[DOCS] 更新 RBAC 實作規範與角色初始化流程建議

2026-03-19 17:18:21 +08:00
parent 5548bb1cc9
commit f00fc940a9
13 changed files with 474 additions and 74 deletions
--- a/.agents/rules/rbac-rules.md
+++ b/.agents/rules/rbac-rules.md
@@ -1,3 +1,7 @@
+---
+trigger: always_on
+---
+
 # 多租戶與權限架構實作規範 (RBAC Rules)

 本文件定義 Star Cloud 系統的多租戶與權限（RBAC）實作標準，開發者必須嚴格遵守以下準則，以確保資料隔離與安全性。
@@ -50,3 +54,17 @@
 ## 4. API 安全
 - 所有的 API Route 應預設包含 `CheckTenantAccess` Middleware。
 - 嚴禁透過 URL 修改 ID 存取不屬於該租戶的資料，必須依賴 `company_id` 的 Scope 過濾。
+
+---
+
+## 5. 客戶初次建立與角色初始化 (Role Provisioning)
+
+### 5.1 初始角色建立
+當系統管理員為新客戶（該租戶尚未有任何角色）建立第一個帳號時，應遵循以下邏輯：
+1.  **選取範本**：從系統預設的「全域角色範本」（`company_id = null` 且 `is_system = 0`）中選取一個作為基礎。
+2.  **自動克隆**：系統會將該範本的權限內容複製一份至該租戶下。
+3.  **統一命名**：克隆後的角色名稱在該租戶公司內應統一命名為**「管理員」**。
+4.  **帳號綁定**：該新客戶帳號將被指派至此新建立的「管理員」角色。
+
+### 5.2 角色權限維護
+- 初始建立後，該租戶的「管理員」角色即成為獨立資源，可由具有權限的帳號進行細部調整。