浅谈“决策引擎”在身份管理的应用

在我们生活处处可见引擎的踪影,对于游戏来说引擎是游戏的关键核心,对于汽车来说 引擎是核心的发动机是提供动力的源泉,对于杀毒引擎来说, 引擎是其核心病毒库和鉴别组件构成。那么什么是身份引擎?
01什么是决策引擎?
决策引擎是指企业针对其客户提供个性化服务的决策平台,这些个性化服务决策通常包括:风险决策、精确营销决策等,但是应用在身份领域,OneAuth是这一场景的开创者。
浅谈“决策引擎”在身份管理的应用
文章图片

决策引擎是现实世界决策的高纬度抽象, 包含了三个对象,即:输入、决策引擎、输出。不同场景下对应不同的输入,同时应用的模型不同,产生决策结果也不同。其中输入和输出很容易理解,那么具象化的引擎是什么?
浅谈“决策引擎”在身份管理的应用
文章图片

决策引擎可以理解为是规则、模型运行的容器,可根据随时根据场景的需要,来改变要求的输入和改变规则和模型,从而无需而外开发来适配新的场景。
02什么是身份管理?
让我们先从IAM来说起
IAM是 Identity and Access Management 的缩写,即身份与访问管理,或称为身份管理与访问控制。 IAM主要为了达到一个目的:让恰当的人或物,有恰当的权限,访问恰当的资源。其中“人或物”称为主体(Subject),“资源”称为客体(Object)。
传统的IAM一般包含如下几部分,常被称为“4A”或“5A”,但是往往因为现实世界的账号、权限、认证方式和访问的客体是动态的,传统的IAM已经不再适应多元化,多场景的需求。
浅谈“决策引擎”在身份管理的应用
文章图片

IAM虽然能完成身份管理的最基本管理功能,随着近年基于云应用,云原生的企业越来越多,SaaS行业发展逐渐繁荣,时代的发展,企业处理业务习惯也逐步相云迁移,或基于云。云原生应用 SaaS等众多产品 ,给人们带来极大的便利同时也面临着身份管理的问题。企业业务分布在不同的云应用上,但是对于员工身份信息管理,企业组织架构,权限分配,却是割裂且独立的。
03什么是身份“引擎” 面向未来的身份引擎OS -OneAuth? Cloud Engine
引擎与OS的定位是要为使用者/开发者赋予更多的选择、模块化的自由组合。
OS 的抽象 - 身份管理去耦合
浅谈“决策引擎”在身份管理的应用
文章图片

为了适用于每种APP的访问体验,OneAuth将身份抽象为四个核心的构建,每个构建引用一组或者多组策略引擎——将用户访问过程的分解为身份、授权、登记和注册、签发四个核心块,以底层的策略引擎提供决策支持。
客户可以创建动态的、基于上下文的用户旅程,以最少的自定义代码处理无限数量的身份用例的能力。使用有关用户、设备、应用程序、网络和用户行为的上下文来告知任何用户的身份旅程,从而相应地调整访问体验。OneAuth 身份引擎由一系列单独的步骤组成,可以处理从注册到身份验证到授权的整个用户流程。
使用模块化组件定义任意流程 核心OS模块化构建可以使您能够评估策略、触发 Hook、发布事件、提示用户采取行动或直接访问外部服务。定制可以根据用例和应用的上下文而有所不同。可以通过配置跳过OneAuth引擎中的默认的步骤。而且,您可以为任何应用程序或体验中的任何时间点、选择不同的步骤来运行和或让用户来选择是否跳过,从而创建各种身份的访问流程。
浅谈“决策引擎”在身份管理的应用
文章图片
使用策略引擎定义安全的设置 OneAuth的身份引擎是决策引擎在身份场景下的一个实践。
OneAuth身份引擎根据安全或者业务的需要,可以自定义限制访问的条件,根据用户、组成员身份、设备、位置或时间作为访问控制的条件。
比如,根据不同应用敏感程度,设计不同的身份验证步骤,对于敏感的应用、或者可疑的身份,需要输入OTP或者SMS 一次性密码进行MFA的身份验证才能访问应用;比如,需要引入更多的因子,或者账户恢复的过程中,需要更多的验证。
浅谈“决策引擎”在身份管理的应用
文章图片
在OneAuth中支持以下策略类型:

  • OneAuth登录策略:用于控制谁可以登录,在何种环境下允许用户登录 OneAuth,是否需要MFA 的验证,以及登录后允许的保持登录状态的时间。
  • 应用登录策略:在访问应用程序之前,判断是否需要执行的额外身份验证。
  • MFA策略:控制用户可以使用哪些 MFA 的方法,以及设置用户在什么时间去注册是哪种因素。
  • 密码策略:根据不同的用户,给予不同的密码长度和复杂度,密码的有效期。以及账户锁定和解锁的条件,包括用户在何种环境下允许自助进行账户恢复的操作。
  • IDP路由策略:存在多个IDP服务,用户尝试登录时,路由策略根据物理位置、终端、应用、用户等条件,将用户路由设定的IDP。
  • OAuth 授权策略:根据特定客户端、用户、请求的授权范围的组合条件,给予规则定义的特定令牌,包括令牌生命周期的设定。
使用Hook进行额外的扩展 通过Inline Hook 和Event Hook的能力使您能够支持无限的用例。Hooks钩子为 OneAuth身份引擎添加了额外的可扩展性,允许您添加自定义代码来修改运行过程并通知外部服务。 浅谈“决策引擎”在身份管理的应用
文章图片


Hooks 有两种类型:
  • Inline Hook - 允许您向组件添加自定义逻辑
  • Event Hook- 允许您根据 OneAuth 系统日志中发布的事件启动下游集成
可自定义的用户流程 根据应用的自定义,OneAuth可以在每个核心组件中根据决策采取下一步的行动,以推动用户完成他们所访问的流程。
浅谈“决策引擎”在身份管理的应用
文章图片

身份引擎充当了对外部API和开发都需要调用的驱动引擎 当向开发者API/组件服务不满足这一驱动引擎的规范时,外部开发人员会发现错误。这要求开发者在安全设计方面更加的规范的考虑和设计,否则不能与身份引擎进行对接,从底层推动了安全性和质量。
另外,基于此设计,也让业务在自身安全考虑方面不需要考虑的太多,而让开发者更加专注自身的业务,让业务变得更加纯粹,增加其未来的扩展性。这将帮助开发者整体提升自己的工程实践。
需要的不是一个IAM软件 而是一个标准
【浅谈“决策引擎”在身份管理的应用】OneAuth? Cloud Engine 它不是一个产品,更是一个基于引擎OS(一套标准化的身份实践),减少维护成本,提升企业身份安全,提高生产力,完善身份建设。用身份引擎来驱动更多的企业创造更大的愿景。 重新定义身份,任何科技,任何方式,任何位置,任何事件与人的连接

    推荐阅读