feat: 구현: 유저 그룹 중심 권한 통합 및 미들웨어 정책 고도화

docs/rbac-rebac-policy.md

@@ -18,9 +18,9 @@
 - Keto의 관계 튜플에 기반해 `CheckPermission`을 수행합니다.
 
 ### 2.3 RequireTenantMatch
-- 테넌트 관리자 권한을 가진 사용자가 **자신의 테넌트**에만 접근하도록 보장합니다.
-- Super Admin은 즉시 통과합니다.
-- API Key 인증은 우회합니다.
+- 사용자가 요청한 테넌트에 대한 관리 자격이 있는지 검증합니다.
+- **상속 권한 인정:** 사용자의 기본 테넌트뿐만 아니라, 유저 그룹 멤버십이나 그룹장 직책을 통해 **상속받은 모든 테넌트**를 대상으로 합니다.
+- Super Admin 및 유효한 API Key 요청은 통과합니다.
 
 ## 3. ReBAC 기반인데도 RBAC가 필요한 이유
 
@@ -32,7 +32,7 @@
 - 불필요한 ReBAC 호출을 줄여 장애 전파를 줄입니다.
 
 3) **테넌트 범위 제어의 명확성**
-- "Tenant Admin은 자기 테넌트만"은 자주 쓰는 규칙으로, 미들웨어 단에서 즉시 판단이 효율적입니다.
+- "Tenant Admin은 자기 테넌트만"은 자주 쓰는 규칙으로, 미들웨어 단에서 즉시 판단이 효율적입니다. 유저 그룹 도입 이후에는 "상속받은 모든 관리 대상 테넌트"로 범위가 확장됩니다.
 
 4) **성능 및 안정성**
 - Keto는 외부 서비스 호출이므로 지연/실패 가능성이 있습니다.
@@ -48,16 +48,19 @@
 
 ### 4.2 권한/정책 SoT
 - **1순위: Keto(ReBAC) 관계 튜플**
-  - 리소스 접근 권한의 최종 판단 기준
+  - 리소스 접근 권한의 최종 판단 기준.
+  - **유저 그룹 상속:** 사용자가 속한 유저 그룹에 부여된 권한은 Keto를 통해 실시간으로 상속됩니다.
+  - **그룹장-어드민 연동:** 유저 그룹의 장(Leader)은 해당 그룹(테넌트)의 어드민 권한을 자동으로 가집니다.
 - **2순위: RBAC(Role)**
-  - 전역/상위 정책의 단축 규칙
-  - ReBAC와 충돌 시, ReBAC 결과가 항상 우선
+  - 전역/상위 정책의 단축 규칙.
+  - ReBAC와 충돌 시, ReBAC 결과가 항상 우선.
 
 ### 4.3 테넌트 컨텍스트 SoT
-- **1순위: 서버 측 프로필(예: UserProfile.tenantId)**
+- **1순위: 서버 측 프로필 및 상속된 권한 (ManageableTenants)**
+  - 사용자의 기본 `tenantId`뿐만 아니라, 유저 그룹을 통해 **상속받은 관리 가능 테넌트 목록** 전체를 기준으로 판단합니다.
 - **2순위: 요청 헤더(X-Tenant-ID)**
-  - 헤더는 "요청 의도"를 나타내지만, 항상 서버 프로필과 일치해야 함
-  - 불일치 시 차단
+  - 헤더는 "요청 의도"를 나타내며, `ManageableTenants` 목록에 포함된 ID여야 합니다.
+  - 불일치 시 차단.
 
 ### 4.4 OIDC/RP 정보 SoT
 - **1순위: Hydra Client/Consent 데이터**