利用 Didit 和 OPA 实现动态身份属性交换与访问控制 (ZH)

将策略执行与应用逻辑解耦利用 Open Policy Agent (OPA) 将授权决策外部化，从而实现策略的集中管理和动态更新，而无需修改核心应用程序代码。

利用动态身份属性集成 Didit 全面的身份验证能力，提供实时、经过验证的属性（例如，年龄、国籍、验证状态），用于 OPA 策略，从而实现高度精细的访问控制。

实现细粒度访问控制结合 OPA 的声明式策略语言和 Didit 丰富的身份数据，以实施复杂的授权规则，这些规则可根据用户上下文和经过验证的身份属性进行调整。

Didit 简化属性配置Didit 的模块化、AI 原生平台提供了一种无缝的方式来收集和验证各种身份属性，使其随时可用于 OPA 策略，同时提供免费的核心 KYC 和零设置费用。

现代访问控制的挑战

在当今复杂的数字环境中，仅仅知道用户“是谁”（身份验证）已不再足够。组织越来越需要知道用户“可以做什么”，这取决于多种因素，包括其经过验证的身份属性、上下文信息和业务规则。这就是细粒度访问控制发挥作用的地方。传统的基于角色的访问控制 (RBAC) 往往力不从心，难以适应动态条件或需要频繁、繁琐的更新。基于属性的访问控制 (ABAC) 至关重要，但要有效实施，需要一个强大的系统来收集、验证和交换身份属性。

核心挑战在于将授权逻辑与应用程序代码解耦，确保策略在不同服务之间保持一致，并利用实时、经过验证的身份数据做出明智的访问决策。如果没有可扩展的解决方案，管理授权将成为瓶颈，阻碍敏捷性并增加安全风险。

引入 Open Policy Agent (OPA) 进行策略执行

Open Policy Agent (OPA) 是一个开源的通用策略引擎，可实现整个堆栈的统一、上下文感知策略执行。OPA 允许您将策略决策从您的服务卸载到专门的策略引擎。您无需将授权规则硬编码到应用程序中，而是向 OPA 查询决策。OPA 根据您的应用程序提供的数据评估用其高级声明性语言 Rego 编写的策略，并返回一个答案。

这种架构具有以下几个主要优势：

• 解耦：将策略逻辑与应用程序代码分离，简化开发和维护。
• 集中化：可以集中管理和更新策略，确保微服务和应用程序之间的一致性。
• 灵活性：Rego 强大的表达能力允许基于任何输入数据制定高度复杂和动态的策略。
• 性能：OPA 可以作为 Sidecar 或守护进程部署，提供低延迟的策略决策。

例如，OPA 策略可能规定用户只有在其验证年龄超过 18 岁且位于特定区域时才能访问特定资源。然而，此类策略的有效性在很大程度上取决于输入到 OPA 的身份属性的质量和可信度。

动态身份属性的作用

要超越静态 RBAC 并实现真正的细粒度 ABAC，应用程序需要访问动态、可靠的身份属性。这些属性可以从基本的人口统计信息到高级验证状态。想象一个需要实现以下功能的应用程序：

• 仅向年龄已验证为 21 岁或以上的用户授予赌博功能访问权限（需要 Didit 的年龄估算或身份验证）。
• 仅当用户通过了反洗钱筛选且其身份文件（通过包含 OCR、MRZ 和条形码的身份验证进行验证）有效时，才允许金融交易。
• 根据用户的居住国限制对某些内容的访问，通过地址证明进行验证。
• 在允许高价值操作之前确认用户的活体状态（被动和主动活体检测），以防止深度伪造欺诈。

这些不是静态角色；它们是需要实时收集、验证和更新的动态属性。这就是强大的身份验证平台变得不可或缺的地方。以编程方式获取这些经过验证的属性并将其输入 OPA 的决策过程的能力是动态身份属性交换的基石。

使用 Didit 和 OPA 构建身份属性交换

Didit 和 OPA 之间的集成创造了强大的协同作用，可实现动态、细粒度的访问控制。工作原理如下：

1. Didit 身份验证：当用户注册或尝试需要验证的操作时，Didit 平台会收集并验证必要的身份属性。这可能涉及用于文档真实性的身份验证、用于欺诈预防的被动和主动活体检测、用于年龄限制内容的年龄估算或用于合规性的反洗钱筛选。
2. 属性存储和检索：一旦验证，这些属性将安全地存储在 Didit 中，并可通过其简洁的 API 进行检索。Didit 的模块化架构使其可以轻松地挑选特定策略所需的精确属性。
3. 将属性输入 OPA：您的应用程序在收到访问请求时，会收集相关的上下文数据（例如，用户 ID、请求的资源、IP 地址）。然后，它会查询 Didit 的 API，以获取用户的必要验证身份属性。
4. OPA 策略评估：然后将这些组合数据（上下文 + Didit 验证的属性）作为输入发送到 OPA。OPA 根据此输入评估其 Rego 策略，确定是否应允许或拒绝访问请求。
5. 执行：您的应用程序从 OPA 接收决策并相应地执行，授予或拒绝访问。

这创建了一个具有弹性且高度适应性的授权系统。可以在 OPA 中更新策略，而无需部署新的应用程序代码，并且访问决策始终基于 Didit 提供的最新、最准确的验证身份属性。

Didit 如何提供帮助

Didit 是构建这种动态身份属性交换的首选平台。作为 AI 原生、开发者优先的身份平台，Didit 提供了收集和验证各种身份属性的基本构建块，与 OPA 无缝集成，实现细粒度的访问控制。

• 全面的身份验证：Didit 提供全套产品，包括身份验证（OCR、MRZ、条形码）、被动和主动活体检测、1:1 人脸比对、反洗钱筛选和监控、地址证明和年龄估算。这些提供了复杂 OPA 策略所需的丰富、经过验证的数据。
• 模块化和开发者优先：Didit 的开放、模块化架构意味着您可以选择所需的精确验证组件。其简洁的 API 和即时沙盒使集成变得简单，允许您快速向 OPA 提供身份属性。
• AI 原生准确性：Didit 利用先进的 AI，确保属性提取和欺诈检测的高准确性，为您的授权决策提供可靠数据。
• 编排工作流：通过 Didit 的无代码业务控制台，您可以编排复杂的 KYC 工作流，收集和验证所有必要的属性，然后可以将其公开供 OPA 使用。
• 成本效益：Didit 提供免费核心 KYC和按成功检查付费模式，无设置费用，使其成为各种规模企业的可访问解决方案。

通过使用 Didit，您可以确保输入到 OPA 策略的身份属性不仅存在，而且经过验证、准确且最新，从而构成真正安全和动态访问控制系统的基石。

准备好开始了吗？

准备好亲身体验 Didit 了吗？立即获取免费演示。

使用Didit 的免费套餐免费开始验证身份。