Vpeljava sistema za politiko dostopa v avtorizacijski proces obstoječega sistema

V našem podjetju smo se soočali z izzivi pri avtorizaciji poslovne logike, kar je vplivalo na učinkovitost in varnost naših storitev. Da bi izboljšali ta proces, smo raziskali različne pristope in orodja za avtorizacijo ter se osredotočili na enostavnost in hitrost vpeljave. Odločili smo se za rešitev z uporabo Open Policy Agent (OPA), ki jo bomo predstavili v članku. OPA je odprtokodno orodje za enotno politiko avtorizacije, ki omogoča centralizirano izvajanje politik. Politike dostopa v OPA so napisane v jeziku Rego, kar omogoča fleksibilno pisanje pravil za avtorizacijo. Predstavili bomo tudi OPAL (OPA Policy Administration Layer), ki omogoča dinamično posodabljanje politik dostopa brez prekinitev delovanja storitev. OPA v naši infrastrukturi deluje kot Policy Decision Point (PDP), odgovoren za sprejemanje odločitev glede avtorizacije. Uporabljamo decentraliziran pristop, kjer je PDP implementiran kot "sidecar" ob posameznih storitvah, kar zagotavlja hitrejše odzivne čase in boljšo porazdelitev obremenitve. V članku bomo predstavili tudi spremembe in izzive pri razvoju sistema, saj je ločeno pisanje avtorizacijskih politik sprva povzročalo nekaj preglavic, predvsem v obliki pozabljenih politik dostopa in zavrnjenih zahtevkov.