Федеративные учетные данные и детальная авторизация с Didit (RU)

Разделите идентификацию и авторизациюРазделение проверки личности и применения политик авторизации позволяет создавать более гибкие и масштабируемые архитектуры безопасности. Didit занимается федеративной идентификацией, а Cerbos управляет детализированными политиками доступа.

Повысьте безопасность с детальным контролемВнедряйте точные правила доступа на основе атрибутов пользователя, ролей и контекста ресурсов, выходя за рамки традиционного ролевого контроля доступа (RBAC) для превосходной безопасности и соответствия требованиям.

Оптимизируйте опыт разработчиковИспользуйте API Didit, ориентированные на разработчиков, и программную аутентификацию для легкой интеграции проверки личности в ваши приложения, упрощая управление учетными данными и адаптацию пользователей.

Didit обеспечивает надежные основыDidit предоставляет необходимые инструменты для проверки личности и управления учетными данными, включая Free Core KYC, что позволяет компаниям с уверенностью и легкостью создавать сложные системы авторизации.

Вызовы современной авторизации

В современном взаимосвязанном цифровом мире просто знать, кто является пользователем (аутентификация), уже недостаточно. Предприятиям необходимо контролировать, что этот пользователь может делать, когда и при каких условиях (авторизация). Эта задача становится еще более сложной при работе с федеративными идентификаторами, когда пользователи могут аутентифицироваться через различные внешние провайдеры. Традиционные модели авторизации, такие как базовый ролевой контроль доступа (RBAC), часто оказываются недостаточными, что приводит к избыточным разрешениям, уязвимостям безопасности и трудностям в управлении сложной бизнес-логикой.

Детальная авторизация, с другой стороны, позволяет принимать высокоспецифичные решения о доступе на основе множества факторов: атрибутов пользователя (например, возраст, страна, статус верификации), атрибутов ресурса (например, тип документа, чувствительность данных), контекста среды (например, время суток, IP-адрес) и даже отношений между сущностями. Внедрение такого уровня контроля требует надежной системы проверки личности и мощного механизма авторизации, работающих в тандеме.

Федеративные учетные данные и роль Didit

Федеративные учетные данные позволяют пользователям один раз аутентифицироваться у поставщика удостоверений (IdP), а затем получать доступ к нескольким службам без повторного ввода своих учетных данных. Это улучшает пользовательский опыт и централизует управление идентификацией. Однако это также означает, что система авторизации должна быть способна принимать и интерпретировать утверждения идентификации из различных источников.

Didit, как AI-нативная платформа идентификации, играет здесь решающую роль. Она предоставляет базовый уровень для проверки и управления федеративными идентификаторами. Независимо от того, регистрируется ли пользователь впервые или повторно аутентифицируется, Didit гарантирует легитимность идентификатора и предоставляет проверенные атрибуты. Например, проверка личности Didit (OCR, MRZ, штрих-коды) может проверить документ, удостоверяющий личность пользователя, а пассивная и активная проверка живости гарантирует, что это реальный человек, а не дипфейк. Для услуг с возрастными ограничениями оценка возраста Didit предлагает способ сохранения конфиденциальности для подтверждения возраста без сбора избыточных персональных данных. Эти проверенные атрибуты затем являются важными входными данными для системы детальной авторизации.

Возможности программной аутентификации Didit особенно мощны для федеративных сценариев. Разработчики могут использовать API Didit для проверки адресов электронной почты и получения учетных данных программно, как показано конечной точкой /programmatic/verify-email/. Это позволяет беспрепятственно интегрироваться с существующими потоками идентификации или создавать собственные механизмы аутентификации, которые вписываются в федеративную модель.

Представляем Cerbos для детальной авторизации

Cerbos — это открытый, независимый уровень авторизации, который позволяет разработчикам реализовывать политики детального контроля доступа. Он работает, принимая запрос (кто, что, когда, где) и оценивая его на основе набора политик, написанных на удобочитаемом языке (YAML или CUE). Подход Cerbos «политика как код» приносит множество преимуществ, включая контроль версий, возможность аудита и упрощенное тестирование логики авторизации.

При интеграции с Didit, Cerbos может использовать богатые, проверенные данные идентификации, предоставляемые Didit. Например, после того, как пользователь успешно завершит процесс проверки личности Didit, Didit может предоставить такие атрибуты, как страна проживания пользователя, возраст или статус верификации. Эти атрибуты затем могут быть переданы в Cerbos как часть запроса на авторизацию. Политики Cerbos затем могут диктовать, например, что «только пользователи с проверенным удостоверением личности из страны ЕС могут получать доступ к данным, помеченным как конфиденциальные данные ЕС».

Архитектура интеграции: Didit + Cerbos

Интеграция Didit и Cerbos обычно состоит из следующих шагов:

1. Аутентификация и верификация пользователя (Didit): Пользователь инициирует аутентификацию. Didit обрабатывает процесс верификации, используя такие продукты, как проверка личности, пассивная и активная проверка живости или даже проверка телефона и электронной почты. После успешной верификации Didit предоставляет безопасный токен (например, токен доступа) и, возможно, набор проверенных атрибутов (например, is_verified: true, age_group: '18-24', country: 'DE').

2. Распространение идентификаторов и атрибутов: Бэкенд приложения получает идентификатор аутентифицированного пользователя и любые соответствующие атрибуты от Didit. Эти атрибуты часто включаются в сеанс пользователя или хранилище профилей.

3. Запрос на авторизацию (Cerbos): Когда пользователь пытается выполнить действие (например, «прочитать документ X», «обновить профиль Y»), бэкенд приложения формирует запрос на авторизацию для Cerbos. Этот запрос включает:

   • Субъект (пользователь) и его атрибуты (например, { id: 'user123', roles: ['editor'], country: 'DE', is_verified: true }). Эти атрибуты обогащаются процессом верификации Didit.
   • Ресурс, к которому осуществляется доступ (например, { kind: 'document', id: 'doc456', owner: 'user123', sensitivity: 'sensitive_eu' }).
   • Выполняемое действие (например, «чтение», «обновление»).

4. Оценка политики (Cerbos): Cerbos оценивает запрос на основе своих предопределенных политик. Например, политика может гласить:

   - principal.attr.is_verified == true
   - principal.attr.country == resource.attr.country
   - resource.attr.sensitivity == 'sensitive_eu' -> allow
   

5. Применение решения: На основе решения Cerbos (РАЗРЕШИТЬ/ЗАПРЕТИТЬ) приложение либо предоставляет, либо отказывает в доступе к запрошенному ресурсу или действию.

Эта децентрализованная архитектура гарантирует, что логика авторизации вынесена за пределы кода приложения, что упрощает управление, аудит и развитие без повторного развертывания всего приложения. Модульный подход Didit к проверке личности прекрасно дополняет это, позволяя компаниям подключать именно те проверки, которые необходимы для их политик авторизации, без ненужных накладных расходов.

Как Didit помогает

Didit предоставляет надежную и гибкую основу для проверки личности, необходимую для реализации сложных федеративных учетных данных и систем детальной авторизации. Наша AI-нативная платформа, ориентированная на разработчиков, разработана для бесшовной интеграции с механизмами авторизации, такими как Cerbos, предлагая:

• Модульные строительные блоки идентификации: Компонуемые примитивы идентификации Didit позволяют выбирать и комбинировать методы проверки по мере необходимости. От проверки личности до пассивной и активной проверки живости, сопоставления лиц 1:1 и AML-скрининга и мониторинга — вы получаете именно те данные идентификации, которые требуются для ваших политик авторизации.
• Богатые, проверенные атрибуты: Didit не просто аутентифицирует; он проверяет. Это означает, что вы получаете высокодостоверные атрибуты идентификации (например, возраст, страна, статус верификации), которые являются важными входными данными для принятия детальных решений об авторизации, позволяя применять такие политики, как «только проверенные пользователи старше 21 года из определенных регионов могут получить доступ».
• Опыт, ориентированный на разработчиков: Благодаря чистым API, мгновенным песочницам и всеобъемлющей документации интеграция проверки личности Didit в ваше приложение проста. Наши программные конечные точки аутентификации упрощают процесс получения учетных данных, делая управление федеративной идентификацией проще, чем когда-либо.
• Бесплатный базовый KYC: Didit предлагает бесплатный уровень Core KYC, позволяя вам начать создавать и тестировать свои потоки идентификации и авторизации без предварительных затрат. Это позволяет быстро создавать прототипы и гарантирует, что вы сможете реализовать безопасную основу с первого дня.
• Глобальный дизайн: Платформа Didit создана для глобального масштаба, поддерживая различные типы документов и требования соответствия. Это гарантирует, что ваши политики детальной авторизации могут применяться последовательно для разнообразной пользовательской базы, с возможностью резидентства данных в стране для корпоративных аккаунтов.
• Оркестрованные рабочие процессы: Используйте консоль Didit без кода для оркестровки сложных рабочих процессов KYC, которые затем могут быть переданы вашему уровню авторизации. Это позволяет динамически корректировать требования к верификации на основе профилей рисков, еще больше расширяя данные, доступные для политик Cerbos.

Используя Didit для проверки личности, компании могут надежно подтверждать личности пользователей и связанные с ними атрибуты, предоставляя Cerbos важнейший контекст, необходимый для принятия точных и безопасных детальных решений об авторизации. Эта комбинация приводит к мощной, масштабируемой и проверяемой архитектуре безопасности.

Готовы начать?

Готовы увидеть Didit в действии? Получите бесплатную демонстрацию сегодня.

Начните бесплатно проверять личности с бесплатным уровнем Didit.