Permessi e Policy Menu¶
Livelli controllo¶
- ruoli FAB (can_list, can_show, ...)
- vincoli host/context (control plane vs tenant)
- policy menu (visibilita voci)
Obiettivo¶
- tenant deve vedere solo menu rilevanti;
- funzioni globali solo su control plane;
- super admin con privilegi estesi ma tracciabili.
Pratica consigliata¶
- prima nascondere menu non necessari;
- poi aggiungere policy esplicite di allow;
- usare deny esplicito per voci sensibili.
Verifica¶
- login come admin control plane;
- login come admin tenant;
- confronto menu e accessi effettivi;
- loggare mismatch e correggere policy.
Cosa fanno i livelli di controllo¶
Ruoli FAB¶
Governano i permessi tecnici su view ed endpoint applicativi.
Vincoli host/context¶
Separano il comportamento tra control plane e tenant operativo.
Policy menu¶
Governano quali voci di menu sono visibili per ruolo, gruppo, utente e tenant.