Limitation with deleting of members within an authorization
Enviroment: Self Hosting
Stack: App written with PHP
User-case:
-German-
Ist Zustand:
Aktuell habe ich ein hässliches gebastel mit Wordpress, Groups und Rolen gemacht.
Folgende Architektur habe ich aktuell und würde ich auch gerne mit Zitadel ähnlich erreichen wollen:
- Einzigartige Benutzer
- Rollen wie: Operator, Service
- Tentants: Customer A, Customer B
Ein Benutzer kann aktuell mehrere Rollen haben (z.b. Operator), ein Benutzer kann aber auch mehrere Tenants haben.
Hat dieser mehrere Tentants, so kann in einem Dropdown gewechselt werden.
Was habe ich bisher erreicht?
Eigentlich hätte ich mein Setup mit Zitadel soweit genau so, wie ich es machen wollen würde.
Meine Idee war, das es mehrere Organisationen gibt. Eine Hauptorganisation für mich und den Userpool, in welchem auch das Projekt vorhanden ist.
Pro Tenant eine weitere Organisation, welche dann jeweils im Projekt mit den Rollen erlaubt werden kann.
Was will ich machen?
Ich will Benutzer von der Hauptorganisation als Berechtigung in der Suborganisation über da Projekt hinzufügen. Dadurch kann ich dynamisch sagen, welcher Benutzer der Hauptorganisation wie auf die einzelnen Tenants zugriff hat.
Was ist das Problem?
Die Tenants sollen die Benutzer jeweils in ihrer Organisation selber verwalten können, dies klappt auch, genau so wie die Rechte für das Projekt.
JEDOCH ist es nun so, das der "Admin" der Tenant Organisation in den Berechtigungen einfach den Benutzer der Hauptorganisation aus den Rechten werfen kann ...
Gibt es eine möglichkeit dies zu unterbinden, ODER gibt es eigentlich einen besseren Weg? Ich zerbreche mir seit Tagen den Kopf.
English in the next POST (Character limitation)
3 Replies
English translated with deepl:
Current State:
At the moment I have made an ugly tinkering with Wordpress, Groups and Rolen.
I currently have the following architecture and would like to achieve something similar with Zitadel:
- Unique users
- Roles like: Operator, Service
- Tentants: Customer A, Customer B
A user can currently have several roles (e.g. Operator), but a user can also have several Tentants.
If the user has several tentants, they can be changed in a dropdown.
What have I achieved so far?
Actually, I had my setup with Zitadel exactly the way I wanted to do it.
My idea was to have several organisations. A main organisation for me and the user pool, in which the project also exists.
A further organisation for each tenant, which can then be allowed in the project with the roles.
What do I want to do?
I want to add users from the main organisation as permissions in the sub-organisation via the project. This allows me to say dynamically which user in the main organisation has access to the individual tenants and how.
What is the problem?
The tenants should be able to manage the users in their organisation themselves, and this works, just like the rights for the project.
HOWEVER, it is now the case that the ‘admin’ of the tenant organisation can simply remove the user of the main organisation from the permissions ...
Is there a way to prevent this, OR is there actually a better way? I've been racking my brains for days.
Thank you for the great product.
As sidenote, the nextjs b2b app is kinda that what i want to achive with listing multiple "customers" etc.
But my main problem is currently, that anyone that has "grant management" for the organisation within the project, can remove users which does not belong to their organisation...
Hey @ICSharp! Have you explored the docs for granted projects? This might align with what you're looking for
Granted projects:
- https://zitadel.com/docs/concepts/structure/granted_projects
- https://zitadel.com/docs/guides/manage/console/projects#grant-a-project
yes i use it that way, but my main problem is, that users from a tenant can remove my user from my organisatiin within the granted project.
i mean, why can a manager of the organization B remove a User from Org A, which got granted rights within the Project inside the Org B. When i could enable, that an Manager of any Org. can only remove users from the same Org...