在我們生活處處可見引擎的蹤影，對于游戲來說引擎是游戲的關(guān)鍵核心，對于汽車來說 引擎是核心的發(fā)動機(jī)是提供動力的源泉，對于殺毒引擎來說， 引擎是其核心病毒庫和鑒別組件構(gòu)成。那么什么是身份引擎？

01什么是決策引擎？

決策引擎是指企業(yè)針對其客戶提供個性化服務(wù)的決策平臺，這些個性化服務(wù)決策通常包括：風(fēng)險決策、精確營銷決策等，但是應(yīng)用在身份領(lǐng)域，OneAuth是這一場景的開創(chuàng)者。

決策引擎是現(xiàn)實(shí)世界決策的高緯度抽象， 包含了三個對象，即：輸入、決策引擎、輸出。不同場景下對應(yīng)不同的輸入，同時應(yīng)用的模型不同，產(chǎn)生決策結(jié)果也不同。其中輸入和輸出很容易理解，那么具象化的引擎是什么？

決策引擎可以理解為是規(guī)則、模型運(yùn)行的容器，可根據(jù)隨時根據(jù)場景的需要，來改變要求的輸入和改變規(guī)則和模型，從而無需而外開發(fā)來適配新的場景。

02什么是身份管理？

讓我們先從IAM來說起

IAM是 Identity and Access Management 的縮寫，即身份與訪問管理，或稱為身份管理與訪問控制。 IAM主要為了達(dá)到一個目的：讓恰當(dāng)?shù)娜嘶蛭铮星‘?dāng)?shù)臋?quán)限，訪問恰當(dāng)?shù)馁Y源。其中“人或物”稱為主體（Subject），“資源”稱為客體（Object）。

傳統(tǒng)的IAM一般包含如下幾部分，常被稱為“4A”或“5A”，但是往往因為現(xiàn)實(shí)世界的賬號、權(quán)限、認(rèn)證方式和訪問的客體是動態(tài)的，傳統(tǒng)的IAM已經(jīng)不再適應(yīng)多元化，多場景的需求。

IAM雖然能完成身份管理的最基本管理功能，隨著近年基于云應(yīng)用，云原生的企業(yè)越來越多，SaaS行業(yè)發(fā)展逐漸繁榮，時代的發(fā)展，企業(yè)處理業(yè)務(wù)習(xí)慣也逐步相云遷移，或基于云。云原生應(yīng)用 SaaS等眾多產(chǎn)品 ，給人們帶來極大的便利同時也面臨著身份管理的問題。企業(yè)業(yè)務(wù)分布在不同的云應(yīng)用上，但是對于員工身份信息管理，企業(yè)組織架構(gòu)，權(quán)限分配，卻是割裂且獨(dú)立的。

03什么是身份“引擎”

面向未來的身份引擎OS -OneAuth? Cloud Engine

?

引擎與OS的定位是要為使用者/開發(fā)者賦予更多的選擇、模塊化的自由組合。

OS 的抽象 - 身份管理去耦合

為了適用于每種APP的訪問體驗，OneAuth將身份抽象為四個核心的構(gòu)建，每個構(gòu)建引用一組或者多組策略引擎——將用戶訪問過程的分解為身份、授權(quán)、登記和注冊、簽發(fā)四個核心塊，以底層的策略引擎提供決策支持。

客戶可以創(chuàng)建動態(tài)的、基于上下文的用戶旅程，以最少的自定義代碼處理無限數(shù)量的身份用例的能力。使用有關(guān)用戶、設(shè)備、應(yīng)用程序、網(wǎng)絡(luò)和用戶行為的上下文來告知任何用戶的身份旅程，從而相應(yīng)地調(diào)整訪問體驗。OneAuth 身份引擎由一系列單獨(dú)的步驟組成，可以處理從注冊到身份驗證到授權(quán)的整個用戶流程。

使用模塊化組件定義任意流程

核心OS模塊化構(gòu)建可以使您能夠評估策略、觸發(fā) Hook、發(fā)布事件、提示用戶采取行動或直接訪問外部服務(wù)。定制可以根據(jù)用例和應(yīng)用的上下文而有所不同?？梢酝ㄟ^配置跳過OneAuth引擎中的默認(rèn)的步驟。而且，您可以為任何應(yīng)用程序或體驗中的任何時間點(diǎn)、選擇不同的步驟來運(yùn)行和或讓用戶來選擇是否跳過，從而創(chuàng)建各種身份的訪問流程。

使用策略引擎定義安全的設(shè)置

OneAuth的身份引擎是決策引擎在身份場景下的一個實(shí)踐。

OneAuth身份引擎根據(jù)安全或者業(yè)務(wù)的需要，可以自定義限制訪問的條件，根據(jù)用戶、組成員身份、設(shè)備、位置或時間作為訪問控制的條件。

比如，根據(jù)不同應(yīng)用敏感程度，設(shè)計不同的身份驗證步驟，對于敏感的應(yīng)用、或者可疑的身份，需要輸入OTP或者SMS 一次性密碼進(jìn)行MFA的身份驗證才能訪問應(yīng)用；比如，需要引入更多的因子，或者賬戶恢復(fù)的過程中，需要更多的驗證。

在OneAuth中支持以下策略類型：

OneAuth登錄策略：用于控制誰可以登錄，在何種環(huán)境下允許用戶登錄 OneAuth，是否需要MFA 的驗證，以及登錄后允許的保持登錄狀態(tài)的時間。

應(yīng)用登錄策略：在訪問應(yīng)用程序之前，判斷是否需要執(zhí)行的額外身份驗證。

MFA策略：控制用戶可以使用哪些 MFA 的方法，以及設(shè)置用戶在什么時間去注冊是哪種因素。

密碼策略：根據(jù)不同的用戶，給予不同的密碼長度和復(fù)雜度，密碼的有效期。以及賬戶鎖定和解鎖的條件，包括用戶在何種環(huán)境下允許自助進(jìn)行賬戶恢復(fù)的操作。

IDP路由策略：存在多個IDP服務(wù)，用戶嘗試登錄時，路由策略根據(jù)物理位置、終端、應(yīng)用、用戶等條件，將用戶路由設(shè)定的IDP。

OAuth 授權(quán)策略：根據(jù)特定客戶端、用戶、請求的授權(quán)范圍的組合條件，給予規(guī)則定義的特定令牌，包括令牌生命周期的設(shè)定。

使用Hook進(jìn)行額外的擴(kuò)展

通過Inline Hook 和Event Hook的能力使您能夠支持無限的用例。Hooks鉤子為 OneAuth身份引擎添加了額外的可擴(kuò)展性，允許您添加自定義代碼來修改運(yùn)行過程并通知外部服務(wù)。

Hooks 有兩種類型：

Inline Hook - 允許您向組件添加自定義邏輯

Event Hook- 允許您根據(jù) OneAuth 系統(tǒng)日志中發(fā)布的事件啟動下游集成

可自定義的用戶流程

根據(jù)應(yīng)用的自定義，OneAuth可以在每個核心組件中根據(jù)決策采取下一步的行動，以推動用戶完成他們所訪問的流程。

身份引擎充當(dāng)了對外部API和開發(fā)都需要調(diào)用的驅(qū)動引擎

當(dāng)向開發(fā)者API/組件服務(wù)不滿足這一驅(qū)動引擎的規(guī)范時，外部開發(fā)人員會發(fā)現(xiàn)錯誤。這要求開發(fā)者在安全設(shè)計方面更加的規(guī)范的考慮和設(shè)計，否則不能與身份引擎進(jìn)行對接，從底層推動了安全性和質(zhì)量。

另外，基于此設(shè)計，也讓業(yè)務(wù)在自身安全考慮方面不需要考慮的太多，而讓開發(fā)者更加專注自身的業(yè)務(wù)，讓業(yè)務(wù)變得更加純粹，增加其未來的擴(kuò)展性。這將幫助開發(fā)者整體提升自己的工程實(shí)踐。

需要的不是一個IAM軟件 而是一個標(biāo)準(zhǔn)

OneAuth? Cloud Engine 它不是一個產(chǎn)品，更是一個基于引擎OS（一套標(biāo)準(zhǔn)化的身份實(shí)踐），減少維護(hù)成本，提升企業(yè)身份安全，提高生產(chǎn)力，完善身份建設(shè)。用身份引擎來驅(qū)動更多的企業(yè)創(chuàng)造更大的愿景。 重新定義身份,任何科技,任何方式,任何位置,任何事件與人的連接