Use-Case 1: Stellvertreterregelung eines Kundenberaters bei einer Privatbank

Kundenberater haben ihr eigenes Set an zu verwaltenden Kunden, auf deren verteilte Daten (Konti, Beziehungen, Archive) nur sie und allenfalls auch Teamleiter Zugriff haben. Aus diversen Gründen (wie Ferien, Krankheit) sind zeitlich begrenzte Stellvertreterregelungen nötig und unterschiedlichste Personen benötigten temporären Datenzugriff.

Wie nun Kontext und Regeln für diesen Use-Case aussehen könnten, ist in der nachfolgenden Umsetzung als Beispiel beschrieben.

Query - Externer Kontext

Die Query für diesen Use-Case enthält die Benutzerkennung des Kundenberaters, für welchen die Entscheidung getroffen werden muss, sowie die angefragte Kundennummer:
{
“user”: “user-id-1”,
“customer”: “customer-id-2”
}

Data - Interner Kontext

Für Use-Case 1 wird im Data-Teil als interner Kontext ein Mapping der Benutzerkennung zu erlaubten Kundennummern inkl. Gültigkeit gespeichert:

user-id-x: Registrierte Kundenberater
customer-id-x: Gespeicherte Kundennummern

[
“user-id-1”:
[
“customer-id-1”:
{
“from”: “01.01.2023”,
“until”: “31.12.2023”
},
“customer-id-2”: {
“from”: “20.03.2023”,
“until”: “26.03.2023”
}
],
“user-id-2”:
[
“customer-id-2”:
{
“from”: “01.01.2023”,
“until”: “31.12.2023”
}
]
]

Policy / Decision - Entscheidung

Somit hat der OPA alle Kontextdaten, um eine Entscheidung über den Zugriff auf den definierten Kunden zu treffen. Die Policy dazu sieht in Rego-Code wie folgt aus:
main {
is_customer_allowed
is_date_in_range
}

is_customer_allowed {
acc := data[input.user][input.customer]
acc != null
}

is_date_in_range {
acc := data[request.user][input.customer]
from := time.parse_ns(“dd.MM.yyyy”, acc.from)
until := time.parse_ns(“dd.MM.yyyy”, acc.until)
now := time.now_ns()
from < now ; until > now
}

Die Policy evaluiert in diesem Fall wie folgt:

is_customer_allowed: Hat der Benutzer (user-id-1) eine Berechtigung auf den abgefragten Kunden / dessen Daten (customer-id-2)? → TRUE
is_date_in_range: Befindet sich das aktuelle Systemdatum (Bsp: 05.04.2023) im Range für den erlaubten Zugriff? → FALSE (Das Datum 05.04.2023 ist ausserhalb des Bereiches 20.03.2023 bis 26.03.2023, und somit hat user-id-1 keinen Zugriff mehr auf die customer-id-2).