Границы домена
Зачем нужно
Документ фиксирует, чем владеет identity, кто использует домен, какие соседние домены от него зависят и какие решения нельзя переносить внутрь identity.
Кто использует
- пользователь;
- ребёнок;
- родитель;
- преподаватель;
- самозаявленный преподаватель;
- внешний преподаватель;
- администратор;
- support;
- сервисы экосистемы;
- плагины;
- внешние OAuth/OIDC clients.
Что входит
Аккаунт и профиль
Identity владеет аккаунтом пользователя, контактами, профилем, avatar/display name, кастомными полями, educator_profile и настройками безопасности.
Вход и сессии
Identity владеет регистрацией, входом, auth flow, JWT, refresh token rotation, sessions, saved accounts, logout, reset password и verification codes.
Доступ
Identity владеет ролями, permissions, user role assignments, организационными и командными ролями, семейным доступом и actor context.
Семьи
Identity владеет семейной группой, связями взрослых с семьёй, student_profile детей, linked child user references, delegated sessions и child device authorization. Родительский контроль сервисов не входит в обязательную MVP-модель Family Group и требует отдельного решения.
Организации
Identity владеет организациями как access/context layer: organization_reference, organization, membership, invitations, ownership claims, ownership transfers, organization roles, teams, permission grants, organization students, duplicate status and manual merge lifecycle.
OAuth/OIDC
Identity владеет OAuth clients, authorization codes, refresh tokens, consent, OIDC discovery, JWKS, introspection и revocation.
Временный platform host
identity-api временно хостит platform-owned endpoints для settings, navigation, pages config, i18n, plugin registry, transports и notifications. Ownership остаётся у platform-слоя по ADR-035; identity владеет только security audit logs, auth event logs и OAuth/OIDC.
Что не входит
| Зона | Владелец | Почему не identity |
|---|---|---|
| Продукты, цены, покупки, entitlement | CRM / billing / product contour | Identity только проверяет пользователя и роль, но не решает, что куплено |
| Курсы, уроки, прогресс | LMS | Identity не владеет учебным состоянием |
| Learning Workspace, рабочие группы и участники | LMS | Identity отдаёт пользователя, анкету и access scopes, но не в�ладеет рабочими группами преподавателя |
| Олимпиадные участники и результаты | competitions | Identity даёт аккаунты и доступ, но не владеет участием |
| Учебный прогресс и enrollments | LMS | Identity может дать student_profile или organization_student context, но не ведёт прогресс |
| Organization-scoped подборки задач | task-bank | Identity даёт organization/team/grant context, но не владеет задачами и подборками |
| Platform settings, navigation, pages config, plugins, notifications | platform | Identity может временно хостить runtime API, но не является владельцем данных |
| Публичные профили и витрина | storefront | Identity хранит базовые профили и consent, но не владеет публичной упаковкой |
| Аналитика и планирование | management | Identity отдаёт события, но не строит управленческие выводы |
| Задачи и решения | task-bank | Identity не владеет образовательным контентом |
Главные правила
Userне равен роли, родителю, ребёнку, преподавателю, клиенту или учас�тнику олимпиады.- Роль отвечает на вопрос “что можно делать”, а не “кем является человек в бизнесе”.
- Глобальной роли
teacherнет; преподавательский доступ определяется assignment/membership/grants/product permissions. educator_profileне выдаёт прав.- Learning Workspace — единый преподавательский режим, где организация и площадка выбираются как вложенные scopes/подслои.
- Family context и organization context не смешиваются.
organization_studentне смешивается с familystudent_profile,learning_group_participant,competition_participantилиlms_enrollment.organization_referenceне даёт прав.- Product domains consume organization context and own their product entities.
- Actor context фиксирует действие в контексте ребёнка или организации без подмены
userId. - Доступ в соседний домен состоит из identity claims + локальных правил соседнего домена.
- Identity не хранит оплату, учебный прогресс, результаты олимпиад и публичную SEO-структуру.
Контексты действия
Таблица ниже описывает технические access contexts для проверок и audit. В пользовательском интерфейсе преподавательский режим остаётся одним: организация, команда и площадка выбираются внутри Learning Workspace как scopes/подслои, а не как отдельные пользовательские режимы.
| Контекст | Что означает | Пример |
|---|---|---|
| Personal | пользователь действует от своего имени | открыть профиль, сменить пароль |
| Family adult | взрослый действует в семейном контексте | посмотреть ребёнка, управлять доступом |
| Child delegated | взрослый открывает детский режим для student_profile без подмены своего user_id | открыть детский кабинет |
| Educator workspace | пользователь работает в преподавательском режиме; organization scope может быть выбран внутри | открыть Learning Workspace |
| Organization member | пользователь действует в scope выбранной организации | управлять официальными учениками школы |
| Team member | пользователь действует в команде организации | работа внутри конкретной команды |
| Admin | системный администратор действует по правам | изменить роль, заблокировать пользователя |
| OAuth client | внешний сервис действует через токен | получить userinfo |
| Plugin | плагин действует в разрешённом sandbox | отправить OTP через transport |
Готовность
- у каждой сущности указан владелец;
- соседние домены не копируют identity-сущности как собственный источник истины;
- семейный, организационный и административный доступ различаются;
- контекст действия передаётся в audit и в проверки доступа;
- пользователь может быть связан с несколькими ролями и контекстами без создания дублей аккаунта.