Passer au contenu principal
Didit lève 7,5 M$ pour bâtir l'infrastructure pour l'identité et la fraude
Didit
Retour au blog
Blog · 7 mars 2026

Authentification Fédérée et Autorisation Granulaire avec Didit et Cerbos (FR)

Découvrez comment implémenter des identifiants fédérés robustes et une autorisation granulaire en utilisant Didit pour la vérification d'identité et Cerbos pour l'application des politiques d'accès.

Par DiditMis à jour le
federated-credentials-fine-grained-authorization-with-didit.png

Désolidariser l'Identité et l'AutorisationSéparez la vérification d'identité de l'application des politiques d'autorisation pour créer des architectures de sécurité plus flexibles et évolutives. Didit gère l'identité fédérée, tandis que Cerbos gère les politiques d'accès granulaires.

Renforcer la Sécurité avec un Contrôle GranulaireMettez en œuvre des règles d'accès précises basées sur les attributs de l'utilisateur, les rôles et le contexte des ressources, allant au-delà du contrôle d'accès basé sur les rôles (RBAC) traditionnel pour une sécurité et une conformité supérieures.

Simplifier l'Expérience DéveloppeurTirez parti des API "developer-first" et de l'authentification programmatique de Didit pour intégrer facilement la vérification d'identité dans vos applications, simplifiant la gestion des identifiants et l'intégration des utilisateurs.

Didit Bâtit des Fondations SécuriséesDidit fournit la vérification d'identité et la gestion des identifiants essentielles, y compris le KYC Core Gratuit, permettant aux entreprises de construire des systèmes d'autorisation complexes avec confiance et facilité.

Le Défi de l'Autorisation Moderne

Dans le paysage numérique interconnecté d'aujourd'hui, savoir simplement qui est un utilisateur (authentification) ne suffit plus. Les entreprises doivent contrôler ce que cet utilisateur peut faire, quand et dans quelles conditions (autorisation). Ce défi devient encore plus complexe lorsqu'il s'agit d'identités fédérées, où les utilisateurs peuvent s'authentifier via divers fournisseurs externes. Les modèles d'autorisation traditionnels, tels que le contrôle d'accès basé sur les rôles (RBAC) basique, sont souvent insuffisants, entraînant une sur-autorisation, des vulnérabilités de sécurité et des difficultés à gérer une logique métier complexe.

L'autorisation granulaire, en revanche, permet des décisions d'accès très spécifiques basées sur une multitude de facteurs : attributs de l'utilisateur (par exemple, âge, pays, statut vérifié), attributs de la ressource (par exemple, type de document, sensibilité des données), contexte environnemental (par exemple, heure de la journée, adresse IP) et même les relations entre les entités. La mise en œuvre de ce niveau de contrôle nécessite un système robuste de vérification d'identité et un moteur d'autorisation puissant fonctionnant en tandem.

Les Identifiants Fédérés et le Rôle de Didit

Les identifiants fédérés permettent aux utilisateurs de s'authentifier une seule fois auprès d'un fournisseur d'identité (IdP), puis d'accéder à plusieurs services sans ressaisir leurs identifiants. Cela améliore l'expérience utilisateur et centralise la gestion des identités. Cependant, cela signifie également que le système d'autorisation doit être capable d'ingérer et d'interpréter les assertions d'identité provenant de diverses sources.

Didit, en tant que plateforme d'identité native de l'IA, joue un rôle crucial ici. Elle fournit la couche fondamentale pour la vérification et la gestion des identités fédérées. Qu'un utilisateur s'inscrive pour la première fois ou se ré-authentifie, Didit garantit que l'identité est légitime et fournit des attributs vérifiés. Par exemple, la vérification d'identité de Didit (OCR, MRZ, codes-barres) peut vérifier le document d'identité d'un utilisateur, tandis que la détection de vie Passive et Active garantit qu'il s'agit d'une personne réelle et non d'un "deepfake". Pour les services soumis à des restrictions d'âge, l'estimation de l'âge de Didit offre un moyen respectueux de la vie privée de confirmer l'âge sans collecter de données personnelles excessives. Ces attributs vérifiés sont ensuite des entrées cruciales pour un système d'autorisation granulaire.

Les capacités d'authentification programmatique de Didit sont particulièrement puissantes pour les scénarios fédérés. Les développeurs peuvent utiliser l'API de Didit pour vérifier les adresses e-mail et obtenir des identifiants par programme, comme le démontre le point de terminaison /programmatic/verify-email/. Cela permet une intégration transparente avec les flux d'identité existants ou la création d'expériences d'authentification personnalisées qui s'intègrent à un modèle fédéré.

Présentation de Cerbos pour l'Autorisation Granulaire

Cerbos est une couche d'autorisation découplée et open source qui permet aux développeurs de mettre en œuvre des politiques de contrôle d'accès granulaires. Il fonctionne en prenant une requête (qui, quoi, quand, où) et en l'évaluant par rapport à un ensemble de politiques écrites dans un langage lisible par l'homme (YAML ou CUE). L'approche "policy-as-code" de Cerbos offre de nombreux avantages, notamment le contrôle de version, l'auditabilité et un test plus facile de la logique d'autorisation.

Lors de l'intégration avec Didit, Cerbos peut tirer parti des données d'identité riches et vérifiées fournies par Didit. Par exemple, après qu'un utilisateur ait réussi un flux de vérification d'identité Didit, Didit peut fournir des attributs tels que le pays de résidence de l'utilisateur, son âge ou son statut de vérification. Ces attributs peuvent ensuite être transmis à Cerbos dans le cadre d'une demande d'autorisation. Les politiques Cerbos peuvent alors dicter, par exemple, que "seuls les utilisateurs avec un identifiant vérifié d'un pays de l'UE peuvent accéder aux données marquées comme données sensibles de l'UE".

Architecturer l'Intégration : Didit + Cerbos

L'intégration de Didit et Cerbos suit généralement ces étapes :

  1. Authentification et Vérification de l'Utilisateur (Didit) : Un utilisateur initie l'authentification. Didit gère le processus de vérification en utilisant des produits tels que la vérification d'identité, la détection de vie Passive et Active, ou même la vérification par téléphone et e-mail. Une fois la vérification réussie, Didit fournit un jeton sécurisé (par exemple, un jeton d'accès) et potentiellement un ensemble d'attributs vérifiés (par exemple, is_verified: true, age_group: '18-24', country: 'DE').

  2. Propagation de l'Identité et des Attributs : Le backend de l'application reçoit l'identité de l'utilisateur authentifié et tous les attributs pertinents de Didit. Ces attributs sont souvent inclus dans la session de l'utilisateur ou dans un magasin de profils.

  3. Demande d'Autorisation (Cerbos) : Lorsque l'utilisateur tente une action (par exemple, 'lire le document X', 'mettre à jour le profil Y'), le backend de l'application construit une demande d'autorisation pour Cerbos. Cette demande comprend :

    • Le principal (l'utilisateur) et ses attributs (par exemple, { id: 'user123', roles: ['editor'], country: 'DE', is_verified: true }). Ces attributs sont enrichis par le processus de vérification de Didit.
    • La ressource à laquelle on accède (par exemple, { kind: 'document', id: 'doc456', owner: 'user123', sensitivity: 'sensitive_eu' }).
    • L'action effectuée (par exemple, 'lire', 'mettre à jour').

  4. Évaluation de la Politique (Cerbos) : Cerbos évalue la demande par rapport à ses politiques prédéfinies. Par exemple, une politique pourrait stipuler :

    - principal.attr.is_verified == true
- principal.attr.country == resource.attr.country
- resource.attr.sensitivity == 'sensitive_eu' -> allow

  5. Application de la Décision : Sur la base de la décision de Cerbos (AUTORISER/REFUSER), l'application accorde ou refuse l'accès à la ressource ou à l'action demandée.

Cette architecture découplée garantit que la logique d'autorisation est externalisée du code de l'application, ce qui facilite sa gestion, son audit et son évolution sans redéployer l'ensemble de l'application. L'approche modulaire de Didit en matière de vérification d'identité complète parfaitement cela, permettant aux entreprises de brancher les contrôles de vérification exacts nécessaires à leurs politiques d'autorisation, sans frais généraux inutiles.

Comment Didit Aide

Didit fournit la base de vérification d'identité robuste et flexible nécessaire à la mise en œuvre de systèmes sophistiqués d'identifiants fédérés et d'autorisation granulaire. Notre plateforme native de l'IA, axée sur les développeurs, est conçue pour s'intégrer de manière transparente aux moteurs d'autorisation comme Cerbos, offrant :

  • Blocs de Construction d'Identité Modulaires : Les primitives d'identité composables de Didit vous permettent de sélectionner et de combiner les méthodes de vérification selon vos besoins. De la vérification d'identité à la détection de vie Passive et Active, à la correspondance faciale 1:1 et au filtrage et à la surveillance AML, vous obtenez précisément les données d'identité requises pour vos politiques d'autorisation.
  • Attributs Riches et Vérifiés : Didit ne se contente pas d'authentifier ; il vérifie. Cela signifie que vous recevez des attributs d'identité à haute confiance (par exemple, âge, pays, statut de vérification) qui sont des entrées essentielles pour les décisions d'autorisation granulaires, permettant des politiques telles que 'seuls les utilisateurs vérifiés de plus de 21 ans provenant de régions spécifiques peuvent accéder'.
  • Expérience "Developer-First" : Avec des API claires, des bacs à sable instantanés et une documentation complète, l'intégration de la vérification d'identité de Didit dans votre application est simple. Nos points de terminaison d'authentification programmatique rationalisent le processus d'acquisition des identifiants, rendant la gestion des identités fédérées plus facile que jamais.
  • KYC Core Gratuit : Didit propose un niveau KYC Core Gratuit, vous permettant de commencer à construire et à tester vos flux d'identité et d'autorisation sans frais initiaux. Cela permet un prototypage rapide et garantit que vous pouvez implémenter une base sécurisée dès le premier jour.
  • Conçu pour le Monde Entier : La plateforme de Didit est conçue pour une échelle mondiale, prenant en charge divers types de documents et exigences de conformité. Cela garantit que vos politiques d'autorisation granulaires peuvent être appliquées de manière cohérente à une base d'utilisateurs diversifiée, avec des options de résidence des données par pays pour les comptes d'entreprise.
  • Flux de Travail Orchestrés : Utilisez la console d'entreprise sans code de Didit pour orchestrer des flux de travail KYC complexes, qui peuvent ensuite alimenter votre couche d'autorisation. Cela permet des ajustements dynamiques aux exigences de vérification en fonction des profils de risque, améliorant encore les données disponibles pour les politiques Cerbos.

En tirant parti de Didit pour la vérification d'identité, les entreprises peuvent affirmer de manière fiable les identités des utilisateurs et leurs attributs associés, fournissant à Cerbos le contexte crucial nécessaire pour prendre des décisions d'autorisation granulaires précises et sécurisées. Cette combinaison aboutit à une architecture de sécurité puissante, évolutive et auditable.

Prêt à Commencer ?

Prêt à voir Didit en action ? Obtenez une démo gratuite dès aujourd'hui.

Commencez à vérifier les identités gratuitement avec le niveau gratuit de Didit.

Infrastructure pour l'identité et la fraude.

Une seule API pour le KYC, le KYB, la surveillance des transactions et le screening de portefeuilles. Intégration en 5 minutes.

Commencer gratuitementNous contacter
Demande à une IA de résumer cette page
Identifiants Fédérés & Autorisation Granulaire avec Didit.