Post

OpenFGA Docs

OpenFGA 공식 문서 정리

Posted Updated
By Sangmin Lee
13 min read
OpenFGA Docs

OpenFGA 소개

OpenFGA는 개발자를 위한 확장 가능한 오픈 소스 인증 시스템으로, 모든 종류의 애플리케이션에 대한 인증을 구현할 수 있으며 시간이 지나면서 복잡성이 증가함에 따라 원활하게 발전시킬 수 있다.

Google의 내부 승인 시스템인 Zanzibar에서 영감을 받아, OpenFGA는 관계 기반 액세스 제어를 사용하는데, 이를 통해 개발자는 역할 기반 액세스 제어를 쉽게 구현할 수 있으며 속성 기반 액세스 제어를 구현하기 위한 추가 기능을 제공한다.


OpenFGA 이점

  • 권한 부여 로직을 애플리케이션 코드 외부로 옮겨서 작성, 변경, 심사를 더 쉽게 만든다.
  • 단일 승인 솔루션을 표준화하여 속도를 높인다.
  • 보안 및 규정 준수 요구 사항을 준수하는 것이 더 쉬워지도록 권한 부여 결정과 감사 로그를 중앙에서 관리한다.
  • 권한 부여 정책을 발전시키는 것이 더 간단해지면서 제품이 더 빨리 발전할 수 있다.


OpenFGA 기능들

  • 다른 환경들(prod/testing/dev)과 유스케이스(내부 앱, 외부 앱, 인프라)의 권한 부여 관리를 위한 다중 스토어를 지원한다.
  • 상황적 튜플과 조건적 관계 튜플을 사용한 일부 ABAC(속성 기반) 시나리오 지원
  • Java, .NET, Javascript, Go, Python 지원
  • HTTP와 gRPC 제공
  • Postgres, MySQL, SQLite를 프로덕션 데이터 저장소로 사용할 수 있도록 지원하고, 비프로덕션 사용을 위한 메모리 내 데이터 저장소도 지원한다.
  • OpenFGA 스토어나, 테스트 모델, 가져오기/내보내기 모델들, 데이터를 관리하기 위한 CLI


Authorization Concepts

인증(Authentication)과 인가(Ahorization)

인증은 사용자의 신원을 보장한다. 인가는 사용자가 특정 리소스에 대해 특정 작업을 수행할 수 있는지 여부를 결정한다.


세분화된 인가 (FGA, Fine-Grained Authorization)

FGA는 특정 사용자에게 특정 리소스에서 특정 작업을 수행할 수 있는 권한을 부여하는 기능을 의미한다.

잘 설계된 FGA 시스템은 수백만개의 객체들과 사용자들의 권한을 관리할 수 있다. 이러한 권한은 시스템이 지속적으로 객체를 추가하고 액세스 권한을 업데이트함에 따라 빠르게 변경될 수 있다.

FGA의 대표적인 예로는 Google Drive가 있다. 접근 권한은 문서나 폴더에 부여할 수 있으며, 개별 사용자나 그룹 사용자에게도 부여할 수 있다. 또한, 새로운 문서가 생성되어 특정 사용자나 그룹과 공유되면 접근 권한은 정기적으로 변경된다.


역할 기반 접근 제어 (RBAC, Role-Based Access Control)

RBAC에서는 시스템 내에서의 역할에 따라 사용자에게 권한이 할당된다. 예를 들어, 사용자가 내용을 수정하기 위해서는 editor 역할이 필요하다.

RBAC 시스템을 사용하면 사용자, 그룹, 역할 및 권한을 정의하고 중앙화된 위치에 저장할 수 있다. 애플리케이션은 해당 정보에 접근하여 권한 부여 결정을 내린다.


속성 기반 접근 제어 (ABAC, Attribute-Based Access Control)

ABAC에서는 권한은 사용자나 리소스가 소유한 속성 집합을 기반으로 부여된다. 예를 들어, marketingmanager 속성이 할당된 사용자는 marketing 속성이 있는 게시물을 삭제할 수 있는 권한이 있다.

ABAC를 구현하는 애플리케이션은 권한 부여 결정을 내리기 위해 RBAC 서비스, 사용자 디렉토리, 애플리케이션별 데이터 소스 등 여러 데이터 소스에 저장된 정보를 검색해야 한다.


정책 기반 접근 제어 (PBAC, Policy-Based Access Control)

PBAC는 애플리케이션 코드 외부에서 중앙 집중식으로 권한 부여 정책을 관리하는 기능이다. ABAC의 대부분 구현은 PBAC이기도 하다.


관계 기반 접근 제어 (ReBAC, Relationship-Based Access Control)

ReBAC를 사용하면 사용자 액세스 규칙이 특정 사용자와 특정 객체 간의 관계 및 해당 객체와 다른 객체 간의 관계에 따라 달라질 수 있다. 예를 들어, 특정 사용자는 해당 문서의 상위 폴더에 대한 접근 권한이 있는 경우에만 해당 문서를 볼 수 있다.

ReBAC는 RBAC의 상위 집합이다. ReBAC을 사용하여 RBAC를 구현할 수 있다. ReBAC는을 사용하면 속성을 관계의 형태로 표현할 수 있는 경우에도 기본적으로 ABAC를 해결할 수 있다. 예를 들어, ‘사용자 관리자’, ‘상위 폴더’, ‘문서 소유자’, ‘사용자 부서’ 등을 관계로 정의할 수 있다.

OpenFGA는 조건이나 상황적 튜플을 사용하여 추가적인 ABAC 시나리오를 표현하는 것을 더 간편하게 만들어 ReBAC를 확장한다.

ReBAC는 권한 부여 정책이 중장 집중화되어 있으므로 PBAC로 간주될 수도 있다.


Zanzibar

Zanzibar는 구글의 글로벌 권한 부여 시스템이다. 이는 ReBAC을 기반으로 하며 객체-관계-사용자 튜플을 사용하여 관계 데이터를 저장한 다음 사용자와 객체 간의 일치 여부를 확인하기 위해 해당 관계를 검사한다. Zanzibar 기반의 ReBAC 시스템은 권한 부여 결정을 내리는데 필요한 데이터를 중앙 데이터베이스에 저장한다. 애플리케이션은 API를 호출하기만 하면 권한 부여 결정을 내릴 수 있다.

OpenFGA는 Zanzibar 기반 인증 시스템의 예시이다.


OpenFGA Concepts

OpenFGA 서비스는 객체와 사용자 사이에 관계가 있는지 여부를 판단하여 인가 확인에 응답한다. 검사는 인가 권한을 위해 관계 튜플에 대한 인가 모델을 참조한다. 아래에는 타입 및 인가 모델과 같은 기본 FGA 개념에 대한 설명과 지식을 테스트할 수 있는 playground를 설명한다.


Type

Type은 문자열이다. 이는 유사한 특성을 가진 객체의 클래스를 정의한다.

ex. workspace , repository , organization , document


Type Definition

Type Definition 사용자 또는 다른 객체가 이 type과 관련하여 가질 수 있는 모든 관계를 가진다.

Type Definition 예시는 다음과 같다.

1
2
3
4
5
6

type document
  relations
    define viewer: [user]
    define commenter: [user]
    define editor: [user]
    define owner: [user]


Authorization Model

Authorization Model은 하나 이상의 type definitions를 결합한 것이다. 시스템의 권한 모델을 정의하는 데 사용된다.

Authorization Model 예시는 다음과 같다.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

model
  schema 1.1

type document
  relations
    define viewer: [domain#member, user]
    define commenter: [domain#member, user]
    define editor: [domain#member, user]
    define owner: [domain#member, user]

type domain
  relations
    define member: [user]

type user
  • 인가 모델은 관계 튜플과 함께 사용자와 객체 간의 관계가 있는지 여부를 판별한다.
  • OpenFGA는 인가 모델을 정의하기 위해 JSON 이나 DSL을 사용한다.


Store

Store는 인가 확인 데이터로 구성되는 OpenFGA 엔티티이다.

각 저장소는 여러 버전의 인가 모델을 포함하고 다양한 관계 튜플을 포함할 수 있다. 저장소 데이터는 저장소끼리 공유할 수 없다. 관련되거나 인가 결과에 영향이 있는 모든 데이터들은 하나의 저장소에 저장하는 것을 권장한다. 별도의 인가 요구 사항이나 격리된 환경에 대해 별도의 저장소를 생성할 수도 있다.


Object

Object는 시스템 내의 엔티티를 나타낸다. 사용자와 서비스의 관계는 관계 튜플과 인가 모델을 통해 정의된다.

Object는 type과 id의 조합이며, 예시는 다음과 같다.

  • workspace:fb83c013-3060-41f4-9590-d3233a67938f
  • repository:auth0/express-jwt
  • organization:org_ajUc9kJ
  • document:new-roadmap

user, relation, object는 relationship tuples의 구성 요소이다.


User

user는 object와 관련될 수 있는 시스템 내의 entity이다.

user는 type, id, relation의 결합이며, 예시는 다음과 같다.

  • identifier 예시 : user:anne , user:{UUID}
  • object 예시 : workspace:{UUID} , repository:auth0/express-jwt , organization:org_ajUc9kJ
  • user의 그룹 예시 : organization:org_ajUc9kJ#members (org_ajUc9kJ와 관련된 member)
  • 모든 : *


Relation

relation은 authorization model의 type definition으로 정의된 문자열이다. relations는 시스템의 object와 user 사이의 접근 가능한 관계를 정의한다. relation의 예시는 다음과 같다.

  • 사용자는 문서의 reader 가 될 수 있다.
  • 팀은 저장소의 administer 가 될 수 있다.
  • 사용자는 팀의 member 가 될 수 있다.


Reference

https://openfga.dev/docs/fga

openfga
openfga permission authorization
This post is licensed under CC BY 4.0 by the author.