المصادقة الموحدة والتحكم الدقيق بالصلاحيات باستخدام Didit و Cerbos (AR-1)

فصل الهوية عن الصلاحياتافصل التحقق من الهوية عن تطبيق سياسة الصلاحيات لإنشاء بنى أمنية أكثر مرونة وقابلية للتوسع. يتعامل Didit مع الهوية الموحدة، بينما يدير Cerbos سياسات الوصول الدقيقة.

تعزيز الأمان بتحكم دقيقطبق قواعد وصول دقيقة بناءً على سمات المستخدم، الأدوار، وسياق المورد، متجاوزًا التحكم التقليدي في الوصول المستند إلى الأدوار (RBAC) لتحقيق أمان وامتثال فائقين.

تبسيط تجربة المطوراستفد من واجهات برمجة التطبيقات الموجهة للمطورين في Didit والمصادقة البرمجية لدمج التحقق من الهوية بسهولة في تطبيقاتك، مما يبسط إدارة بيانات الاعتماد وتأهيل المستخدمين.

Didit يدعم أسسًا آمنةيوفر Didit التحقق الأساسي من الهوية وإدارة بيانات الاعتماد، بما في ذلك خدمة "اعرف عميلك" الأساسية المجانية (Free Core KYC)، مما يسمح للشركات ببناء أنظمة صلاحيات معقدة بثقة وسهولة.

تحدي الصلاحيات الحديثة

في المشهد الرقمي المترابط اليوم، لم يعد مجرد معرفة من هو المستخدم (المصادقة) كافيًا. تحتاج الشركات إلى التحكم في ما يمكن للمستخدم فعله، *متى*، و*تحت أي ظروف* (الصلاحيات). يصبح هذا التحدي أكثر تعقيدًا عند التعامل مع الهويات الموحدة، حيث قد يصادق المستخدمون من خلال مزودي خدمة خارجيين مختلفين. غالبًا ما تقصر نماذج الصلاحيات التقليدية، مثل التحكم الأساسي في الوصول المستند إلى الأدوار (RBAC)، مما يؤدي إلى منح صلاحيات زائدة، وثغرات أمنية، وصعوبات في إدارة منطق العمل المعقد.

من ناحية أخرى، تسمح الصلاحيات الدقيقة باتخاذ قرارات وصول محددة للغاية بناءً على مجموعة كبيرة من العوامل: سمات المستخدم (مثل العمر، البلد، حالة التحقق)، سمات الموارد (مثل نوع المستند، حساسية البيانات)، السياق البيئي (مثل وقت اليوم، عنوان IP)، وحتى العلاقات بين الكيانات. يتطلب تطبيق هذا المستوى من التحكم نظامًا قويًا للتحقق من الهوية ومحرك صلاحيات قوي يعملان جنبًا إلى جنب.

الهويات الموحدة ودور Didit

تسمح الهويات الموحدة للمستخدمين بالمصادقة مرة واحدة مع مزود هوية (IdP) ثم الوصول إلى خدمات متعددة دون إعادة إدخال بيانات الاعتماد الخاصة بهم. هذا يحسن تجربة المستخدم ويزيد من مركزية إدارة الهوية. ومع ذلك، هذا يعني أيضًا أن نظام الصلاحيات يجب أن يكون قادرًا على استيعاب وتفسير تأكيدات الهوية من مصادر مختلفة.

يلعب Didit، كمنصة هوية تعتمد على الذكاء الاصطناعي، دورًا حاسمًا هنا. فهو يوفر الطبقة الأساسية للتحقق من الهويات الموحدة وإدارتها. سواء كان المستخدم ينضم لأول مرة أو يعيد المصادقة، يضمن Didit أن الهوية شرعية ويوفر سمات تم التحقق منها. على سبيل المثال، يمكن لـ Didit's ID Verification (OCR، MRZ، الباركود) التحقق من وثيقة هوية المستخدم، بينما تضمن Passive & Active Liveness أنه شخص حقيقي وليس تزييفًا عميقًا. بالنسبة للخدمات المقيدة بالعمر، يقدم Didit's Age Estimation طريقة تحافظ على الخصوصية لتأكيد العمر دون جمع بيانات شخصية زائدة. هذه السمات التي تم التحقق منها هي مدخلات حاسمة لنظام الصلاحيات الدقيقة.

تعتبر إمكانيات المصادقة البرمجية في Didit قوية بشكل خاص لسيناريوهات الهويات الموحدة. يمكن للمطورين استخدام واجهة برمجة تطبيقات Didit للتحقق من عناوين البريد الإلكتروني والحصول على بيانات الاعتماد برمجيًا، كما هو موضح بواسطة نقطة النهاية /programmatic/verify-email/. يتيح ذلك التكامل السلس مع تدفقات الهوية الحالية أو لبناء تجارب مصادقة مخصصة تتغذى على نموذج موحد.

تقديم Cerbos للتحكم الدقيق بالصلاحيات

Cerbos هي طبقة صلاحيات مفتوحة المصدر ومنفصلة تمكن المطورين من تطبيق سياسات التحكم في الوصول الدقيقة. وهي تعمل عن طريق أخذ طلب (من، ماذا، متى، أين) وتقييمه مقابل مجموعة من السياسات المكتوبة بلغة سهلة القراءة (YAML أو CUE). يجلب نهج Cerbos "السياسة كرمز" العديد من الفوائد، بما في ذلك التحكم في الإصدار، وإمكانية التدقيق، وتسهيل اختبار منطق الصلاحيات.

عند التكامل مع Didit، يمكن لـ Cerbos الاستفادة من بيانات الهوية الغنية والموثوقة التي يوفرها Didit. على سبيل المثال، بعد أن يكمل المستخدم بنجاح تدفق Didit ID Verification، يمكن لـ Didit توفير سمات مثل بلد إقامة المستخدم، العمر، أو حالة التحقق. يمكن بعد ذلك تمرير هذه السمات إلى Cerbos كجزء من طلب الصلاحيات. يمكن لسياسات Cerbos بعد ذلك أن تملي، على سبيل المثال، أن "المستخدمين الذين لديهم هوية موثقة من بلد أوروبي فقط يمكنهم الوصول إلى البيانات المصنفة كبيانات حساسة للاتحاد الأوروبي".

بناء التكامل: Didit + Cerbos

عادة ما يتبع تكامل Didit و Cerbos هذه الخطوات:

1. مصادقة المستخدم والتحقق (Didit): يبدأ المستخدم المصادقة. يتعامل Didit مع عملية التحقق باستخدام منتجات مثل ID Verification، Passive & Active Liveness، أو حتى Phone & Email Verification. عند التحقق الناجح، يوفر Didit رمزًا آمنًا (مثل رمز الوصول) وربما مجموعة من السمات التي تم التحقق منها (مثل is_verified: true، age_group: '18-24'، country: 'DE').

2. نشر الهوية والسمات: يتلقى الواجهة الخلفية للتطبيق هوية المستخدم المصادق عليها وأي سمات ذات صلة من Didit. غالبًا ما يتم تضمين هذه السمات في جلسة المستخدم أو مخزن الملف الشخصي.

3. طلب الصلاحيات (Cerbos): عندما يحاول المستخدم إجراءً ما (مثل 'قراءة المستند X'، 'تحديث الملف الشخصي Y')، يقوم الواجهة الخلفية للتطبيق بإنشاء طلب صلاحيات لـ Cerbos. يتضمن هذا الطلب:

   • الكيان الرئيسي (المستخدم) وسماته (على سبيل المثال، { id: 'user123', roles: ['editor'], country: 'DE', is_verified: true }). يتم إثراء هذه السمات من خلال عملية التحقق في Didit.
   • المورد الذي يتم الوصول إليه (على سبيل المثال، { kind: 'document', id: 'doc456', owner: 'user123', sensitivity: 'sensitive_eu' }).
   • الإجراء الذي يتم تنفيذه (على سبيل المثال، 'قراءة'، 'تحديث').

4. تقييم السياسة (Cerbos): يقوم Cerbos بتقييم الطلب مقابل سياساته المحددة مسبقًا. على سبيل المثال، قد تنص سياسة على ما يلي:

   - principal.attr.is_verified == true
   - principal.attr.country == resource.attr.country
   - resource.attr.sensitivity == 'sensitive_eu' -> allow
   

5. تطبيق القرار: بناءً على قرار Cerbos (السماح/الرفض)، يمنح التطبيق أو يرفض الوصول إلى المورد أو الإجراء المطلوب.

تضمن هذه البنية المنفصلة أن منطق الصلاحيات معزول عن رمز التطبيق، مما يسهل إدارته وتدقيقه وتطويره دون إعادة نشر التطبيق بأكمله. يكمل نهج Didit المعياري للتحقق من الهوية هذا بشكل مثالي، مما يسمح للشركات بتوصيل فحوصات التحقق الدقيقة المطلوبة لسياسات الصلاحيات الخاصة بهم، دون تكاليف إضافية غير ضرورية.

كيف يساعد Didit

يوفر Didit الأساس القوي والمرن للتحقق من الهوية اللازم لتطبيق أنظمة صلاحيات موحدة متطورة وتحكم دقيق. تم تصميم منصتنا المعتمدة على الذكاء الاصطناعي والموجهة للمطورين للتكامل بسلاسة مع محركات الصلاحيات مثل Cerbos، وتقدم:

• وحدات بناء الهوية المعيارية: تسمح لك عناصر Didit الأساسية القابلة للتركيب بتحديد ودمج طرق التحقق حسب الحاجة. من ID Verification إلى Passive & Active Liveness، و1:1 Face Match، وAML Screening & Monitoring، تحصل على بيانات الهوية الدقيقة المطلوبة لسياسات الصلاحيات الخاصة بك.
• سمات غنية وموثقة: لا يقتصر Didit على المصادقة فحسب؛ بل يتحقق. هذا يعني أنك تتلقى سمات هوية عالية الثقة (مثل العمر، البلد، حالة التحقق) التي تعد مدخلات أساسية لقرارات الصلاحيات الدقيقة، مما يتيح سياسات مثل 'يمكن للمستخدمين الموثوقين الذين تزيد أعمارهم عن 21 عامًا من مناطق محددة فقط الوصول'.
• تجربة موجهة للمطورين: من خلال واجهات برمجة التطبيقات النظيفة، وبيئات الاختبار الفورية، والوثائق الشاملة، أصبح دمج التحقق من الهوية في Didit في تطبيقك أمرًا سهلاً. تعمل نقاط نهاية المصادقة البرمجية لدينا على تبسيط عملية الحصول على بيانات الاعتماد، مما يجعل إدارة الهوية الموحدة أسهل من أي وقت مضى.
• خدمة KYC الأساسية المجانية: يقدم Didit فئة KYC الأساسية المجانية، مما يسمح لك ببدء بناء واختبار تدفقات الهوية والصلاحيات الخاصة بك دون تكاليف أولية. هذا يتيح النماذج الأولية السريعة ويضمن أنه يمكنك تطبيق أساس آمن من اليوم الأول.
• تصميم عالمي: تم تصميم منصة Didit للتوسع العالمي، وتدعم أنواع المستندات المختلفة ومتطلبات الامتثال. هذا يضمن إمكانية تطبيق سياسات الصلاحيات الدقيقة الخاصة بك بشكل متسق عبر قاعدة مستخدمين متنوعة، مع خيارات لتوطين البيانات داخل البلد لحسابات الشركات.
• سير عمل منسق: استخدم وحدة التحكم التجارية في Didit التي لا تتطلب تعليمات برمجية لتنسيق سير عمل KYC المعقدة، والتي يمكن بعد ذلك أن تتغذى على طبقة الصلاحيات الخاصة بك. يتيح ذلك تعديلات ديناميكية لمتطلبات التحقق بناءً على ملفات تعريف المخاطر، مما يعزز البيانات المتاحة لسياسات Cerbos.

من خلال الاستفادة من Didit للتحقق من الهوية، يمكن للشركات تأكيد هويات المستخدمين وسماتهم المرتبطة بها بشكل موثوق، مما يوفر لـ Cerbos السياق الحاسم اللازم لاتخاذ قرارات صلاحيات دقيقة وآمنة. يؤدي هذا المزيج إلى بنية أمنية قوية وقابلة للتوسع وقابلة للتدقيق.

هل أنت مستعد للبدء؟

هل أنت مستعد لرؤية Didit في العمل؟ احصل على عرض توضيحي مجاني اليوم.

ابدأ في التحقق من الهويات مجانًا باستخدام الطبقة المجانية من Didit.