Organisationsübergreifende Föderation: Zusammenarbeit ohne Kompromisse

Hinweis: Dieser Artikel beschreibt die Architektur und das Design von Mandraki. Einige der besprochenen Funktionen werden schrittweise eingeführt und sind möglicherweise noch nicht in allen Tarifen verfügbar.

Unternehmenszusammenarbeit findet nicht isoliert statt. Organisationen arbeiten mit Partnern, Kunden, Regulierungsbehörden, Auftragnehmern und Branchenkonsortien zusammen. Die Personen, mit denen Sie kommunizieren müssen, befinden sich oft außerhalb Ihrer Organisation und häufig außerhalb Ihrer Kollaborationsplattform.

Die traditionellen Lösungen für dieses Problem sind unbefriedigend. Sie können externe Benutzer als Gäste in Ihre Plattform einladen, was Sicherheitsgrenzen verwischt und administrativen Overhead schafft. Sie können Konten auf mehreren Plattformen pflegen, was Ihre Kommunikation fragmentiert. Oder Sie können auf E-Mail zurückgreifen, die keine der Echtzeit-Kollaborationsfunktionen bietet, die moderne Arbeit erfordert.

Mandrakis organisationsübergreifende Föderation bietet einen besseren Ansatz: Zwei Organisationen können in gemeinsamen Kanälen und Anrufen zusammenarbeiten, während jede die volle Souveränität über ihre eigenen Daten, Sicherheitsrichtlinien und administrative Kontrolle behält.

Wie Föderation funktioniert

Föderation in Mandraki ist eine bilaterale, einwilligungsbasierte Beziehung zwischen zwei Organisationen. Keine Seite kann die Föderation der anderen aufzwingen. Der Prozess beginnt, wenn eine Organisation eine Föderationsanfrage an eine andere sendet.

Die Anfrage gibt an, welche Kollaborationsfähigkeiten die anfragende Organisation aktivieren möchte: Messaging, Anrufe, Dateifreigabe und gemeinsame Kanäle. Die Zielorganisation prüft die Anfrage und kann sie mit eigenen Berechtigungen genehmigen. Beide Seiten müssen zustimmen, und jede Seite kann die Beziehung jederzeit ändern oder widerrufen.

Sobald eine Föderationsbeziehung etabliert ist, können Benutzer beider Organisationen an gemeinsamen Kanälen und Anrufen teilnehmen. Das Erlebnis ist nahtlos — ein gemeinsamer Kanal erscheint neben den internen Kanälen der Organisation, und Benutzer aus der föderierten Organisation werden mit einem „Extern”-Abzeichen klar gekennzeichnet.

Dateneigentum in gemeinsamen Kanälen

Ein gemeinsamer Kanal in Mandraki hat eine einzige besitzende Organisation. Die Richtlinien der besitzenden Organisation regeln die Verschlüsselungseinstellungen, Aufbewahrungsrichtlinien und Verfügbarkeit von KI-Funktionen des Kanals. Andere Organisationen nehmen am Kanal teil, kontrollieren aber nicht dessen Konfiguration.

Entscheidend ist, dass jede Nachricht in einem gemeinsamen Kanal eine originOrgId trägt, die identifiziert, zu welcher Organisation der Absender gehört. Dies gewährleistet Nachvollziehbarkeit: Jede Organisation kann sehen, welche Nachrichten von ihren eigenen Mitgliedern stammen und welche von externen Teilnehmern.

Aus Compliance-Gründen behält jede Organisation den Zugriff auf die von ihren eigenen Mitgliedern gesendeten Nachrichten. Wenn eine Organisation eine Föderation verlässt, behält sie ihre eigenen Nachrichten, verliert jedoch den Zugriff auf Nachrichten der anderen Organisation. Dateneigentum folgt der Organisationsgrenze, nicht der Kanalgrenze.

Governance- und Richtlinienkontrollen

Föderation in Mandraki wird durch granulare Richtlinienkontrollen auf Organisationsebene geregelt.

Organisationsübergreifende Richtlinie. Administratoren legen die Föderationshaltung der Organisation fest: deaktiviert (keine Föderation erlaubt), nur föderiert (Föderation nur mit genehmigten Organisationen) oder offen (Föderationsanfragen werden standardmäßig akzeptiert, vorbehaltlich individueller Genehmigung).

Zulassungsliste. Organisationen können eine explizite Liste genehmigter Föderationspartner pflegen. Nur Organisationen auf der Liste können Föderationsbeziehungen aufbauen.

Genehmigungspflicht. Wenn aktiviert, erfordern alle Föderationsanfragen eine ausdrückliche Administratorgenehmigung, selbst wenn die anfragende Organisation auf der Zulassungsliste steht.

Berechtigungen pro Funktion. Föderationsbeziehungen verfügen über granulare Funktionsschalter. Eine Organisation könnte Messaging mit einem Partner zulassen, aber keine Dateifreigabe, oder Anrufe zulassen, aber keine gemeinsamen Kanäle. Diese Berechtigungen können jederzeit angepasst werden.

Diese Kontrollen spiegeln die Realität wider, dass verschiedene Organisationen unterschiedliche Risikobereitschaften und regulatorische Anforderungen haben. Ein Finanzinstitut könnte sich mit seinem Prüfer nur für Messaging föderieren, ohne Dateifreigabe. Eine Regierungsabteilung könnte sich mit einem Branchenverband für gemeinsame Kanäle föderieren, aber für jeden neuen Teilnehmer eine Genehmigung verlangen.

Sicherheitsgrenzen

Föderation verschmilzt nicht die Sicherheitsdomänen zweier Organisationen. Jede Organisation behält ihre eigenen Verschlüsselungsschlüssel, ihre eigene Benutzerverwaltung, ihre eigenen Zugriffskontrollen und ihre eigenen Audit-Protokolle. Die SFU und der API-Server erzwingen Organisationsgrenzen auf jeder Ebene.

Wenn eine Nachricht in einem gemeinsamen Kanal gesendet wird, wird sie mit dem Verschlüsselungskontext des Kanals verschlüsselt (der zur besitzenden Organisation gehört). Benutzer aus föderierten Organisationen, denen Zugriff gewährt wurde, können die Nachricht entschlüsseln und lesen. Aber die Föderationsbeziehung gewährt keinen Zugriff auf andere Daten innerhalb der besitzenden Organisation — interne Kanäle, Direktnachrichten oder organisatorische Einstellungen bleiben vollständig isoliert.

Für Anrufe in föderierten Kontexten gilt dasselbe Prinzip. Teilnehmer beider Organisationen treten dem Anruf über den Standard-WebRTC-Signalisierungsfluss bei, authentifiziert gegenüber ihren jeweiligen Organisationen. Die SFU leitet Medien zwischen Teilnehmern weiter, unabhängig davon, zu welcher Organisation sie gehören, aber die API erzwingt, dass nur Teilnehmer mit gültigen Föderationsberechtigungen beitreten können.

Installationsidentität und installationsübergreifende Föderation

Mandrakis Föderationsmodell geht über Organisationen innerhalb einer einzelnen Installation hinaus und unterstützt die Kommunikation zwischen separaten Mandraki-Bereitstellungen — was wir installationsübergreifende Föderation nennen.

Jede Mandraki-Installation hat eine eindeutige Identität, einschließlich eines Ed25519-Schlüsselpaars für die kryptografische Authentifizierung. Installationen veröffentlichen einen well-known-Deskriptor unter /.well-known/eurocom-server, der ihren öffentlichen Schlüssel, ihre Fähigkeiten und ihre Version enthält.

Wenn zwei Installationen kommunizieren, werden alle Payloads mit dem privaten Schlüssel der sendenden Installation signiert und mit dem öffentlichen Schlüssel der empfangenden Installation verifiziert. Dies verhindert Identitätsfälschungen und stellt sicher, dass Föderationsnachrichten authentisch sind.

Installationsübergreifende Föderation ist insbesondere für Organisationen mit Datenresidenzanforderungen relevant. Eine Mandraki-Installation in Deutschland kann sich mit einer Installation in Frankreich föderieren, was grenzüberschreitende Zusammenarbeit ermöglicht, während jede Installation die Datenresidenz innerhalb ihrer jeweiligen Jurisdiktion behält.

Das Erlebnis externer Benutzer

Wir haben sorgfältig darauf geachtet, wie föderierte Benutzer in der Benutzeroberfläche erscheinen. Externe Benutzer werden immer visuell mit einem klaren „Extern”-Abzeichen unterschieden. Dies ist nicht optional oder konfigurierbar — es wird von der Plattform erzwungen, um Verwirrung darüber zu verhindern, wer an einer Konversation beteiligt ist.

Beim Verfassen einer Nachricht in einem gemeinsamen Kanal erinnert der Verfassbereich den Benutzer daran, dass externe Teilnehmer seine Nachrichten sehen können. Beim Starten eines Anrufs in einem föderierten Kontext sehen die Teilnehmer eine klare Anzeige, welche Organisationen vertreten sind.

Diese Designentscheidungen spiegeln ein Prinzip wider: Föderation sollte organisationsübergreifende Zusammenarbeit einfach machen, sie aber niemals unsichtbar machen. Benutzer sollten immer wissen, wenn sie über Organisationsgrenzen hinweg kommunizieren.

Der Fall für Föderation gegenüber Gastkonten

Viele Kollaborationsplattformen behandeln organisationsübergreifende Kommunikation über Gastkonten — externen Benutzern werden begrenzte Konten innerhalb des Arbeitsbereichs der Gastgeberorganisation gegeben. Dieser Ansatz hat mehrere Nachteile, die Föderation vermeidet.

Gastkonten schaffen administrative Belastung: Jemand muss jeden Gast erstellen, verwalten und schließlich deaktivieren. Gastkonten verwischen Sicherheitsgrenzen: Der Gast existiert innerhalb der Sicherheitsdomäne des Gastgebers, die möglicherweise nicht mit den Sicherheitsrichtlinien der Organisation des Gastes übereinstimmt. Gastkonten fragmentieren die Kommunikation: Der Gast muss für jede Organisation, mit der er zusammenarbeitet, separate Identitäten und Kontexte pflegen.

Föderation hält jeden Benutzer innerhalb der Domäne seiner eigenen Organisation. Sie authentifizieren sich mit ihren eigenen Anmeldeinformationen, sehen die Kanäle ihrer eigenen Organisation neben den gemeinsamen und werden durch die Richtlinien ihrer eigenen Organisation geregelt. Keine Gastkonten zu verwalten, keine verwischten Grenzen, keine fragmentierte Identität.

Für europäische Organisationen, die grenzüberschreitend zusammenarbeiten und gleichzeitig ihre Souveränität wahren müssen, ist Föderation die Architektur, die dies ohne Kompromisse ermöglicht.