Безопасность и контроль доступа
Безопасность Synamcps строится на least privilege: токен только пересекает существующий ACL пользователя со своими scopes (read-only, конкретные storages, конкретные tools). Утечка токена не даёт больше прав, чем у владельца — обычно меньше.
Токены, которые сужают доступ, а не расширяют — плюс корпоративная идентичность и observability.
Permission-narrowing токены
Выпускайте короткоживущие токены с toolAllowlist, storageIds, maxMode и лимитами minute/hour/day + burst. Ротируйте или отзывайте через Admin API. Сбойный агент получает 429 вместо нагрузки на downstream.
Корпоративный auth и audit-сигналы
Аутентификация через OIDC, Keycloak, Google или Teleport Proxy JWT — плюс internal login для Admin UI. Prometheus /metrics и Redis TimeSeries отвечают, какой агент читал какой storage и как часто.