浅谈“决策引擎”在身份管理的应用

在我们生活处处可见引擎的踪影，对于游戏来说引擎是游戏的关键核心，对于汽车来说引擎是核心的发动机是提供动力的源泉，对于杀毒引擎来说，引擎是其核心病毒库和鉴别组件构成。那么什么是身份引擎？

01什么是决策引擎？

决策引擎是指企业针对其客户提供个性化服务的决策平台，这些个性化服务决策通常包括：风险决策、精确营销决策等，但是应用在身份领域，OneAuth是这一场景的开创者。

决策引擎是现实世界决策的高纬度抽象，包含了三个对象，即：输入、决策引擎、输出。不同场景下对应不同的输入，同时应用的模型不同，产生决策结果也不同。其中输入和输出很容易理解，那么具象化的引擎是什么？

决策引擎可以理解为是规则、模型运行的容器，可根据随时根据场景的需要，来改变要求的输入和改变规则和模型，从而无需而外开发来适配新的场景。

02什么是身份管理？

让我们先从IAM来说起

IAM是 Identity and Access Management 的缩写，即身份与访问管理，或称为身份管理与访问控制。 IAM主要为了达到一个目的：让恰当的人或物，有恰当的权限，访问恰当的资源。其中“人或物”称为主体（Subject），“资源”称为客体（Object）。

传统的IAM一般包含如下几部分，常被称为“4A”或“5A”，但是往往因为现实世界的账号、权限、认证方式和访问的客体是动态的，传统的IAM已经不再适应多元化，多场景的需求。

IAM虽然能完成身份管理的最基本管理功能，随着近年基于云应用，云原生的企业越来越多，SaaS行业发展逐渐繁荣，时代的发展，企业处理业务习惯也逐步相云迁移，或基于云。云原生应用 SaaS等众多产品，给人们带来极大的便利同时也面临着身份管理的问题。企业业务分布在不同的云应用上，但是对于员工身份信息管理，企业组织架构，权限分配，却是割裂且独立的。

03什么是身份“引擎”

面向未来的身份引擎OS -OneAuth™ Cloud Engine

引擎与OS的定位是要为使用者/开发者赋予更多的选择、模块化的自由组合。

OS 的抽象 - 身份管理去耦合

为了适用于每种APP的访问体验，OneAuth将身份抽象为四个核心的构建，每个构建引用一组或者多组策略引擎——将用户访问过程的分解为身份、授权、登记和注册、签发四个核心块，以底层的策略引擎提供决策支持。

客户可以创建动态的、基于上下文的用户旅程，以最少的自定义代码处理无限数量的身份用例的能力。使用有关用户、设备、应用程序、网络和用户行为的上下文来告知任何用户的身份旅程，从而相应地调整访问体验。OneAuth 身份引擎由一系列单独的步骤组成，可以处理从注册到身份验证到授权的整个用户流程。

使用模块化组件定义任意流程

核心OS模块化构建可以使您能够评估策略、触发 Hook、发布事件、提示用户采取行动或直接访问外部服务。定制可以根据用例和应用的上下文而有所不同。可以通过配置跳过OneAuth引擎中的默认的步骤。而且，您可以为任何应用程序或体验中的任何时间点、选择不同的步骤来运行和或让用户来选择是否跳过，从而创建各种身份的访问流程。

使用策略引擎定义安全的设置

OneAuth的身份引擎是决策引擎在身份场景下的一个实践。

OneAuth身份引擎根据安全或者业务的需要，可以自定义限制访问的条件，根据用户、组成员身份、设备、位置或时间作为访问控制的条件。

比如，根据不同应用敏感程度，设计不同的身份验证步骤，对于敏感的应用、或者可疑的身份，需要输入OTP或者SMS 一次性密码进行MFA的身份验证才能访问应用；比如，需要引入更多的因子，或者账户恢复的过程中，需要更多的验证。

在OneAuth中支持以下策略类型：

OneAuth登录策略：用于控制谁可以登录，在何种环境下允许用户登录 OneAuth，是否需要MFA 的验证，以及登录后允许的保持登录状态的时间。
应用登录策略：在访问应用程序之前，判断是否需要执行的额外身份验证。
MFA策略：控制用户可以使用哪些 MFA 的方法，以及设置用户在什么时间去注册是哪种因素。
密码策略：根据不同的用户，给予不同的密码长度和复杂度，密码的有效期。以及账户锁定和解锁的条件，包括用户在何种环境下允许自助进行账户恢复的操作。
IDP路由策略：存在多个IDP服务，用户尝试登录时，路由策略根据物理位置、终端、应用、用户等条件，将用户路由设定的IDP。
OAuth 授权策略：根据特定客户端、用户、请求的授权范围的组合条件，给予规则定义的特定令牌，包括令牌生命周期的设定。

使用Hook进行额外的扩展

通过Inline Hook 和Event Hook的能力使您能够支持无限的用例。Hooks钩子为 OneAuth身份引擎添加了额外的可扩展性，允许您添加自定义代码来修改运行过程并通知外部服务。

Hooks 有两种类型：

Inline Hook - 允许您向组件添加自定义逻辑
Event Hook- 允许您根据 OneAuth 系统日志中发布的事件启动下游集成

可自定义的用户流程

根据应用的自定义，OneAuth可以在每个核心组件中根据决策采取下一步的行动，以推动用户完成他们所访问的流程。

身份引擎充当了对外部API和开发都需要调用的驱动引擎

当向开发者API/组件服务不满足这一驱动引擎的规范时，外部开发人员会发现错误。这要求开发者在安全设计方面更加的规范的考虑和设计，否则不能与身份引擎进行对接，从底层推动了安全性和质量。

另外，基于此设计，也让业务在自身安全考虑方面不需要考虑的太多，而让开发者更加专注自身的业务，让业务变得更加纯粹，增加其未来的扩展性。这将帮助开发者整体提升自己的工程实践。

需要的不是一个IAM软件而是一个标准

OneAuth™ Cloud Engine 它不是一个产品，更是一个基于引擎OS（一套标准化的身份实践），减少维护成本，提升企业身份安全，提高生产力，完善身份建设。用身份引擎来驱动更多的企业创造更大的愿景。重新定义身份,任何科技,任何方式,任何位置,任何事件与人的连接