Credenciais Federadas e Autorização Granular com Didit (PT-PT)

Desacoplar Identidade e AutorizaçãoSepare a verificação de identidade da aplicação de políticas de autorização para criar arquiteturas de segurança mais flexíveis e escaláveis. O Didit trata da identidade federada, enquanto o Cerbos gere as políticas de acesso granular.

Melhorar a Segurança com Controlo GranularImplemente regras de acesso precisas baseadas em atributos de utilizador, funções e contexto de recurso, indo além do controlo de acesso baseado em funções (RBAC) tradicional para segurança e conformidade superiores.

Simplificar a Experiência do ProgramadorAproveite as APIs focadas no programador do Didit e a autenticação programática para integrar facilmente a verificação de identidade nas suas aplicações, simplificando a gestão de credenciais e o onboarding de utilizadores.

Didit Potencia Fundações SegurasO Didit fornece a verificação de identidade essencial e a gestão de credenciais, incluindo KYC Core Gratuito, permitindo que as empresas construam sistemas de autorização complexos com confiança e facilidade.

O Desafio da Autorização Moderna

No panorama digital interligado de hoje, saber apenas quem é um utilizador (autenticação) já não é suficiente. As empresas precisam de controlar o que esse utilizador pode fazer, quando e sob que condições (autorização). Este desafio torna-se ainda mais complexo ao lidar com identidades federadas, onde os utilizadores podem autenticar-se através de vários fornecedores externos. Os modelos de autorização tradicionais, como o Controlo de Acesso Baseado em Funções (RBAC) básico, são frequentemente insuficientes, levando a permissões excessivas, vulnerabilidades de segurança e dificuldades na gestão de lógicas de negócio complexas.

A autorização granular, por outro lado, permite decisões de acesso altamente específicas baseadas numa multiplicidade de fatores: atributos do utilizador (por exemplo, idade, país, estado verificado), atributos do recurso (por exemplo, tipo de documento, sensibilidade dos dados), contexto ambiental (por exemplo, hora do dia, endereço IP) e até mesmo relações entre entidades. Implementar este nível de controlo requer um sistema robusto de verificação de identidade e um poderoso motor de autorização a trabalhar em conjunto.

Credenciais Federadas e o Papel do Didit

As credenciais federadas permitem que os utilizadores se autentiquem uma vez com um provedor de identidade (IdP) e depois acedam a vários serviços sem reintroduzir as suas credenciais. Isto melhora a experiência do utilizador e centraliza a gestão de identidades. No entanto, também significa que o sistema de autorização deve ser capaz de ingerir e interpretar declarações de identidade de várias fontes.

O Didit, como plataforma de identidade nativa de IA, desempenha um papel crucial aqui. Fornece a camada fundamental para verificar e gerir identidades federadas. Quer um utilizador esteja a fazer o onboarding pela primeira vez ou a reautenticar-se, o Didit garante que a identidade é legítima e fornece atributos verificados. Por exemplo, a Verificação de ID do Didit (OCR, MRZ, códigos de barras) pode verificar o documento de identidade de um utilizador, enquanto a Prova de Vida Passiva e Ativa garante que são uma pessoa real e não um deepfake. Para serviços com restrição de idade, a Estimativa de Idade do Didit oferece uma forma de preservar a privacidade para confirmar a idade sem recolher dados pessoais excessivos. Estes atributos verificados são então entradas cruciais para um sistema de autorização granular.

As capacidades de autenticação programática do Didit são particularmente poderosas para cenários federados. Os programadores podem usar a API do Didit para verificar endereços de e-mail e obter credenciais programaticamente, como demonstrado pelo endpoint /programmatic/verify-email/. Isto permite uma integração perfeita com fluxos de identidade existentes ou para construir experiências de autenticação personalizadas que alimentam um modelo federado.

Apresentando o Cerbos para Autorização Granular

O Cerbos é uma camada de autorização desacoplada de código aberto que permite aos programadores implementar políticas de controlo de acesso granular. Funciona pegando num pedido (quem, o quê, quando, onde) e avaliando-o contra um conjunto de políticas escritas numa linguagem legível por humanos (YAML ou CUE). A abordagem de política como código do Cerbos traz muitos benefícios, incluindo controlo de versão, auditabilidade e testes mais fáceis da lógica de autorização.

Ao integrar com o Didit, o Cerbos pode aproveitar os dados de identidade ricos e verificados fornecidos pelo Didit. Por exemplo, depois de um utilizador concluir com sucesso um fluxo de Verificação de ID do Didit, o Didit pode fornecer atributos como o país de residência do utilizador, idade ou estado de verificação. Estes atributos podem então ser passados ao Cerbos como parte de um pedido de autorização. As políticas do Cerbos podem então ditar, por exemplo, que 'apenas utilizadores com um ID verificado de um país da UE podem aceder a dados marcados como dados sensíveis da UE'.

Arquitetando a Integração: Didit + Cerbos

A integração do Didit e do Cerbos geralmente segue estes passos:

1. Autenticação e Verificação do Utilizador (Didit): Um utilizador inicia a autenticação. O Didit trata do processo de verificação usando produtos como Verificação de ID, Prova de Vida Passiva e Ativa, ou mesmo Verificação de Telefone e E-mail. Após a verificação bem-sucedida, o Didit fornece um token seguro (por exemplo, um token de acesso) e potencialmente um conjunto de atributos verificados (por exemplo, is_verified: true, age_group: '18-24', country: 'DE').

2. Propagação de Identidade e Atributos: O backend da aplicação recebe a identidade do utilizador autenticado e quaisquer atributos relevantes do Didit. Estes atributos são frequentemente incluídos na sessão do utilizador ou num armazenamento de perfil.

3. Pedido de Autorização (Cerbos): Quando o utilizador tenta uma ação (por exemplo, 'ler documento X', 'atualizar perfil Y'), o backend da aplicação constrói um pedido de autorização para o Cerbos. Este pedido inclui:

   • O principal (o utilizador) e os seus atributos (por exemplo, { id: 'user123', roles: ['editor'], country: 'DE', is_verified: true }). Estes atributos são enriquecidos pelo processo de verificação do Didit.
   • O recurso que está a ser acedido (por exemplo, { kind: 'document', id: 'doc456', owner: 'user123', sensitivity: 'sensitive_eu' }).
   • A ação que está a ser realizada (por exemplo, 'ler', 'atualizar').

4. Avaliação de Políticas (Cerbos): O Cerbos avalia o pedido contra as suas políticas pré-definidas. Por exemplo, uma política pode declarar:

   - principal.attr.is_verified == true
   - principal.attr.country == resource.attr.country
   - resource.attr.sensitivity == 'sensitive_eu' -> allow
   

5. Aplicação da Decisão: Com base na decisão do Cerbos (PERMITIR/NEGAR), a aplicação concede ou nega o acesso ao recurso ou ação solicitada.

Esta arquitetura desacoplada garante que a lógica de autorização é externalizada do código da aplicação, tornando-a mais fácil de gerir, auditar e evoluir sem reimplantar toda a aplicação. A abordagem modular do Didit para a verificação de identidade complementa perfeitamente isto, permitindo que as empresas insiram as verificações exatas necessárias para as suas políticas de autorização, sem sobrecarga desnecessária.

Como o Didit Ajuda

O Didit fornece a base robusta e flexível de verificação de identidade necessária para implementar sistemas sofisticados de credenciais federadas e autorização granular. A nossa plataforma nativa de IA, focada no programador, foi concebida para integrar-se perfeitamente com motores de autorização como o Cerbos, oferecendo:

• Blocos de Construção de Identidade Modulares: Os primitivos de identidade componíveis do Didit permitem selecionar e combinar métodos de verificação conforme necessário. Desde a Verificação de ID à Prova de Vida Passiva e Ativa, Correspondência Facial 1:1 e Rastreamento e Monitorização AML, obtém precisamente os dados de identidade necessários para as suas políticas de autorização.
• Atributos Ricos e Verificados: O Didit não apenas autentica; ele verifica. Isso significa que recebe atributos de identidade de alta confiança (por exemplo, idade, país, estado de verificação) que são entradas essenciais para decisões de autorização granular, permitindo políticas como 'apenas utilizadores verificados com mais de 21 anos de regiões específicas podem aceder'.
• Experiência Focada no Programador: Com APIs limpas, sandboxes instantâneas e documentação abrangente, integrar a verificação de identidade do Didit na sua aplicação é simples. Os nossos endpoints de autenticação programática simplificam o processo de aquisição de credenciais, tornando a gestão de identidades federadas mais fácil do que nunca.
• KYC Core Gratuito: O Didit oferece um nível de KYC Core Gratuito, permitindo que comece a construir e testar os seus fluxos de identidade e autorização sem custos iniciais. Isso permite um prototipagem rápido e garante que pode implementar uma base segura desde o primeiro dia.
• Global por Design: A plataforma do Didit foi construída para escala global, suportando vários tipos de documentos e requisitos de conformidade. Isso garante que as suas políticas de autorização granular podem ser aplicadas consistentemente numa base de utilizadores diversificada, com opções de residência de dados no país para contas empresariais.
• Fluxos de Trabalho Orquestrados: Use a Consola de Negócios sem código do Didit para orquestrar fluxos de trabalho KYC complexos, que podem então alimentar a sua camada de autorização. Isso permite ajustes dinâmicos aos requisitos de verificação com base em perfis de risco, melhorando ainda mais os dados disponíveis para as políticas do Cerbos.

Ao aproveitar o Didit para a verificação de identidade, as empresas podem afirmar de forma fiável as identidades dos utilizadores e os seus atributos associados, fornecendo ao Cerbos o contexto crucial necessário para tomar decisões de autorização granular precisas e seguras. Esta combinação resulta numa arquitetura de segurança poderosa, escalável e auditável.

Pronto para Começar?

Pronto para ver o Didit em ação? Obtenha uma demonstração gratuita hoje.

Comece a verificar identidades gratuitamente com o nível gratuito do Didit.