Net-Base Revista

22.05.2026

Desenvolupar software empresarial multitenant: arquitectura, model de dades i operació sense sorpreses

La capacitat multiarrendatària determina l'escalabilitat, els costos d'operació i la seguretat. Aquest article mostra com ha de planificar programari empresarial multiarrendatari perquè les dades quedin netament separades, els permisos siguin verificables i les actualitzacions es puguin desplegar sense interrupcions.

22.05.2026

Qui vulgui desenvolupar programari empresarial amb capacitat multi-tenant pren decisions d’arquitectura primerenques que després resulten gairebé impossibles de «reconfigurar». La capacitat multi-tenant no és només una qüestió de llicència o d’interfície d’usuari; afecta directament el model de dades, els permisos, les interfícies, els processos d’actualització, el suport i, no menys important, les proves de seguretat. A la pràctica, els projectes Multi-Tenant rarament fracassen per la lògica funcional en si, sinó per línies de separació poc clares: On comença exactament un tenant? Com s’aïllen les dades? Quins components poden operar entre tenants (p. ex. monitorització, backup, enviament de correus electrònics) – i com s’audita això?

Aquest article està dirigit a la direcció TIC, administradors i responsables tècnics de projecte. Descriu patrons provats, suposicions errònies típiques i qüestions de decisió concretes per a l’operació i l’evolució. El focus està deliberadament en les implicacions del dia a dia: provisionament de nous tenants, models de rols i permisos, migració de dades, operació d’interfícies, logging, Backup/RESTore i capacitat d’actualització. L’objectiu és una arquitectura que es mantingui viable a llarg termini – independentment que la solució s’executi com a sistema intern, en diversos àmbits del grup o més endavant com a plataforma allotjada.

Què significa realment la capacitat multi-tenant en el context empresarial

Mandantenfähigkeit (oft auch Multi-Tenancy genannt) bedeutet, dass eine Software mehrere organisatorisch getrennte Einheiten („Mandanten“) in einer gemeinsamen technischen Plattform abbildet. Ein Mandant kann ein Unternehmen, eine Tochtergesellschaft, ein Standort, ein Kunde oder ein Geschäftsbereich sein. Entscheidend ist: Mandanten dürfen keine Daten oder Funktionen des jeweils anderen Mandanten sehen oder beeinflussen, außer es ist explizit vorgesehen und geprüft (z. B. Konzernreporting).

En els projectes és útil definir la capacitat multi-tenant al llarg de tres eixos:

  • Aïllament de dades: Com s’assegura que les dades només siguin llegibles i escrivibles en el context del tenant correcte?
  • Identitat i permisos: Com s’assigna un usuari a un tenant, i com es validen rols/scopes?
  • Aïllament operatiu: Fins a quin punt han de poder els tenants influir mútuament en la càrrega, les incidències, les actualitzacions i les finestres de manteniment?

Aquests eixos condueixen a diferents configuracions. Per exemple, una solució pot separar les dades estrictament (bases de dades separades), però operar de manera fortament acoblada (desplegaments compartits, cua compartida, índexs de cerca compartits). Per als decisors és important entendre que la capacitat multi-tenant no és un «interruptor», sinó un espectre amb implicacions de cost i risc.

Decisions d’arquitectura per a programari empresarial multi-tenant

Abans d’ampliar taules o d’adaptar interfícies perquè siguin «multi-tenant», cal aclarir els límits del sistema: quins components pertanyen a la plataforma, quins s’han de configurar per tenant, i quines dades es poden analitzar centralment? En paisatges empresarials evolucionats també són crucials les connexions amb ERP, DMS, CRM o Identity Provider (IdP).

Single-Tenant vs. Multi-Tenant: funcionalment iguals, tècnicament molt diferents

Single-Tenant vol dir: per tenant una instància pròpia (com a mínim una base de dades pròpia, sovint també un stack d’aplicació independent). Multi-Tenant vol dir: diversos tenants comparteixen instàncies i infraestructura – amb separació lògica. Multi-Tenant sovint redueix l’esforç de desplegament i operació, però augmenta els requisits d’aïllament, cobertura de proves i observabilitat (visibilitat a través de logging/mètriques/tracing).

Un enfocament pragmàtic sovint és: «Multi-Tenant al codi, Single-Tenant en l’explotació» per a tenants crítics. Això vol dir: el codi gestiona els contextos de tenant de manera neta, però tenants individuals poden opcionalment operar-se de forma separada (p. ex., per raons de compliment o de rendiment). Tot i això, la configuració, el desplegament i el monitoratge han d’estar preparats des del principi per ambdues variants.

Context del tenant com a principi arquitectònic transversal

Molts errors es generen perquè el context del tenant només s’afegeix en punts aïllats (p. ex., filtres en SQL, paràmetres addicionals en serveis). És més estable quan el context del tenant es converteix en un principi transversal:

  • Cada sol·licitud té un tenant determinat de manera inequívoca (a partir de token/SSO, subdomini, capçalera, certificat de client o endpoint configurat).
  • El context del tenant es tracta en la lògica del servidor com una informació obligatòria (no hi ha tenants per defecte, no «si està buit, aleshores…»).
  • Les capes d’accés a dades i les interfícies imposen filtres o vinculació de tenant en lloc de fer-ho opcional.
  • El registre (logging) i l’auditoria inclouen tenant, usuari/compte de servei i ID de correlació, per tal que l’explotació i el suport puguin reconstruir què va passar.

Aquest enfocament de «context del tenant primer» redueix la classe d’errors que només es detecten en producció: reportings incorrectes, barreja accidental de dades, casos d’autenticació/autorització difícils d’explicar i rastres d’auditoria incomplets.

Model de dades: tres patrons d’aïllament comuns i les seves conseqüències

La decisió tècnica més important per a la capacitat multi-tenant és la gestió de les dades. Això condiciona còpia de seguretat/RESTauració, migracions, rendiment i proves de seguretat. En el fons hi ha tres patrons que també es poden combinar.

1) Base de dades per tenant

Cada tenant disposa d’una base de dades pròpia (o d’un cluster de bases de dades dedicat). Avantatges: aïllament molt clar, RESTauració per tenant senzilla, bona base per a finestres de manteniment diferenciades. Inconvenients: més càrrega de provisioning, més connexions, més migracions d’esquema i major complexitat operativa (p. ex., monitoratge sobre moltes bases de dades).

Casos d’ús típics: requisits de compliment molt estrictes, tenants amb volums de dades molt diferents o situacions en què els tenants necessiten cicles de llançament independents. Administrativament rellevant: calen automatitzacions sòlides per a actualitzacions d’esquema, gestió d’índexs, còpies de seguretat i permisos – altrament l’esforç creix exponencialment amb el nombre de tenants.

2) Esquema per tenant

Un servidor de bases de dades, però per tenant un esquema propi (o namespace). És una forma intermèdia d’aïllament: més separable que filtres per fila purs, però menys pesada que bases de dades completes. La còpia de seguretat/RESTauració per tenant és, segons la tecnologia de base de dades, possible però no sempre trivial. Les migracions són més fàcils de coordinar que en una «DB per tenant», però el nombre d’objectes continua sent elevat.

Important per a l’explotació: comprovar aviat com les eines de monitoratge, còpia de seguretat i migració gestionen molts esquemes, i si els informes estàndard i els accessos BI es poden representar de manera segura a través d’esquemes sense comprometre el marc de seguretat.

3) Taules compartides amb Tenant-ID (separació basada en files)

Tots els tenants comparteixen taules; cada fila porta una Tenant-ID. Això és eficient per a molts casos d’ús, redueix el nombre d’objectes i simplifica les migracions globals. Al mateix temps augmenta la responsabilitat de l’aplicació i/o de la base de dades per fer complir la separació de manera fiable.

Si utilitzeu separació basada en files, cal que prengueu especialment seriosament dos punts:

  • Aplicació tècnica: No us refieu només d’un “filtratge per Tenant-ID a tot arreu”. Utilitzeu, quan sigui possible, mecanismes de la base de dades com Row-Level Security (RLS; filtratge de files a nivell de base de dades basat en el context de sessió o en rols), vistes o security-policies. Quina opció és adequada depèn de la base de dades.
  • Efectes secundaris entre tenants: Clients grans poden influir en índexs, taxa d’encerts de cache i comportament de bloqueig. Això no és un criteri eliminatori, però cal tenir-ho en compte en la planificació de capacitat i en els tests.

Hybridmodelle: häufig realistischer als „entweder/oder“

En la pràctica són habituals els models híbrids: transaccions centrals en taules compartides (per a actualitzacions senzilles), dades especialment sensibles en bases de dades o esquemes separats, i una àrea central de “Control Plane” per a la gestió de tenants, facturació, feature-flags i configuració global. El més important és que aquests límits estiguin documentats i assegurats tècnicament.

Berechtigungen und Identitäten: Mandant, Rolle, Scope

La capacitat multi-tenant es guanya o es perd amb un concepte de permisos robust. Per a l’operació és menys rellevant l’elegància del model i més que sigui en el dia a dia verificable i diagnosticable: Per què l’usuari X va poder executar l’acció Y? Quin rol va intervenir? Quina policy va decidir?

SSO und Mandantenzuordnung: SAML 2.0, OIDC und Verzeichnisse

En entorns empresarials s’utilitza sovint el Single Sign-on (SSO). SSO vol dir que l’autenticació passa per un Identity Provider central i que l’aplicació només valida tokens/assertions. Són comuns SAML 2.0 (basat en assertions, habitual en entorns enterprise clàssics) o OpenID Connect (OIDC; basat en tokens, freqüent en stacks d’IdP més moderns). Important: l’assignació de tenants ha de ser inequívoca i segura contra manipulacions.

Opcions recomanades:

  • Tenant via Issuer/IdP (un IdP per tenant) – molt clar, però organitzativament més costós.
  • Tenant via Claim/atribut (p. ex. Tenant-ID dins el token) – flexible, requereix una validació i un mapping nets.
  • Tenant via subdomini o endpoints separats – bo per a portals, redueix errors d’ús, però ha d’integrar-se correctament amb les redireccions SSO.

Rollenmodell und Mandantenadministration ohne „Support-Tickets“

Un requeriment de cost freqüent és que cada canvi en un tenant (nou usuari, nou rol, nova assignació d’ubicació) acabi sent una intervenció manual. L’objectiu ha de ser: els tenants han de poder administrar els seus usuaris i rols dins el marc definit de forma autònoma, sense que els administradors centrals hagin d’intervenir en cada detall.

En la pràctica són útils models de rols en diversos nivells:

  • Administrador de plataforma (opera l’entorn, veu metadades dels tenants, no necessàriament les dades dels tenants).
  • Administrador del tenant (gestiona usuaris, rols i configuració dins del tenant).
  • Rols funcionals (p. ex. gestió de casos, cap d’equip, aprovació).
  • Comptes de servei tècnics (per interfícies, jobs, automatització) amb permisos mínims.

Important a nivell operatiu: els rols han de ser versionables i auditables. Si els permisos es poden canviar „a la ràpida“ mitjançant una actualització directa o una configuració no rastrejada, es perd la traçabilitat — i amb ella temps en auditories i en incidents.

Interfícies i integració: la multiinquilinitat no s’acaba a l’API-Gateway

Moltes solucions digitals empresarials viuen d’integracions: ERP, DMS, CRM, Data Warehouse, portals de socis, connexió de maquinària. Per això la multiinquilinitat també s’ha d’aplicar de manera rigorosa a les interfícies. Això afecta REST-APIs (interfícies basades en HTTP), Eventing/Queues, interfícies de fitxer i processos d’e-mail/webhook.

REST-API: Tenant-Scoping com a clàusula contractual

Amb REST-APIs és fonamental com es determina el tenant a la petició. Patrons habituals són subdomini/host, una capçalera de tenant o un claim en l’Access Token. És important que això no romangui només una convenció, sinó que s’hi documenti i s’imposi al servidor com a element contractual de l’API.

Per a l’operació compta també: una API necessita missatges d’error clars i dades de registre que continguin tenant, endpoint, usuari/client, Request-ID i paràmetres rellevants, sense enregistrar dades personals de manera innecessària. Així els administradors i el suport poden resoldre els casos de manera reproducible sense tocar dades d’altres tenants.

Processos asíncrons: planificar jobs, queues i schedulers compatibles amb multiinquilinitat

Batch-jobs, imports, generació d’informes o conciliacions nocturnes sovint s’executen de manera asíncrona. Aquí la barreja de tenants apareix amb facilitat perquè un worker „en segon pla“ treballa sense un context d’usuari actiu. Per això planifiqueu:

  • Vinculació del tenant per job: Cada job ha d’incloure la Tenant-ID i un „context activador“ (usuari o compte de servei).
  • Límits de recursos: Els tenants grans no han de dominar completament el processament de jobs (equitat, quotes, prioritats).
  • Artefactes separats per tenant: Fitxers temporals, exportacions, S3-Buckets/Share-Paths, plantilles d’e-mail i Webhook-Secrets s’han de gestionar de manera específica per tenant.

Operació i seguretat: el que els administradors necessiten realment

La multiinquilinitat actua en explotació com un multiplicador: un error, un mal desplegament o una alarma confusa pot afectar molts tenants. A l’inrevés, una plataforma ben operada pot desplegar actualitzacions més ràpid i de manera més consistent. És fonamental que operació i seguretat no s’afegesin a posteriori, sinó que siguin part del disseny d’arquitectura.

Logging, audit i traçabilitat

Per al programari empresarial cal distingir dos tipus de registres:

  • Registre tècnic: Errors, rendiment, problemes d’integració, timeouts. Ha d’incloure el tenant i la ID de correlació perquè es pugui localitzar una transacció en components distribuïts.
  • Registre d’auditoria: Qui ha realitzat quina acció funcional (p. ex. dades mestres modificades, export iniciat, permisos assignats)? Els logs d’auditoria són rellevants per a la seguretat i requereixen polítiques clares de conservació i d’accés.

Important: l’auditoria no és „només més registre“. L’auditoria ha de ser resistant a manipulacions, traçable i analitzable. Alhora s’ha d’aplicar la minimització de dades: no tota informació detallada ha d’entrar permanentment a l’auditoria, sinó només els fets necessaris per a la comprovació i la reconstrucció.

Backup/Restore: poder restaurar tenants de manera selectiva

La qüestió de RESTauració és la prova de foc per al vostre model de dades. Una còpia de seguretat global es crea ràpidament, però el dany es produeix quan un sol client informa de pèrdua de dades i només podeu RESTaurar “tot o res”. Segons els patrons d’aïllament, són útils diferents estratègies:

  • BD per client: La RESTauració és la més clara, però requereix orquestració quan cal RESTablir de manera consistent diverses bases de dades (p. ex., base de dades + índex de cerca + emmagatzematge de fitxers).
  • BD compartida: La RESTauració per client és notablement més complexa. Aquí ajuden mecanismes d’exportació/snapshot específics per client, enfocaments d’Event Sourcing o mesures de protecció addicionals (soft deletes, versionat, processos d’aprovació).

Per als administradors compta disposar d’una procedura documentada: quant triga una RESTauració? Quins sistemes intervenen? Com es prova que el client torna a funcionar “correctament” (proves ràpides, comprovacions d’integració)?

Patching und Update-Strategie: Schema-Migrationen ohne Stillstand

Un avantatge central dels enfocaments de plataforma és la capacitat d’estendre les actualitzacions de manera uniforme. Això només funciona si planifiqueu les migracions d’esquema (canvis en les estructures de la base de dades) i les actualitzacions d’aplicacions com un procés conjunt. Bona pràctica:

  • Desplegaments compatibles cap endavant: Les noves versions de software poden funcionar amb l’esquema antic (durant un curt període), i/o el software antic pot funcionar amb l’esquema nou. Això redueix els temps d’inactivitat.
  • Migracions a petits passos: En lloc d’estructures «Big Bang»: afegir noves columnes, poblar les dades de forma gradual, i només més endavant eliminar les estructures antigues.
  • Feature flags per client: Les funcionalitats es poden activar per a clients seleccionats per limitar riscos i controlar els rollouts.

Per a la direcció de TI és important: la capacitat d’actualització és una inversió. Estalvia temps més endavant en actualitzacions de seguretat, canvis de sistema operatiu, actualitzacions de bases de dades i modificacions d’integració — precisament en les àrees que generen costos durant anys.

Provisionierung und Mandanten-Lifecycle: vom Onboarding bis zur Deaktivierung

La capacitat multiclient només està «completa» quan el cicle de vida està pensat en la seva totalitat. En el dia a dia no només compten les altes noves, sinó també els canvis: ubicacions addicionals, nous proveïdors d’identitat, canvis de contracte, exportacions de dades i desactivacions.

Onboarding: Was automatisiert sein sollte

Un procés d’onboarding net redueix errors i la càrrega de suport. Components típics:

  • Crear client (Tenant-ID, nom, contacte, estat).
  • Definir configuració (regió, idioma, zona horària, dominis de correu electrònic, branding si s’escau).
  • Configurar la connexió d’identitat (metadades SSO, certificats, URL de redirecció).
  • Proveir rols inicials i usuaris admin.
  • Aprovisionar recursos tècnics (base de dades/esquema, emmagatzematge, índex de cerca, cues).
  • Activar monitorització i alertes per al client.

Com més d’això estigui reproduciblement automatitzat, menys «casos especials» apareixeran. Això no és només eficiència, sinó reducció de risc: els passos manuals són la font més freqüent d’inconsistències en la configuració.

Datenexport und Offboarding: unterschätzt, aber sicherheitskritisch

L’offboarding és un tema de seguretat i compliment normatiu: quines dades han de ser exportables (p. ex. per a la transferència), quines dades han de ser eliminades o anonimitzades, i com es demostra això? Encara que no es tracti d’un assessorament jurídic específic, tècnicament: necessiteu responsabilitats clares, terminis definits i un procés que sigui reproductible.

Si les dades estan distribuïdes en diversos sistemes (base de dades, emmagatzematge de fitxers, índex de cerca, logs, backups), l’offboarding ha de tenir en compte aquests nivells. Els backups són especialment problemàtics: l’eliminació completa de dades d’arxius històrics sovint no és pràcticament possible. Per això és crucial un concepte que ho faci transparent (retenció, control d’accés, rotació) i que protegeixi adequadament les dades dels clients fora dels sistemes productius.

Errors típics de la pràctica – i com evitar-los

La capacitat multiarrendatària rarament falla de manera espectacular; ho fa per moltes petites fissures de disseny. Els següents patrons d’error apareixen regularment en projectes:

  • ID d’arrendatari com a „opcional“: determinats endpoints, jobs o reports obvien el filtre. Solució: imposició tècnica (Policies/RLS), proves i regles arquitectòniques coherents.
  • Configuració compartida sense versionat: els canvis en el model de rol o en els interruptors de funcionalitat no són rastrejables posteriorment. Solució: versionar la configuració, auditar els canvis.
  • Caches compartits entre arrendataris: el caching sense Tenant-Key provoca fugues de dades. Solució: la clau de cache sempre sensible a l’arrendatari; per a dades sensibles, cachejar durant períodes curts.
  • El suport no pot delimitar els problemes: manca de correlació i mètriques per arrendatari. Solució: ID de correlació, etiquetes d’arrendatari en logs/mètriques, dashboards clars.
  • Les migracions triguen massa: grans reestructuracions de taules bloquegen l’operació. Solució: migració incremental, processos en segon pla, planificació de finestres de manteniment.

Aquests punts són menys „detalls per a desenvolupadors“ i més realitat d’operació. Qui els aborda aviat redueix els costos posteriors en hotfixes, finestres d’emergència i responsabilitats poc clares.

Desenvolupar software empresarial multiarrendatari: llista de comprovació per a decisions sòlides

Quan definiu l’orientació d’un projecte, ajuden preguntes concretes que facin visible la capacitat arquitectònica i operativa:

  • Quin nivell d’aïllament és necessari: tècnic (dades), organitzatiu (accessos), operatiu (finestres de manteniment/càrrega)?
  • Com es determina de manera inequívoca l’arrendatari (SSO-Claim, subdomini, endpoint propi)?
  • Com s’imposa l’aïllament (mecanismes de base de dades, capa d’accés centralitzada, polítiques)?
  • Com és el cas de RESTauració: per arrendatari, amb quines dependències, en quin termini?
  • Com es gestionen les actualitzacions: migració d’esquema, estratègia de rollback, feature flags?
  • Quina observabilitat hi ha: mètriques per arrendatari, auditoria, alertes, runbooks?
  • Com s’exploten les integracions de manera multiarrendatària (comptes de servei, secrets, límits de taxa, webhooks)?

Aquestes preguntes estan formulades intencionadament des d’una òptica operativa. Si les podeu respondre, normalment també esteu en un camí arquitectònic estable.

Conclusió: La capacitat multiarrendatària és una promesa operativa, no una característica d’interfície d’usuari

La capacitat multi-tenant determina si un programari empresarial es pot operar de manera rendible i continuar desenvolupant-se amb seguretat al llarg d’anys. El treball fonamental rau en línies de separació clarament definides: context de tenant com a obligatori, aïllament de dades sòlid, permisos verificables, interfícies compatibles amb múltiples tenants i un cicle de vida que inclogui provisionament, actualitzacions i offboarding. Qui establеixi amb cura aquests fonaments obté avantatges en la pràctica: menys incidències per deriva de configuració, actualitzacions més ràpides, processos de suport més nets i evidències fiables davant de requisits interns i externs.

Si voleu avaluar de manera concreta la capacitat multi-tenant d’una solució empresarial digital existent o nova, o dissenyar un concepte de migració i d’arquitectura, repassem plegats i de manera estructurada les condicions marc:

En l’àmbit tècnic també tenen un paper important l’arquitectura multi-tenant i la tenant isolation quan és necessari que integracions, fluxos de dades i el desenvolupament continu interaccionin de manera ordenada.

Parli del projecte o de la iniciativa de modernització amb Net-Base.

Comparteix la publicació

Comparteix aquesta publicació directament

LinkedIn, X, XING, Facebook, WhatsApp i E-Mail estan disponibles de forma immediata. Per a Instagram preparem directament l’enllaç i un text breu.

Correu electrònic

Instagram s'obre en una pestanya nova. L'enllaç i el text curt es copien prèviament al porta-retalls.