Federație între organizații: colaborare fără compromis

Notă: Acest articol descrie arhitectura și designul Mandraki. Unele funcționalități discutate sunt lansate progresiv și este posibil să nu fie încă disponibile în toate planurile.

Colaborarea în întreprinderi nu se desfășoară izolat. Organizațiile lucrează cu parteneri, clienți, autorități de reglementare, contractori și consorții industriale. Persoanele cu care aveți nevoie să comunicați sunt adesea în afara organizației dvs. și frecvent în afara platformei dvs. de colaborare.

Soluțiile tradiționale la această problemă sunt nesatisfăcătoare. Puteți invita utilizatori externi ca oaspeți pe platforma dvs., ceea ce estompează granițele de securitate și creează supraîncărcare administrativă. Puteți menține conturi pe mai multe platforme, ceea ce fragmentează comunicările. Sau puteți reveni la e-mail, care nu oferă niciuna dintre funcționalitățile de colaborare în timp real pe care munca modernă le cere.

Federația între organizații a Mandraki oferă o abordare mai bună: două organizații pot colabora în canale și apeluri partajate, în timp ce fiecare păstrează suveranitatea deplină asupra propriilor date, politici de securitate și control administrativ.

Cum funcționează federația

Federația în Mandraki este o relație bilaterală, bazată pe consimțământ între două organizații. Niciuna dintre părți nu poate impune federația celeilalte. Procesul începe atunci când o organizație trimite o cerere de federație alteia.

Cererea specifică ce capabilități de colaborare dorește să activeze organizația solicitantă: mesagerie, apeluri, partajare de fișiere și canale partajate. Organizația țintă revizuiește cererea și o poate aproba cu propriul său set de permisiuni. Ambele părți trebuie să fie de acord, iar oricare parte poate modifica sau revoca relația în orice moment.

Odată ce o relație de federație este stabilită, utilizatorii din ambele organizații pot participa la canale și apeluri partajate. Experiența este fără cusur — un canal partajat apare alături de canalele interne ale organizației, iar utilizatorii din organizația federată sunt identificați clar cu o insignă „Extern”.

Proprietatea datelor în canalele partajate

Un canal partajat în Mandraki are o singură organizație proprietară. Politicile organizației proprietare guvernează setările de criptare ale canalului, politicile de păstrare și disponibilitatea funcționalităților AI. Alte organizații participă la canal, dar nu îi controlează configurația.

Critic, fiecare mesaj dintr-un canal partajat poartă un originOrgId care identifică cărei organizații îi aparține expeditorul. Acest lucru asigură trasabilitatea: fiecare organizație poate vedea ce mesaje au provenit de la membrii săi și care au venit de la participanți externi.

În scopuri de conformitate, fiecare organizație păstrează accesul la mesajele trimise de propriii membri. Dacă o organizație părăsește o federație, păstrează propriile mesaje, pierzând în același timp accesul la mesajele de la cealaltă organizație. Proprietatea datelor urmează granița organizației, nu granița canalului.

Controale de guvernanță și politică

Federația în Mandraki este guvernată de controale granulare de politică la nivel de organizație.

Politica între organizații. Administratorii setează poziția organizației privind federația: dezactivată (nicio federație permisă), doar federată (federație doar cu organizații aprobate) sau deschisă (cererile de federație sunt acceptate implicit, sub rezerva aprobării individuale).

Listă de permisiuni. Organizațiile pot menține o listă explicită de parteneri de federație aprobați. Doar organizațiile de pe listă pot stabili relații de federație.

Cerință de aprobare. Când este activată, toate cererile de federație necesită aprobarea explicită a administratorului, chiar dacă organizația solicitantă se află pe lista de permisiuni.

Permisiuni per funcționalitate. Relațiile de federație au comutatoare granulare de funcționalități. O organizație ar putea permite mesageria cu un partener, dar nu și partajarea de fișiere, sau ar permite apelurile, dar nu și canalele partajate. Aceste permisiuni pot fi ajustate în orice moment.

Aceste controale reflectă realitatea că diferite organizații au apetituri de risc și cerințe de reglementare diferite. O instituție financiară ar putea federa cu auditorul său doar pentru mesagerie, fără partajare de fișiere. Un departament guvernamental ar putea federa cu un organism al industriei pentru canale partajate, dar ar putea cere aprobare pentru fiecare nou participant.

Granițe de securitate

Federația nu îmbină domeniile de securitate ale celor două organizații. Fiecare organizație își menține propriile chei de criptare, propria gestionare a utilizatorilor, propriile controale de acces și propriile jurnale de audit. SFU-ul și serverul API impun granițele organizației la fiecare nivel.

Când un mesaj este trimis într-un canal partajat, este criptat cu contextul de criptare al canalului (care aparține organizației proprietare). Utilizatorii din organizațiile federate cărora li s-a acordat acces pot decripta și citi mesajul. Dar relația de federație nu acordă acces la nicio altă dată din interiorul organizației proprietare — canalele interne, mesajele directe sau setările organizaționale rămân complet izolate.

Pentru apelurile în contexte federate, se aplică același principiu. Participanții din ambele organizații se alătură apelului prin fluxul standard de semnalizare WebRTC, autentificați cu organizațiile lor respective. SFU-ul rutează media între participanți fără a ține cont de cărei organizații îi aparțin, dar API-ul impune ca doar participanții cu permisiuni valide de federație să poată participa.

Identitatea instalării și federația între instalări

Modelul de federație al Mandraki se extinde dincolo de organizațiile dintr-o singură instalare pentru a susține comunicarea între implementări separate de Mandraki — ceea ce numim federație între instalări.

Fiecare instalare Mandraki are o identitate unică, inclusiv o pereche de chei Ed25519 pentru autentificare criptografică. Instalările publică un descriptor well-known la /.well-known/eurocom-server care include cheia lor publică, capabilitățile și versiunea.

Când două instalări comunică, toate sarcinile utile sunt semnate cu cheia privată a instalării emițătoare și verificate cu cheia publică a instalării receptoare. Acest lucru previne uzurparea identității și asigură că mesajele de federație sunt autentice.

Federația între instalări este deosebit de relevantă pentru organizațiile cu cerințe de rezidență a datelor. O instalare Mandraki din Germania se poate federa cu o instalare din Franța, permițând colaborare transfrontalieră, în timp ce fiecare instalare păstrează rezidența datelor în jurisdicția sa respectivă.

Experiența utilizatorului extern

Am acordat o atenție deosebită modului în care utilizatorii federați apar în interfață. Utilizatorii externi sunt întotdeauna distinși vizual cu o insignă clară „Extern”. Aceasta nu este opțională sau configurabilă — este aplicată de platformă pentru a preveni confuzia cu privire la cine se află într-o conversație.

Atunci când se compune un mesaj într-un canal partajat, zona de compunere îi reamintește utilizatorului că participanții externi pot vedea mesajele sale. Când se inițiază un apel într-un context federat, participanții văd o indicație clară a organizațiilor reprezentate.

Aceste decizii de design reflectă un principiu: federația ar trebui să facă colaborarea între organizații ușoară, dar nu ar trebui să o facă niciodată invizibilă. Utilizatorii ar trebui să știe întotdeauna când comunică peste granițele organizaționale.

Argumentul pentru federație în locul conturilor de oaspete

Multe platforme de colaborare abordează comunicarea între organizații prin conturi de oaspete — utilizatorilor externi li se oferă conturi limitate în spațiul de lucru al organizației gazdă. Această abordare are mai multe dezavantaje pe care federația le evită.

Conturile de oaspete creează povară administrativă: cineva trebuie să creeze, să gestioneze și, în cele din urmă, să dezactiveze fiecare oaspete. Conturile de oaspete estompează granițele de securitate: oaspetele există în domeniul de securitate al gazdei, care poate să nu se alinieze cu politicile de securitate ale propriei organizații a oaspetelui. Conturile de oaspete fragmentează comunicarea: oaspetele trebuie să mențină identități și contexte separate pentru fiecare organizație cu care colaborează.

Federația păstrează fiecare utilizator în domeniul propriei sale organizații. Se autentifică cu propriile credențiale, văd canalele propriei organizații alături de cele partajate și sunt guvernați de propriile politici ale organizației. Fără conturi de oaspete de gestionat, fără granițe estompate, fără identitate fragmentată.

Pentru organizațiile europene care trebuie să colaboreze peste granițe, păstrând în același timp suveranitatea, federația este arhitectura care face acest lucru posibil fără compromis.