Основные правила
- Любой доступ к защищенным возможностям платформы должен проходить через проверенную identity и authentication flow.
- Доступы людей и машинных субъектов должны различаться по типам credential и политике жизненного цикла.
- Выдача и проверка токенов должна быть централизована и аудируема.
- Credentials не должны храниться и обрабатываться в публичной edge-части системы.
- Чувствительные шаги могут требовать challenge, подтверждения или уведомления.
- Доступ должен определяться не только identity, но и ролью, workspace, окружением и типом действия.
- Любое критичное изменение access-контекста должно оставлять audit trail.