私は、セキュリティの世界では難しいと思われる仕事を任されています。問題は、次のような Web サイトを構築することです。
- 複雑な ACL と表示権限。例えば。顧客の取引履歴は、顧客サポート エージェントのポータルにのみ表示する必要があります。
- マルチブランド。例えば。カスタマー サポート エージェントが Microsoft である場合、そのエージェントは、そのサブセットのユーザーのみにアクセスできるようにし、サイトのルック アンド フィールを自社のブランドに合わせる必要があります。エージェントが Apple の場合は、顧客とブランドに対しても同様に行います。
項目 1 は標準セキュリティです。項目 2 (マルチブランディング) は、物事を複雑にしすぎているようです。
上記の要件を満たすには、各ポータルとアクセス要求で、表示されるブランド、ユーザーの役割、オブジェクト、および特定のブランドへのメンバーシップなどを考慮する必要があるようです。
上記に対処するにはどうすればよいですか?安全な複数ブランドのサイトを構築する方法に関する文献はありますか?