Federatie tussen organisaties: samenwerken zonder concessies

Opmerking: Dit artikel beschrijft de architectuur en het ontwerp van Mandraki. Sommige besproken functies worden geleidelijk uitgerold en zijn mogelijk nog niet in alle abonnementen beschikbaar.

Samenwerking binnen ondernemingen gebeurt niet in isolatie. Organisaties werken samen met partners, klanten, toezichthouders, opdrachtnemers en branchecoalities. De mensen met wie u moet communiceren bevinden zich vaak buiten uw organisatie, en regelmatig buiten uw samenwerkingsplatform.

De traditionele oplossingen voor dit probleem zijn onbevredigend. U kunt externe gebruikers als gasten in uw platform uitnodigen, wat beveiligingsgrenzen vervaagt en administratieve overhead creëert. U kunt accounts onderhouden op meerdere platforms, wat uw communicatie versnippert. Of u kunt terugvallen op e-mail, dat geen van de realtime samenwerkingsfuncties biedt die modern werk vereist.

De federatie tussen organisaties van Mandraki biedt een betere benadering: twee organisaties kunnen samenwerken in gedeelde kanalen en gesprekken, terwijl elk de volledige soevereiniteit behoudt over zijn eigen gegevens, beveiligingsbeleid en administratieve controle.

Hoe federatie werkt

Federatie in Mandraki is een bilaterale, op toestemming gebaseerde relatie tussen twee organisaties. Geen van beide partijen kan federatie aan de ander opleggen. Het proces begint wanneer één organisatie een federatieverzoek naar een andere stuurt.

Het verzoek specificeert welke samenwerkingsmogelijkheden de aanvragende organisatie wil inschakelen: berichten, gesprekken, bestandsdeling en gedeelde kanalen. De ontvangende organisatie beoordeelt het verzoek en kan dit goedkeuren met haar eigen set machtigingen. Beide partijen moeten akkoord gaan, en elke partij kan de relatie op elk moment wijzigen of intrekken.

Zodra een federatierelatie is gevestigd, kunnen gebruikers van beide organisaties deelnemen aan gedeelde kanalen en gesprekken. De ervaring is naadloos — een gedeeld kanaal verschijnt naast de interne kanalen van de organisatie, en gebruikers van de gefedereerde organisatie worden duidelijk geïdentificeerd met een “Extern”-badge.

Gegevenseigendom in gedeelde kanalen

Een gedeeld kanaal in Mandraki heeft één eigenaarsorganisatie. Het beleid van de eigenaarsorganisatie regelt de versleutelingsinstellingen, het bewaarbeleid en de beschikbaarheid van AI-functies van het kanaal. Andere organisaties nemen deel aan het kanaal, maar bepalen niet de configuratie ervan.

Cruciaal is dat elk bericht in een gedeeld kanaal een originOrgId draagt die identificeert tot welke organisatie de afzender behoort. Dit zorgt voor traceerbaarheid: elke organisatie kan zien welke berichten van haar leden afkomstig zijn en welke van externe deelnemers.

Voor compliance-doeleinden behoudt elke organisatie toegang tot de berichten die door haar eigen leden zijn verzonden. Als één organisatie een federatie verlaat, behouden ze hun eigen berichten terwijl ze de toegang tot berichten van de andere organisatie verliezen. Gegevenseigendom volgt de organisatiegrens, niet de kanaalgrens.

Governance en beleidscontroles

Federatie in Mandraki wordt beheerst door gedetailleerde beleidscontroles op organisatieniveau.

Cross-org-beleid. Beheerders bepalen de federatiehouding van de organisatie: uitgeschakeld (geen federatie toegestaan), alleen gefedereerd (alleen federatie met goedgekeurde organisaties) of open (federatieverzoeken worden standaard geaccepteerd, onder voorbehoud van individuele goedkeuring).

Allowlist. Organisaties kunnen een expliciete lijst van goedgekeurde federatiepartners onderhouden. Alleen organisaties op de lijst kunnen federatierelaties aangaan.

Goedkeuringsvereiste. Wanneer ingeschakeld, vereisen alle federatieverzoeken expliciete goedkeuring door een beheerder, zelfs als de aanvragende organisatie op de allowlist staat.

Machtigingen per functie. Federatierelaties hebben gedetailleerde functieschakelaars. Een organisatie kan berichten met een partner toestaan, maar geen bestandsdeling, of gesprekken toestaan maar geen gedeelde kanalen. Deze machtigingen kunnen op elk moment worden aangepast.

Deze controles weerspiegelen de realiteit dat verschillende organisaties verschillende risicobereidheden en regelgevingsvereisten hebben. Een financiële instelling kan met haar auditor uitsluitend voor berichten federeren, zonder bestandsdeling. Een overheidsdepartement kan voor gedeelde kanalen met een brancheorganisatie federeren, maar voor elke nieuwe deelnemer goedkeuring vereisen.

Beveiligingsgrenzen

Federatie voegt de beveiligingsdomeinen van twee organisaties niet samen. Elke organisatie behoudt haar eigen encryptiesleutels, haar eigen gebruikersbeheer, haar eigen toegangscontroles en haar eigen auditlogboeken. De SFU en API-server dwingen organisatiegrenzen op elke laag af.

Wanneer een bericht in een gedeeld kanaal wordt verzonden, wordt het versleuteld met de versleutelingscontext van het kanaal (die behoort tot de eigenaarsorganisatie). Gebruikers van gefedereerde organisaties die toegang hebben gekregen, kunnen het bericht ontsleutelen en lezen. Maar de federatierelatie verleent geen toegang tot andere gegevens binnen de eigenaarsorganisatie — interne kanalen, directe berichten of organisatorische instellingen blijven volledig geïsoleerd.

Voor gesprekken in gefedereerde contexten geldt hetzelfde principe. Deelnemers van beide organisaties nemen deel aan het gesprek via de standaard WebRTC-signaleringsflow, geauthenticeerd tegen hun respectievelijke organisaties. De SFU routeert media tussen deelnemers ongeacht tot welke organisatie ze behoren, maar de API dwingt af dat alleen deelnemers met geldige federatiemachtigingen kunnen deelnemen.

Installatie-identiteit en federatie tussen installaties

Het federatiemodel van Mandraki gaat verder dan organisaties binnen één installatie en ondersteunt communicatie tussen afzonderlijke Mandraki-implementaties — wat wij federatie tussen installaties noemen.

Elke Mandraki-installatie heeft een unieke identiteit, inclusief een Ed25519-sleutelpaar voor cryptografische authenticatie. Installaties publiceren een well-known descriptor op /.well-known/eurocom-server die hun openbare sleutel, mogelijkheden en versie bevat.

Wanneer twee installaties communiceren, worden alle payloads ondertekend met de privésleutel van de verzendende installatie en geverifieerd met de openbare sleutel van de ontvangende installatie. Dit voorkomt imitatie en zorgt ervoor dat federatieberichten authentiek zijn.

Federatie tussen installaties is bijzonder relevant voor organisaties met vereisten omtrent gegevensresidentie. Een Mandraki-installatie in Duitsland kan federeren met een installatie in Frankrijk, waardoor grensoverschrijdende samenwerking mogelijk is terwijl elke installatie de gegevensresidentie binnen haar respectievelijke rechtsgebied behoudt.

De externe gebruikerservaring

Wij hebben zorgvuldig nagedacht over hoe gefedereerde gebruikers in de interface verschijnen. Externe gebruikers worden altijd visueel onderscheiden met een duidelijke “Extern”-badge. Dit is niet optioneel of configureerbaar — het wordt door het platform afgedwongen om verwarring over wie aan een gesprek deelneemt te voorkomen.

Bij het opstellen van een bericht in een gedeeld kanaal herinnert het opstelvenster de gebruiker eraan dat externe deelnemers hun berichten kunnen zien. Bij het starten van een gesprek in een gefedereerde context zien deelnemers een duidelijke aanduiding van welke organisaties vertegenwoordigd zijn.

Deze ontwerpkeuzes weerspiegelen een principe: federatie moet samenwerking tussen organisaties gemakkelijk maken, maar mag deze nooit onzichtbaar maken. Gebruikers moeten altijd weten wanneer ze communiceren over organisatorische grenzen heen.

De argumenten voor federatie boven gastaccounts

Veel samenwerkingsplatforms benaderen communicatie tussen organisaties via gastaccounts — externe gebruikers krijgen beperkte accounts binnen de werkruimte van de gastorganisatie. Deze aanpak heeft verschillende nadelen die federatie vermijdt.

Gastaccounts creëren administratieve lasten: iemand moet elke gast aanmaken, beheren en uiteindelijk deactiveren. Gastaccounts vervagen beveiligingsgrenzen: de gast bestaat binnen het beveiligingsdomein van de gastheer, wat mogelijk niet overeenkomt met het beveiligingsbeleid van de eigen organisatie van de gast. Gastaccounts versnipperen communicatie: de gast moet aparte identiteiten en contexten onderhouden voor elke organisatie waarmee hij samenwerkt.

Federatie houdt elke gebruiker binnen het domein van zijn eigen organisatie. Ze authenticeren met hun eigen referenties, zien de kanalen van hun eigen organisatie naast gedeelde kanalen, en worden beheerst door het beleid van hun eigen organisatie. Geen gastaccounts om te beheren, geen vervaagde grenzen, geen versnipperde identiteit.

Voor Europese organisaties die over grenzen heen moeten samenwerken met behoud van soevereiniteit, is federatie de architectuur die dit zonder concessies mogelijk maakt.