Didit 与 OPA：实现动态访问控制 (ZH)

增强安全性将 Didit 与 Open Policy Agent (OPA) 集成，可建立强大的防御机制，实现基于已验证身份属性而非静态角色的动态、上下文感知访问控制决策。

实时授权利用 Didit 的即时身份验证结果，包括活体检测和身份验证，为 OPA 提供实时授权数据，确保只有合法用户根据当前策略要求获得访问权限。

合规自动化将 Didit 的 AML 筛选和年龄估算功能与 OPA 结合，自动执行法规合规性，减少人工操作，并最大限度地降低各行业的风险。

灵活可扩展的架构Didit 模块化且 API 优先的设计与 OPA 无缝集成，为在不同应用和服务中实施复杂的授权策略提供了灵活可扩展的解决方案，避免了供应商锁定。

现代应用中动态访问控制的需求

在当今快速发展的数字环境中，静态的、基于角色的访问控制（RBAC）往往力不从心。现代应用需要能够适应实时上下文、用户行为和不断演变的风险状况的动态访问控制。这时，强大的身份验证和强大的策略引擎之间的协同作用变得至关重要。企业需要回答以下问题：这个用户是否就是他们声称的那个人？他们是否达到使用这项服务的法定年龄？他们是否已通过观察名单筛选？以及根据这些答案，他们被允许执行哪些具体操作？

传统的访问控制机制难以将如此细致的实时身份数据纳入授权决策。这通常会导致要么过度宽松的访问，从而造成安全漏洞，要么过度严格的访问，从而阻碍用户体验和运营效率。解决方案在于将策略执行与应用程序代码解耦，并基于丰富、已验证的身份信息集中化策略决策。

Open Policy Agent (OPA)：您的集中式策略引擎

Open Policy Agent (OPA) 是一个开源的通用策略引擎，可实现跨堆栈的统一、上下文感知策略执行。OPA 允许您将策略定义为代码（使用其声明性语言 Rego），并将授权决策从您的应用程序和服务中卸载。当应用程序需要做出授权决策时，它会查询 OPA，提供相关上下文（例如，用户 ID、正在访问的资源、一天中的时间）。OPA 然后根据此输入评估其策略并返回决策（例如，允许/拒绝）。

OPA 的强大之处在于其灵活性。它可以为微服务、Kubernetes、CI/CD 管道、API 网关等强制执行策略。通过外部化策略，您可以获得：

• 集中式策略管理：所有策略都集中在一个地方，使其更易于管理、审计和更新。
• 改进的安全性：跨基础设施的一致策略执行降低了配置错误的风险。
• 更快的开发：开发人员可以专注于核心应用程序逻辑，将策略决策留给 OPA。
• 动态决策：OPA 可以将任何数据纳入其策略评估，使其成为上下文感知授权的理想选择。

整合 Didit 以获取丰富的身份上下文

虽然 OPA 提供策略引擎，但它需要数据才能做出明智的决策。Didit，这个人工智能原生身份平台，在这方面发挥着关键作用。Didit 提供了一套模块化的身份验证服务，可以为 OPA 提供动态访问控制所需的丰富、已验证的身份属性。想象一下这样一种场景：对高价值交易或受年龄限制内容的访问权限不仅由用户的角色决定，还由其实时验证的身份、活体状态和合规性检查决定。

例如，Didit 的 身份验证（OCR、MRZ、条形码）可以根据官方文件确认用户的身份。其 被动和主动活体检测 确保用户是真实存在的个体，防止深度伪造和演示攻击。对于特定用例，年龄估算 可以提供保护隐私的年龄验证，这对于在线游戏或酒精销售等行业的合规性至关重要。此外，AML 筛选和监控 提供关键的合规性数据，表明用户是否在观察名单上。

通过集成 Didit，可以制定 OPA 策略以利用这些已验证的数据点。策略可能规定：“仅当用户 ID 已验证、活体检查通过且不在任何 AML 观察名单上时，才允许访问金融服务。”这为您的访问控制策略带来了新的安全和合规维度。

实际实施：Didit + OPA 的实际应用

将 Didit 与 OPA 集成涉及以下几个关键步骤：

1. 使用 Didit 执行身份验证：当用户注册或尝试访问受保护资源时，您的应用程序会使用 Didit 的 API 启动验证流程。这可能涉及 身份验证、活体检测 或 AML 筛选，具体取决于您的要求。Didit 提供实时结果，包括验证状态、人脸匹配分数、活体分数、年龄估算和 AML 命中。

2. 存储已验证属性：Didit 返回的已验证属性存储在您的用户配置文件数据库或专用身份存储中。此数据成为 OPA 将评估的上下文的一部分。

3. 在 OPA (Rego) 中定义策略：编写引用这些已验证属性的 OPA 策略。例如：

   package myapp.authz
   
   default allow = false
   
   allow {
       input.method == "GET"
       input.path == ["products"]
   }
   
   allow {
       input.method == "POST"
       input.path == ["financial_transaction"]
       input.user.is_verified_id == true
       input.user.liveness_passed == true
       not input.user.on_aml_watchlist
       input.user.age >= 18
   }
   

   在此示例中，第二个 allow 规则演示了 OPA 如何使用 is_verified_id、liveness_passed、on_aml_watchlist 和 age（所有这些属性都可以由 Didit 提供）来授予对金融交易的访问权限。

4. 查询 OPA 进行授权：在允许用户执行操作之前，您的应用程序会向 OPA 发送查询，包括用户的已验证属性（从您的身份存储中获取）和请求操作的上下文。OPA 评估策略并返回允许/拒绝决策。

这种架构确保授权决策始终与用户的已验证身份状态保持同步，提供无与伦比的安全性和合规性。

Didit 如何提供帮助

Didit 完美地定位为您的 OPA 驱动的动态访问控制系统的身份数据提供商。我们的人工智能原生、开发者优先平台具有多个关键优势：

• 模块化身份原语：Didit 的模块化架构允许您选择并精确选择所需的验证检查，无论是 身份验证、被动和主动活体检测、1:1 人脸匹配和人脸搜索、AML 筛选和监控 还是 年龄估算。每个组件都提供可输入 OPA 策略的粒度数据。
• 人工智能原生准确性：我们的人工智能驱动验证确保高准确性和欺诈检测能力，为 OPA 的关键决策提供可靠数据。
• 开发者优先体验：凭借简洁的 API 和即时沙盒，将 Didit 集成到您现有系统中以提取身份属性既直接又高效。
• 免费核心 KYC 和灵活定价：Didit 提供 免费核心 KYC，让您无需前期成本即可开始构建强大的身份验证。我们的按成功检查付费模式，无设置费，确保了可扩展性和成本效益。
• 编排工作流：除了独立的 API，Didit 的无代码业务控制台允许您编排复杂的验证工作流，确保在传递给 OPA 之前收集和验证所有必要的身份数据点。

通过利用 Didit，您可以确保 OPA 评估的身份上下文始终准确、最新且全面，从而实现更安全、更合规的访问控制决策。

准备好开始了吗？

准备好亲眼看看 Didit 的实际运作吗？立即获取免费演示。

使用 Didit 的免费套餐 免费开始验证身份。