Feinian Ids tenant Docs main core-objects-and-boundaries.md

核心对象与边界

本文档用于统一说明租户运营中的核心对象、职责边界和常见概念,避免在单租户治理中把角色、ClaimScope、应用和外部身份源混成同一类对象。

适用场景

  • 新接手一个租户,需要先建立对象边界认知
  • 需要判断某项变更属于租户侧还是平台侧
  • 需要区分用户、角色、ClaimScope 与应用访问分配的用途

负责角色

  • 租户管理员
  • 客户成功
  • 实施支持
  • 需要理解租户配置边界的系统管理员

核心边界

  • 租户:当前文档的默认操作边界。除非明确说明,所有动作都应限定在单租户内执行,不跨租户混用用户、应用、角色或联邦配置
  • 用户:访问主体。租户侧重点是用户是否属于当前租户、状态是否可用、默认租户是否正确以及登录方式是否受限
  • Membership:用户与租户的关系真源。看不到用户、无法进入当前租户、默认租户错误,通常都要先看 membership
  • 角色:适合表达一组稳定职责或权限集合,优先用于日常授权
  • Claim:适合表达身份属性、标签或更细粒度声明,通常不直接替代角色
  • Scope:适合表达应用或 API 请求授权范围,不应被当成岗位角色使用
  • 应用 / Client:租户内需要接入身份系统或接受访问治理的业务系统,既要管理接入参数,也要管理谁能访问
  • 外部身份源 / SCIM:租户级高级配置项,关注登录入口、映射规则、同步 token 和最近失败
  • 平台侧介入边界:新租户创建、跨租户异常、全局安全基线、全局联邦能力和平台级故障应回到平台文档处理

常见误区

  • 把“用户主体”当成“租户内独立账号”处理,忽略了全局用户和租户 membership 的区别
  • 把角色、ClaimScope 混用,导致授权无法收敛
  • 只开通了应用访问,却没有同步角色或功能权限
  • 只看租户后台页面状态,不核对用户来源类型、联邦映射或同步状态
  • 遇到平台级问题继续在租户范围内兜底,延误升级时机

常见任务

  • 确认当前操作是否属于租户侧治理
  • 判断权限问题应先查角色、ClaimScope 还是应用访问分配
  • 判断联邦、SCIM 和品牌配置是否会影响当前租户登录体验

推荐判断顺序

  1. 先确认问题对象是否在当前租户边界内
  2. 再确认问题属于“身份主体、访问控制、应用接入、联邦同步、品牌体验”中的哪一类
  3. 如果是访问问题,先区分“能否进入应用”和“进入后能做什么”
  4. 如果是登录问题,先区分“入口是否可见”“认证是否成功”“回跳是否正常”
  5. 如果出现跨租户、平台不可用或全局策略问题,立即升级到平台文档

租户管理员可做什么

  • 维护当前租户内用户、组织、角色、应用和应用访问分配
  • 配置当前租户的品牌、外部登录入口和 SCIM
  • 排查当前租户内的登录失败、权限未生效、应用接入和同步问题

租户管理员通常不应直接处理什么

  • 新租户创建、禁用、恢复、归档
  • 平台默认认证策略、全局安全基线和宿主配置
  • 跨租户越权、平台级健康异常和统一准入规则
  • 平台级证书策略、全局 provider 能力和宿主级运维故障

相关 SOP

升级判定

出现以下情况时,建议停止继续在租户侧反复试错,直接升级:

  • 同一问题影响多个租户
  • /health/ready、后台首页或运维摘要提示平台级依赖异常
  • 管理 API、联邦入口或 SCIM 端点统一返回平台不可用语义
  • 需要修改宿主配置、平台默认值或全局证书 / 凭据

延伸阅读

返回 租户运营配置文档