1) دامنه و اصول کلیدی

• کمترین دسترسی لازم (Least Privilege): هر کاربر فقط مجوزهایی دارد که برای انجام وظیفه‌اش لازم است.

• تفکیک وظایف (SoD): وظایف حساس بین افراد/نقش‌های جدا تقسیم می‌شود تا خطا/سوءاستفاده کاهش یابد.

• قابلیت حسابرسی (Auditability): همه‌ی اعمال حساس ثبت می‌شود و قابل رهگیری است.

• سازگاری چندسکویی: همان سیاست‌ها در وب‌اپ، موبایل و کانال‌های پیام‌رسان (تلگرام، واتس‌اپ، بله، روبیکا، اینستاگرام) اعمال می‌شود.

• چندمستاجری (Multi-Tenant): داده و سیاست‌های هر سازمان از دیگران کاملاً جداست.

2) سطوح دسترسی و محدوده‌ها (Scopes)

• سازمانی/برند → استان/شعبه → دپارتمان/ردیف خدمت → رکورد (رزرو/مشتری) → فیلد (ماسک‌کردن PII).

• شرط‌ها (ABAC): دسترسی می‌تواند به شرایطی مانند محدوده زمانی، آدرس IP/جغرافیا، نوع دستگاه، وضعیت شیفت وابسته باشد.

• دسترسی زمان‌دار: اعطای دسترسی با تاریخ انقضا (Temporary Access).

• حریم داده: مشاهده‌ی فیلدهای حساس (مثلاً شماره تماس) قابل ماسک/عدم نمایش است.

3) مدل نقش‌ها (RBAC + ABAC)

3.1 نقش‌های پیشنهادی (قابل‌سفارشی‌سازی)

• Owner (مالک): اختیار کامل سازمان، مدیریت صورتحساب/اقامتگاه داده/کلیدها.

• Admin (مدیر سیستم): پیکربندی، مدیریت کاربران/نقش‌ها، یکپارچه‌سازی‌ها.

• Manager (مدیر عملیات): مدیریت شعب/ظرفیت/تقویم، تأیید تغییرات حساس عملیاتی.

• Agent/Frontdesk (اپراتور): ایجاد/ویرایش/لغو رزرو در محدوده‌ی شعبه/شیفت خود.

• Provider (ارائه‌دهنده خدمت/مربی/پزشک): مشاهده/مدیریت برنامه شخصی، یادداشت‌های مجاز.

• Support (پشتیبانی سازمان): پاسخ به تیکت‌ها، بدون دسترسی به تنظیمات حساس مگر با اجازه‌ی زمان‌دار.

• Analyst (تحلیل‌گر): دسترسی فقط-خواندنی به گزارش‌ها و داده‌های ناشناس.

• Content Editor: مدیریت آموزش‌ها/مستندات/مرکز دانش.

• Integrator/Developer: مدیریت API Keyها، وب‌هوک‌ها، تست یکپارچه‌سازی در محیط‌های مجزا.

3.2 مجوزهای نمونه (گزیده)

• رزرو: ایجاد/ویرایش/لغو/جابجایی/تأیید/برون‌بری.

• مشتریان: ایجاد/ویرایش، مشاهده‌ی PII (ماسک/نمایش)، برون‌بری محدود.

• ظرفیت/تقویم: تعریف بازه‌ها، تعطیلات، قوانین هم‌پوشانی.

• گزارش‌ها: مشاهده کل/شعبه/دپارتمان، دسترسی به داده‌ی خام یا تجمعی.

• تنظیمات امنیتی: مدیریت MFA، سیاست رمز، محدوده‌ی IP، سشن‌ها.

• محتوا/دانش: ایجاد/انتشار/بایگانی آموزش‌ها و مقالات.

• یکپارچه‌سازی: ساخت/چرخش توکن، امضای وب‌هوک، محدودیت IP.

3.3 نقش‌های سفارشی و بسته‌های مجوز

• امکان ساخت Role Template‌های سازمانی و ترکیب مجوزها؛ ذخیره به‌عنوان الگو برای شعب/برندهای دیگر.

• Two-Person Rule برای برخی اعمال حساس (مثلاً برون‌بری انبوه PII یا تغییر قوانین لغو): نیاز به تأیید نفر دوم.

4) احراز هویت و نشست (Auth & Session)

• SSO (OIDC/SAML) اختیاری؛ MFA اجباری برای Owner/Admin و توصیه‌شده برای سایر نقش‌ها.

• سیاست نشست: انقضای زمان بی‌کاری، عدم‌مصونیت مرورگرهای ناشناس، پایان‌دادن از راه دور (Revoke All Sessions).

• سیاست رمز عبور: طول/پیچیدگی حداقلی، منع تکرار، انقضای دوره‌ای (در صورت نیاز).

• اعتماد دستگاه و محدوده IP/Geo: امکان تعریف لیست سفید/سیاه و محدودسازی جغرافیایی برای نقش‌های حساس.

• آفلاین/Standalone: فقط عملیات ضروری عملیات‌محور (مثلاً ثبت رزرو)؛ تنظیمات مدیریتی/امنیتی در حالت آفلاین غیرفعال.

5) کلیدها، توکن‌ها و حساب‌های سرویس

• API Tokens با Scope و انقضا: هر کلید فقط به منابع لازم دسترسی دارد؛ چرخش دوره‌ای اجباری.

• Service Accounts: برای یکپارچه‌سازی‌های دائمی با کمترین سطح مجوز.

• Webhook Security: امضای HMAC، توکن‌های کوتاه‌عمر، امکان لیست سفید IP.

• ثبت و هشدار: استفاده/نشت احتمالی توکن‌ها پایش و هشداردهی می‌شود.

6) فرآیندهای اعطا/تغییر/لغو دسترسی

• درخواست دسترسی: از طریق داشبورد؛ انتخاب نقش/محدوده/زمان انقضا.

• تأیید سیستمی: مسیر تأیید تک‌مرحله‌ای یا دو‌مرحله‌ای برحسب ریسک.

• غیرفعالسازی خودکار: در پایان قرارداد/شیفت/زمان انقضا.

• On/Off-boarding: واردسازی/حذف کاربر انبوه، SCIM (در صورت استفاده از SSO).

• بازبینی دوره‌ای (Access Review): فصلی/ماهانه با گزارش اختلاف‌ها و پیشنهاد لغو اضافات.

7) دسترسی نمایندگی (Impersonation) برای پشتیبانی

• فقط با رضایت ثبت‌شده مالک/مدیر و زمان‌دار.

• نشان‌گر واضح در رابط کاربری («در حال مشاهده به‌جای…») و لاگ کامل تمام عملیات.

• پایان خودکار و امکان قطع فوری توسط مالک.

8) محدودسازی ریسک و محافظت‌های تکمیلی

• نرخ‌دهی و ضد Brute-Force روی ورود/اقدامات حساس.

• قواعد صادرات داده: اندازه/فرکانس/قالب محدود، نیاز به تأیید برای انبوه.

• Field-Level Privacy: ماسک PII برای نقش‌های غیرمجاز؛ نمایش کامل فقط با توجیه و ثبت.

• Geofencing عملیاتی: برخی اعمال (مثل تغییر سیاست‌ها) محدود به شبکه‌های مورد اعتماد.

9) حسابرسی، گزارش و شفافیت

• Audit Trail تغییرات حساس: نقش، زمان، منبع، مقدار قبل/بعد.

• گزارش‌های آماده: تغییر نقش‌ها، شکست ورود، برون‌بری‌ها، استفاده از توکن‌ها.

• هشدارها: تغییر نقش Admin، غیرفعال‌شدن MFA، تلاش‌های ورود مشکوک، استفاده خارج از محدوده‌ی IP.

10) چندسکویی و کانال‌های پیام‌رسان

• نگاشت هویت به کانال: ورود از تلگرام/واتس‌اپ/بله/روبیکا با پیوند هویت؛ لغو دسترسی از مرکز، همه کانال‌ها را بی‌اعتبار می‌کند.

• قیود کانالی: اعمال حساس فقط در وب‌اپ/موبایلِ احراز هویت‌شده؛ کانال‌های پیام‌رسان برای عملیات کم‌ریسک (مثلاً تأیید/لغو رزرو با احراز مجدد).

11) سناریوهای نمونه

• زنجیره آموزشگاه چندشعبه:

  • Owner: کل سازمان.

  • Manager شعبه: ظرفیت/تقویم همان شعبه.

  • Frontdesk: رزرو و مشتریان شعبه، بدون برون‌بری PII.

  • Content Editor: آموزش‌ها؛ بدون دسترسی رزرو.

• کلینیک:

  • پزشک: برنامه خود و سوابق مرتبط (بدون دیدن داده‌های سایر پزشکان).

  • پذیرش: ایجاد/جابجایی رزرو، مشاهده PII ماسک‌شده.

  • تحلیل‌گر: گزارش‌های تجمیعی بدون PII.

12) چک‌لیست استقرار سریع

1. فعال‌سازی MFA برای Owner/Admin و تعریف نقش‌های پیش‌فرض.

2. تنظیم محدوده‌های دسترسی (شعب/برندها) و ماسک PII برای غیرضروری‌ها.

3. تعریف فرآیند درخواست/تأیید دسترسی و زمان‌انقضا.

4. محدودسازی برون‌بری داده و فعال‌سازی هشدار برای رویدادهای حساس.

5. پیکربندی IP Allowlist/Geo برای نقش‌های مدیریتی.

6. برنامه بازبینی فصلی دسترسی‌ها و گزارش‌های حسابرسی.

7. مستندسازی پروتکل Break-Glass و تمرین دوره‌ای.

13) نمودارهای پیشنهادی (برای درج در مستندات UML)

• Use Case: «مدیریت نقش‌ها و محدوده‌ها».

• Sequence: «درخواست ارتقای دسترسی با تأیید دو‌مرحله‌ای».

• Activity: «جریان Impersonation پشتیبانی با رضایت و انقضا».

• Component: «IAM / Policy Engine / Audit / Integration Keys».