Federation mellan organisationer: Samarbeta utan att kompromissa

Företagssamarbete sker inte i isolering. Organisationer arbetar med partners, kunder, myndigheter, underleverantörer och branschsamverkansorgan. De personer du behöver kommunicera med är ofta utanför din organisation och ofta utanför din samarbetsplattform.

De traditionella lösningarna på detta problem är inte tillfredsställande. Du kan bjuda in externa användare som gäster till din plattform, vilket suddar ut säkerhetsgränser och skapar administrativt merarbete. Du kan ha konton på flera plattformar, vilket fragmenterar din kommunikation. Eller så kan du falla tillbaka till e-post, som inte erbjuder några av de realtidsbaserade samarbetsfunktioner som moderna arbetsprocesser kräver.

Mandrakis federation mellan organisationer erbjuder en bättre approach: två organisationer kan samarbeta i delade kanaler och samtal medan var och en behåller full suveränitet över sin egen data, säkerhetsprinciper och administrativ kontroll.

Hur federation fungerar

Federation i Mandraki är ett bilateralt, samtyckebaserat förhållande mellan två organisationer. Ingen sida kan påtvinga federation på den andra. Processen börjar när en organisation skickar en federationförfrågan till en annan.

Förfrågan specificerar vilka samarbetsfunktioner den begärande organisationen vill aktivera: meddelanden, samtal, fildelning och delade kanaler. Mottagarorganisationen granskar förfrågan och kan godkänna den med sin egen uppsättning behörigheter. Båda parter måste komma överens, och antingen part kan ändra eller återkalla förhållandet när som helst.

När ett federationförhållande har etablerats kan användare från båda organisationerna delta i delade kanaler och samtal. Upplevelsen är sömlös — en delad kanal visas bredvid organisationens interna kanaler, och användare från den federerade organisationen är tydligt identifierade med en “Externt”-märkning.

Datasuveränitet i delade kanaler

En delad kanal i Mandraki har en enda ägandeorganisation. Ägandeorganisationens principer styr kanalens krypteringsinställningar, lagringsprinciper och AI-funktionstillgänglighet. Andra organisationer deltar i kanalen men kontrollerar inte dess konfiguration.

Kritiskt är att varje meddelande i en delad kanal bär en originOrgId som identifierar vilken organisation avsändaren tillhör. Detta säkerställer spårbarhet: varje organisation kan se vilka meddelanden som har skickats av deras medlemmar och vilka som har kommit från externa deltagare.

För efterlevnadsändamål behåller varje organisation åtkomst till de meddelanden som har skickats av deras egna medlemmar. Om en organisation lämnar en federation behåller de sina egna meddelanden medan de förlorar åtkomst till meddelanden från den andra organisationen. Datasuveränitet följer organisationsgränsen, inte kanalgränsen.

Styrning och principkontroller

Federation i Mandraki styrs av granulära principkontroller på organisationsnivå.

Federation mellan organisationer-princip. Administratörer anger organisationens federationinställning: inaktiverad (ingen federation tillåten), endast federerad (federation med godkända organisationer endast) eller öppen (federationsförfrågningar accepteras som standard, föremål för individuell godkännande).

Tillåtlista. Organisationer kan underhålla en uttrycklig lista över godkända federationpartner. Endast organisationer på listan kan etablera federationförhållanden.

Godkännandekrav. När det är aktiverat kräver alla federationsförfrågningar uttryckligt administratörsgodkännande, även om den begärande organisationen är på tillåtlistan.

Funktionstillstånd per funktion. Federationförhållanden har granulära funktionsswitchar. En organisation kan tillåta meddelanden med en partner men inte fildelning, eller tillåta samtal men inte delade kanaler. Dessa behörigheter kan justeras när som helst.

Dessa kontroller reflekterar verkligheten att olika organisationer har olika riskaptit och regulatoriska krav. En finansiell institution kan federera med sin revisor för meddelanden endast, utan fildelning. En regeringsavdelning kan federera med en branschorganisation för delade kanaler men kräva godkännande för varje ny deltagare.

Säkerhetsgränser

Federation förenar inte två organisationers säkerhetsdomäner. Varje organisation behåller sina egna krypteringsnycklar, sin egen användarhantering, sina egna åtkomstkontroller och sina egna revisionsloggar. SFU och API-servern upprätthåller organisationsgränser på varje lager.

När ett meddelande skickas i en delad kanal krypteras det med kanalens krypteringskontext (som tillhör ägandeorganisationen). Användare från federerade organisationer som har fått åtkomst kan dekryptera och läsa meddelandet. Men federationförhållandet ger inte åtkomst till någon annan data inom ägandeorganisationen — interna kanaler, direktmeddelanden eller organisationsinställningar förblir helt isolerade.

För samtal i federerade sammanhang gäller samma princip. Deltagare från båda organisationerna ansluter till samtalet via den standardiserade WebRTC-signaliseringsflödet, autentiserad mot sina respektive organisationer. SFU dirigerar media mellan deltagare utan hänsyn till vilken organisation de tillhör, men API:en upprätthåller att endast deltagare med giltiga federationstillstånd kan ansluta.

Installationsidentitet och inter-installationsfederation

Mandrakis federationmodell sträcker sig bortom organisationer inom en enda installation för att stödja kommunikation mellan separata Mandraki-distributioner — vad vi kallar federation mellan installationer.

Varje Mandraki-installation har en unik identitet, inklusive en Ed25519-nyckelpar för kryptografisk autentisering. Installationer publicerar en välkänd beskrivning på /.well-known/eurocom-server som innehåller deras offentliga nyckel, funktioner och version.

När två installationer kommunicerar signeras alla nyttolaster med den skickande installationens privata nyckel och verifieras med den mottagande installationens offentliga nyckel. Detta förhindrar imitation och säkerställer att federationmeddelanden är äkta.

Federation mellan installationer är särskilt relevant för organisationer med datalokaliseringkrav. En Mandraki-installation i Tyskland kan federera med en installation i Frankrike, vilket möjliggör gränsöverskridande samarbete medan varje installation behåller datalokalisering inom sitt respektive jurisdiktionsområde.

Den externa användarupplevelsen

Vi har lagt stor vikt vid hur federerade användare visas i gränssnittet. Externa användare är alltid visuellt särskiljda med en tydlig “Externt”-märkning. Detta är inte valfritt eller konfigurerbart — det upprätthålls av plattformen för att förhindra förvirring om vem som är i en konversation.

När du skriver ett meddelande i en delad kanal påminner kompositionsområdet användaren om att externa deltagare kan se deras meddelanden. När du startar ett samtal i en federerad kontext ser deltagarna en tydlig indikation på vilka organisationer som representeras.

Dessa designbeslut reflekterar en princip: federation bör göra gränsöverskridande samarbete enkelt, men det bör aldrig göra det osynligt. Användare bör alltid veta när de kommunicerar över organisationsgränser.

Fallet för federation över gästkonto

Många samarbetsplattformar hanterar gränsöverskridande kommunikation genom gästkonto — externa användare får begränsade konton inom värdorganisationens arbetsyta. Denna approach har flera nackdelar som federation undviker.

Gästkonto skapar administrativt merarbete: någon måste skapa, hantera och så småningom inaktivera varje gäst. Gästkonto suddar ut säkerhetsgränser: gästen existerar inom värdens säkerhetsdomän, som kanske inte överensstämmer med gästens egen organisations säkerhetsprinciper. Gästkonto fragmenterar kommunikation: gästen måste underhålla separata identiteter och sammanhang för varje organisation de samarbetar med.

Federation håller varje användare inom sin egen organisations domän. De autentiserar med sina egna autentiseringsuppgifter, ser sin egen organisations kanaler bredvid delade, och styrs av sin egen organisations principer. Inga gästkonto att hantera, inga suddiga gränser, ingen fragmenterad identitet.

För europeiska organisationer som behöver samarbeta över gränserna medan de behåller suveränitet är federation den arkitektur som möjliggör detta utan kompromiss.