使用Didit实现联邦凭证与细粒度授权 (ZH)

解耦身份与授权将身份验证与授权策略执行分离，以创建更灵活、可扩展的安全架构。Didit处理联邦身份，而Cerbos管理细粒度访问策略。

通过细粒度控制增强安全性根据用户属性、角色和资源上下文实施精确的访问规则，超越传统的基于角色的访问控制（RBAC），实现卓越的安全性和合规性。

简化开发者体验利用Didit的开发者优先API和编程认证，轻松将身份验证集成到您的应用程序中，简化凭证管理和用户入职流程。

Didit助力安全基础Didit提供必要的身份验证和凭证管理，包括免费的核心KYC，让企业能够轻松自信地构建复杂的授权系统。

现代授权的挑战

在当今互联的数字环境中，仅仅知道用户“是谁”（身份验证）已不再足够。企业需要控制该用户“能做什么”、“何时”以及“在何种条件下”（授权）。当涉及到联邦身份时，这一挑战变得更加复杂，因为用户可能通过各种外部提供商进行身份验证。传统的授权模型，例如基本的基于角色的访问控制（RBAC），往往力不从心，导致权限过度、安全漏洞以及管理复杂业务逻辑的困难。

另一方面，细粒度授权允许根据多种因素做出高度具体的访问决策：用户属性（例如年龄、国家、验证状态）、资源属性（例如文档类型、数据敏感度）、环境上下文（例如一天中的时间、IP地址），甚至实体之间的关系。实施这种级别的控制需要强大的身份验证系统和授权引擎协同工作。

联邦凭证与Didit的作用

联邦凭证允许用户通过身份提供商（IdP）进行一次身份验证，然后无需重新输入凭证即可访问多个服务。这改善了用户体验并集中了身份管理。然而，这也意味着授权系统必须能够从各种来源接收和解释身份断言。

Didit作为一个AI原生身份平台，在此发挥着关键作用。它为验证和管理联邦身份提供了基础层。无论是用户首次注册还是重新验证，Didit都能确保身份的合法性并提供经过验证的属性。例如，Didit的ID验证（OCR、MRZ、条形码）可以验证用户的身份文件，而被动和主动活体检测则确保他们是真实的人而不是深度伪造。对于年龄受限的服务，Didit的年龄估算提供了一种保护隐私的方式来确认年龄，而无需收集过多的个人数据。这些经过验证的属性随后成为细粒度授权系统的重要输入。

Didit的编程认证功能在联邦场景中尤其强大。开发人员可以使用Didit的API以编程方式验证电子邮件地址并获取凭证，如/programmatic/verify-email/端点所示。这允许与现有身份流程无缝集成，或构建自定义的认证体验，以融入联邦模型。

引入Cerbos实现细粒度授权

Cerbos是一个开源的、解耦的授权层，使开发人员能够实现细粒度访问控制策略。它通过接收请求（谁、什么、何时、何地）并根据一组用易于阅读的语言（YAML或CUE）编写的策略进行评估来工作。Cerbos的策略即代码方法带来了许多好处，包括版本控制、可审计性以及更容易测试授权逻辑。

与Didit集成时，Cerbos可以利用Didit提供的丰富、经过验证的身份数据。例如，在用户成功完成Didit ID验证流程后，Didit可以提供用户的居住国家、年龄或验证状态等属性。这些属性随后可以作为授权请求的一部分传递给Cerbos。Cerbos策略可以规定，例如，“只有来自欧盟国家的已验证ID用户才能访问标记为敏感欧盟数据的数据”。

架构集成：Didit + Cerbos

Didit和Cerbos的集成通常遵循以下步骤：

1. 用户身份验证与核实（Didit）： 用户发起身份验证。Didit使用ID验证、被动和主动活体检测，甚至电话和电子邮件验证等产品处理核实过程。成功核实后，Didit提供一个安全令牌（例如访问令牌）和一组经过核实的属性（例如is_verified: true, age_group: '18-24', country: 'DE'）。

2. 身份与属性传播： 应用程序后端接收经过身份验证的用户的身份和Didit提供的任何相关属性。这些属性通常包含在用户的会话或配置文件存储中。

3. 授权请求（Cerbos）： 当用户尝试执行某个操作（例如“读取文档X”、“更新配置文件Y”）时，应用程序后端为Cerbos构建一个授权请求。此请求包括：

   • 主体（用户）及其属性（例如{ id: 'user123', roles: ['editor'], country: 'DE', is_verified: true }）。这些属性通过Didit的验证过程进行丰富。
   • 正在访问的资源（例如{ kind: 'document', id: 'doc456', owner: 'user123', sensitivity: 'sensitive_eu' }）。
   • 正在执行的操作（例如“读取”、“更新”）。

4. 策略评估（Cerbos）： Cerbos根据其预定义的策略评估请求。例如，一个策略可能声明：

   - principal.attr.is_verified == true
   - principal.attr.country == resource.attr.country
   - resource.attr.sensitivity == 'sensitive_eu' -> allow
   

5. 决策执行： 根据Cerbos的决策（允许/拒绝），应用程序授予或拒绝访问所请求的资源或操作。

这种解耦架构确保授权逻辑从应用程序代码中外部化，使其更容易管理、审计和演进，而无需重新部署整个应用程序。Didit模块化的身份验证方法完美地补充了这一点，允许企业插入其授权策略所需的精确验证检查，而不会产生不必要的开销。

Didit如何提供帮助

Didit提供了健壮且灵活的身份验证基础，这是实现复杂的联邦凭证和细粒度授权系统所必需的。我们AI原生、开发者优先的平台旨在与Cerbos等授权引擎无缝集成，提供：

• 模块化身份构建块： Didit可组合的身份原语允许您根据需要选择和组合验证方法。从ID验证到被动和主动活体检测、1:1人脸匹配以及AML筛选和监控，您可以精确获取授权策略所需的身份数据。
• 丰富、经过验证的属性： Didit不仅进行身份验证，还进行核实。这意味着您将收到高置信度的身份属性（例如年龄、国家、验证状态），这些是细粒度授权决策的重要输入，从而实现“只有来自特定地区的21岁以上已验证用户才能访问”等策略。
• 开发者优先体验： 凭借清晰的API、即时沙盒和全面的文档，将Didit的身份验证集成到您的应用程序中非常简单。我们的编程认证端点简化了凭证获取过程，使联邦身份管理比以往任何时候都更容易。
• 免费核心KYC： Didit提供免费的核心KYC层，允许您无需前期成本即可开始构建和测试您的身份和授权流程。这使得快速原型设计成为可能，并确保您从第一天起就能实施一个安全的基础。
• 全球化设计： Didit平台专为全球规模而构建，支持各种文档类型和合规要求。这确保您的细粒度授权策略可以一致地应用于不同的用户群，并为企业账户提供国内数据驻留选项。
• 编排工作流： 使用Didit的无代码业务控制台来编排复杂的KYC工作流，然后这些工作流可以输入到您的授权层。这允许根据风险配置文件动态调整验证要求，进一步增强Cerbos策略可用的数据。

通过利用Didit进行身份验证，企业可以可靠地断言用户身份及其关联属性，为Cerbos提供做出准确和安全细粒度授权决策所需的关键上下文。这种组合带来了一个强大、可扩展且可审计的安全架构。

准备好开始了吗？

准备好亲身体验Didit了吗？立即获取免费演示。

使用Didit免费套餐开始免费验证身份。