede grænser, ingen fragmenteret identitet.

For europæiske organisationer, der har brug for at samarbejde på tværs af grænser, mens de bevarer suverænitet, er føderation den arkitektur, der gør dette muligt uden kompromis.