Интеграция многоразового KYC с традиционными системами IAM: Руководство для разработчиков (RU)

Разделяйте проверку личностиРассматривайте многоразовый KYC как отдельный сервисный уровень, отличный от основного IAM, чтобы сохранить гибкость и упростить интеграцию с устаревшими системами.

Приоритизируйте API-First DesignИспользуйте надежные RESTful API и веб-хуки для беспрепятственного обмена данными между платформой многоразового KYC и вашей IAM, обеспечивая обновления в реальном времени и архитектуры, управляемые событиями.

Используйте проверяемые учетные данныеПоймите, как проверяемые учетные данные (VCs) могут представлять аттестации KYC, предлагая стандартизированный и конфиденциальный метод для пользователей, чтобы делиться проверенными данными между службами.

Разработайте стратегию синхронизации данныхРеализуйте четкие стратегии для синхронизации статуса KYC и проверенных атрибутов из системы многоразового KYC обратно в вашу IAM для принятия последовательных решений по авторизации.

В эпоху, когда цифровая идентичность имеет первостепенное значение, предприятия сталкиваются с двойной проблемой: строгим соблюдением нормативных требований (KYC/AML) и необходимостью бесперебойного взаимодействия с пользователем. Традиционные системы управления идентификацией и доступом (IAM), хотя и надежны для аутентификации и авторизации, часто испытывают трудности с динамическими требованиями современной проверки личности в реальном времени. Появление многоразового KYC предлагает убедительное решение, позволяя пользователям подтверждать свою личность один раз и разрешать ее повторное использование в нескольких сервисах. Эта статья представляет собой руководство для разработчиков по интеграции многоразового KYC с существующими, часто монолитными, корпоративными системами IAM.

Понимание многоразового KYC и проблем интеграции IAM

Многоразовый KYC принципиально меняет парадигму от многократной, специфичной для сервиса проверки личности к пользовательской модели, где люди владеют и контролируют свои проверенные атрибуты личности, обычно представленные в виде проверяемых учетных данных. Это резко контрастирует со многими устаревшими системами IAM, которые были разработаны вокруг внутренних каталогов пользователей, централизованных протоколов аутентификации (таких как LDAP, SAML или OAuth) и часто проприетарных хранилищ данных.

Основная проблема в интеграции IAM с многоразовым KYC заключается в преодолении этих архитектурных и философских пробелов. Устаревшие системы могут не иметь собственных возможностей для обработки проверяемых учетных данных, обработки децентрализованных идентификаторов (DIDs) или поддержки модели обмена данными, управляемой согласием пользователя, присущей многоразовому KYC. Кроме того, поддержание согласованности данных, обеспечение аудиторских следов соответствия и предотвращение сбоев в критически важных бизнес-процессах являются ключевыми проблемами для технических директоров и специалистов по комплаенсу.

Рассмотрим типичную корпоративную IAM, которая управляет идентификаторами сотрудников и клиентов. Она может использовать Active Directory для сотрудников и пользовательскую базу данных для клиентов, с федеративным поставщиком идентификации, таким как Okta или Auth0, для SSO. Внедрение многоразового KYC означает интеграцию нового источника истины для статуса проверки личности и атрибутов, который должен беспрепятственно использоваться этими разнообразными компонентами IAM без необходимости полного пересмотра.

Архитектурные паттерны для интеграции многоразового KYC

Успешная интеграция многоразового KYC с корпоративной IAM требует хорошо продуманного архитектурного подхода. Мы рекомендуем децентрализованную, API-first стратегию, рассматривая платформу многоразового KYC как специализированный сервисный уровень.

1. Паттерн сервисного уровня проверки личности

Этот паттерн позиционирует платформу многоразового KYC как независимый сервис, отвечающий исключительно за проверку личности и выдачу учетных данных. Ваша существующая IAM остается основным источником для принятия решений по аутентификации и авторизации, но она обращается к сервису KYC для получения проверенных атрибутов личности.

• Слабая связанность: Сервис KYC работает независимо, минимизируя влияние на основную IAM.
• Стандартизированные интерфейсы: Обмен данными происходит через четко определенные RESTful API и веб-хуки.
• Синхронизация данных: Статус проверки KYC и соответствующие атрибуты (например, 'is_verified', 'age_over_18', 'aml_status') передаются или извлекаются в профили пользователей IAM.

Пример потока:

1. Пользователь начинает онбординг через ваше приложение.
2. Приложение перенаправляет на платформу многоразового KYC (например, на ссылку для проверки Didit).
3. Пользователь проходит KYC, и проверяемые учетные данные выдаются и сохраняются в его цифровом кошельке.
4. Платформа многоразового KYC (Didit) отправляет веб-хук в бэкэнд вашего приложения после успешной проверки.
5. Ваш бэкэнд обновляет профиль пользователя в IAM с проверенным статусом и соответствующими атрибутами.
6. Последующие решения по аутентификации/авторизации IAM могут использовать эти обновленные атрибуты.

2. Паттерн синхронизации, управляемой событиями

Для более динамичных сред архитектура, управляемая событиями, может обеспечить согласованность в реальном времени. Когда статус KYC пользователя меняется (например, первоначальная проверка, повторная проверка AML), платформа многоразового KYC генерирует событие. Интеграционный слой (например, очередь сообщений или бессерверная функция) потребляет это событие и обновляет соответствующие компоненты IAM.

{
  "eventType": "kyc.verification.completed",
  "timestamp": "2023-10-27T10:30:00Z",
  "payload": {
    "userId": "user_abc123",
    "did": "did:didit:user_abc123",
    "verificationStatus": "VERIFIED",
    "verifiedAttributes": {
      "firstName": "Jane",
      "lastName": "Doe",
      "dateOfBirth": "1990-01-01",
      "isPEP": false,
      "amlScreeningDate": "2023-10-27"
    },
    "credentialId": "vc_xyz456"
  }
}

Эта полезная нагрузка веб-хука затем может быть использована для обновления вашего внутреннего хранилища пользователей или запуска дальнейших действий в вашей IAM.

Соображения по проектированию API и модели данных

При проектировании API для вашей архитектуры идентификации сосредоточьтесь на простоте, безопасности и расширяемости. Ваша IAM будет в основном взаимодействовать с системой многоразового KYC для:

• Инициирование проверки: Запуск новой сессии KYC для пользователя.
• Получение статуса проверки: Запрос текущего статуса KYC пользователя.
• Получение проверенных атрибутов: Получение конкретных данных личности, подтвержденных системой KYC.
• Получение уведомлений веб-хуков: Получение обновлений в реальном времени об изменениях статуса.

Ключевые точки данных для синхронизации:

• Сопоставление идентификаторов пользователей: Крайне важно связать пользователя в вашей IAM с его идентификатором в системе многоразового KYC (например, clientUserId Didit).
• Статус проверки: Простой булевый (isVerified: true/false) или перечислимый статус (PENDING, VERIFIED, DECLINED).
• Флаги соответствия: isPEP, onSanctionsList, amlScore, ageOver18.
• Ссылки на учетные данные: Указатели на выданные проверяемые учетные данные, если ваша IAM должна хранить их для аудита или будущих ссылок.

API Didit, например, позволяет инициировать сеанс проверки с помощью простого POST-запроса, предоставляя clientUserId для связи с вашим внутренним пользователем. По завершении веб-хуки доставляют полные полезные нагрузки, которые затем могут быть проанализированы и использованы для обновления профилей пользователей в вашей корпоративной IAM.

Как Didit помогает с многоразовым KYC и интеграцией IAM

Didit разработан для упрощения интеграции многоразового KYC с различными архитектурами идентификации, включая устаревшие системы. Наша платформа предоставляет единый API, который организует проверку личности, биометрию, проверку AML и выдачу проверяемых учетных данных.

• Интеграция с одним API: Didit предлагает унифицированный RESTful API, что упрощает интеграцию с любой существующей системой IAM.
• Обновления на основе веб-хуков: Веб-хуки в реальном времени уведомляют вашу систему IAM об изменениях статуса проверки и проверенных атрибутах, позволяя немедленно обновлять профили пользователей.
• Многоразовый KYC по умолчанию: Didit изначально поддерживает проверяемые учетные данные и совместимость с eIDAS2, что позволяет пользователям проходить проверку один раз и повторно использовать свою личность, что упрощает последующие процессы онбординга и повторной проверки для вашей IAM.
• Гибкая оркестрация рабочих процессов: Наш визуальный конструктор рабочих процессов позволяет определять сложные потоки KYC (например, проверка личности + проверка жизнеспособности + AML), а результаты могут быть легко сопоставлены с атрибутами в вашей IAM.
• Комплексные данные: Didit предоставляет детальные результаты проверки, включая сигналы мошенничества, результаты проверки AML и оценки совпадения биометрии, которые могут обогатить профили пользователей вашей IAM для расширенных политик аутентификации и авторизации на основе рисков.
• SDK, удобные для разработчиков: Веб- и мобильные SDK позволяют беспрепятственно встраивать процесс проверки в ваше приложение, а API "сервер-сервер" предлагают полный контроль для безголовой интеграции.

Используя Didit, разработчики могут реализовать современное решение многоразового KYC, которое повышает безопасность и соответствие требованиям, улучшает пользовательский опыт и беспрепятственно интегрируется с существующей инфраструктурой корпоративного IAM, одновременно снижая нагрузку на устаревшие системы.

Готовы начать?

Интеграция многоразового KYC с вашей традиционной IAM не должна быть сложной задачей. Применяя модульный подход, используя надежные API и выбирая комплексную платформу, такую как Didit, вы можете модернизировать свои процессы проверки личности, повысить безопасность и обеспечить превосходный пользовательский опыт. Изучите документацию Didit, чтобы узнать, как вы можете создать более устойчивую и ориентированную на будущее архитектуру идентификации уже сегодня.

• Посетите веб-сайт Didit
• Прочитайте техническую документацию
• Получите доступ к бизнес-консоли
• Посмотрите прозрачные цены Didit

Часто задаваемые вопросы: Многоразовый KYC и интеграция IAM

Что такое многоразовый KYC и чем он отличается от традиционного KYC?

Многоразовый KYC позволяет пользователям проходить проверку личности один раз у доверенного поставщика, а затем безопасно повторно использовать эту проверенную личность в нескольких сервисах и платформах, часто используя проверяемые учетные данные. Традиционный KYC обычно требует, чтобы пользователи проходили полный процесс проверки каждый раз при регистрации в новом сервисе.

Почему интеграция многоразового KYC с существующими системами IAM важна для предприятий?

Интеграция многоразового KYC помогает предприятиям улучшить пользовательский опыт за счет уменьшения сложностей при онбординге, повышения безопасности за счет надежной, стандартизированной проверки и более эффективного достижения соответствия требованиям. Это также позволяет устаревшим системам IAM использовать современные возможности проверки личности без полной перестройки, продлевая их срок службы и ценность.

Каковы основные технические соображения для разработчика при интеграции многоразового KYC?

Разработчики должны сосредоточиться на проектировании API-first для связи, стратегиях безопасной синхронизации данных (например, веб-хуках), сопоставлении идентификаторов пользователей между системами и понимании того, как потреблять и использовать проверяемые учетные данные. Архитектурные паттерны, такие как сервисный уровень проверки личности, имеют решающее значение для поддержания модульности системы.

Может ли многоразовый KYC снизить стоимость проверки личности?

Да, позволяя пользователям повторно использовать свою проверенную личность, предприятия потенциально могут снизить повторяющиеся расходы на проверку. Платформы, такие как Didit, предлагают оплату по факту успеха и скидки за объем, что еще больше оптимизирует экономическую эффективность проверки личности, особенно при бесшовной интеграции в существующие рабочие процессы IAM.