Архитектура scope.kz (single-tenant v1)¶
Explanation · 2026-05-30
Что такое scope.kz¶
Browser-based PAM (Privileged Access Management): RDP, SSH, SFTP/VNC через веб без установки клиента на рабочую станцию. Сессии проходят через broker (FastAPI), аудитируются, доступ регулируется RBAC и grants.
Компоненты¶
flowchart LR
Browser[Browser SPA]
API[FastAPI API]
WS[WebSocket broker]
Guacd[guacd RDP]
SSH[asyncssh SSH/SFTP]
PG[(PostgreSQL)]
Mongo[(MongoDB audit)]
Browser --> API
Browser --> WS
WS --> Guacd
WS --> SSH
API --> PG
API --> Mongo
| Слой | Технология |
|---|---|
| Frontend | React SPA на scope.kz |
| API | FastAPI, JWT + 2FA |
| RDP | guacamole / guacd |
| SSH/SFTP | asyncssh |
| Identity | PostgreSQL (users, resources, permissions) |
| Audit | MongoDB + structlog |
Модель доступа¶
- Роли: super_admin > admin > user.
- Permissions (grants) связывают user ↔ resource с credential_mode и expiry.
- super_admin — implicit connect ко всем ресурсам.
- JIT — Access Request → approve super_admin → временный grant.
Подробнее: reference/rbac-matrix.md.
Сайты (текущее и план)¶
| Host | Сегодня | План |
|---|---|---|
| scope.kz | PAM console (Dashboard на /) | Marketing landing |
| app.scope.kz | — | SPA после split |
| docs.scope.kz | — | MkDocs из docs/ |
Marketing mockup: Documentation/scope.kz Design System/ui_kits/scope-marketing/ — тот же бренд, не деплоится.
Roadmap SaaS¶
Multitenant, billing, signup — после Phase 0 documentation (см. репозиторий Documentation/scope-kz-saas-multitenant-roadmap.md).