1
0
forked from baron/baron-sso

DevFront RP 관계 설정 문서 작성

This commit is contained in:
2026-04-20 10:31:04 +09:00
parent a79c350831
commit 6322ff5630
3 changed files with 174 additions and 0 deletions

View File

@@ -62,6 +62,7 @@ classDiagram
consent_viewer: User[]
consent_revoker: User[]
relationship_viewer: User[]
audit_viewer: User[]
status_operator: User[]
-- Permits --
view: admins OR direct operator relations OR parents.view OR parents.view_dev_console
@@ -74,6 +75,7 @@ classDiagram
view_consents: consent_viewer OR revoke_consents OR manage
revoke_consents: consent_revoker OR manage
view_relationships: relationship_viewer OR parents.grant_dev_permissions OR manage
view_audit_logs: audit_viewer OR manage
change_status: status_operator OR manage
access: access OR manage
}
@@ -111,6 +113,7 @@ classDiagram
- `manage` (관리): 앱의 직접 관리자(`admins`) 또는 **이 앱을 소유한 테넌트(parents)에서 관리 권한을 가진 자**가 관리할 수 있습니다.
- `edit_config`, `rotate_secret`, `operate_jwks`, `revoke_consents`, `change_status`: 각 직접 relation 또는 `manage`로 판정합니다.
- `view_relationships`: 직접 `relationship_viewer`, 상위 tenant의 `grant_dev_permissions`, 또는 `manage`로 판정합니다.
- `view_audit_logs`: 직접 `audit_viewer` 또는 `manage`로 판정합니다.
- `access` (접근/로그인 가능 여부): 이 앱에 직접 접근 권한을 부여받은 유저/그룹(`access`), 또는 앱을 관리할 수 있는 권한(`manage`)을 가진 사람이 접근할 수 있습니다.
- _접근 대상(access)은 특정 유저, 특정 테넌트의 전 멤버, 또는 전역 인증된 유저(System:authenticated_users)가 될 수 있습니다._