在我們生活處處可見引擎的蹤影捍掺，對于游戲來說引擎是游戲的關鍵核心启妹，對于汽車來說 引擎是核心的發(fā)動機是提供動力的源泉训枢，對于殺毒引擎來說托修， 引擎是其核心病毒庫和鑒別組件構成。那么什么是身份引擎恒界？

01什么是決策引擎睦刃？

決策引擎是指企業(yè)針對其客戶提供個性化服務的決策平臺，這些個性化服務決策通常包括：風險決策十酣、精確營銷決策等涩拙，但是應用在身份領域枣宫，OneAuth是這一場景的開創(chuàng)者。

決策引擎是現(xiàn)實世界決策的高緯度抽象吃环， 包含了三個對象也颤，即：輸入、決策引擎郁轻、輸出翅娶。不同場景下對應不同的輸入，同時應用的模型不同好唯，產(chǎn)生決策結果也不同竭沫。其中輸入和輸出很容易理解，那么具象化的引擎是什么骑篙？

決策引擎可以理解為是規(guī)則蜕提、模型運行的容器，可根據(jù)隨時根據(jù)場景的需要靶端，來改變要求的輸入和改變規(guī)則和模型谎势，從而無需而外開發(fā)來適配新的場景。

02什么是身份管理杨名？

讓我們先從IAM來說起

IAM是 Identity and Access Management 的縮寫脏榆，即身份與訪問管理台谍，或稱為身份管理與訪問控制须喂。 IAM主要為了達到一個目的：讓恰當?shù)娜嘶蛭铮星‘數(shù)臋嘞蕹萌铮L問恰當?shù)馁Y源坞生。其中“人或物”稱為主體（Subject），“資源”稱為客體（Object）掷伙。

傳統(tǒng)的IAM一般包含如下幾部分是己，常被稱為“4A”或“5A”，但是往往因為現(xiàn)實世界的賬號炎咖、權限赃泡、認證方式和訪問的客體是動態(tài)的，傳統(tǒng)的IAM已經(jīng)不再適應多元化乘盼，多場景的需求升熊。

IAM雖然能完成身份管理的最基本管理功能，隨著近年基于云應用绸栅，云原生的企業(yè)越來越多级野，SaaS行業(yè)發(fā)展逐漸繁榮，時代的發(fā)展，企業(yè)處理業(yè)務習慣也逐步相云遷移蓖柔，或基于云辰企。云原生應用 SaaS等眾多產(chǎn)品 ，給人們帶來極大的便利同時也面臨著身份管理的問題况鸣。企業(yè)業(yè)務分布在不同的云應用上牢贸，但是對于員工身份信息管理，企業(yè)組織架構镐捧，權限分配潜索，卻是割裂且獨立的。

03什么是身份“引擎”

面向未來的身份引擎OS -OneAuth? Cloud Engine

?

引擎與OS的定位是要為使用者/開發(fā)者賦予更多的選擇懂酱、模塊化的自由組合竹习。

OS 的抽象 - 身份管理去耦合

為了適用于每種APP的訪問體驗，OneAuth將身份抽象為四個核心的構建列牺，每個構建引用一組或者多組策略引擎——將用戶訪問過程的分解為身份整陌、授權、登記和注冊瞎领、簽發(fā)四個核心塊泌辫，以底層的策略引擎提供決策支持。

客戶可以創(chuàng)建動態(tài)的默刚、基于上下文的用戶旅程甥郑，以最少的自定義代碼處理無限數(shù)量的身份用例的能力。使用有關用戶荤西、設備、應用程序伍俘、網(wǎng)絡和用戶行為的上下文來告知任何用戶的身份旅程邪锌，從而相應地調整訪問體驗。OneAuth 身份引擎由一系列單獨的步驟組成癌瘾，可以處理從注冊到身份驗證到授權的整個用戶流程觅丰。

使用模塊化組件定義任意流程

核心OS模塊化構建可以使您能夠評估策略、觸發(fā) Hook妨退、發(fā)布事件妇萄、提示用戶采取行動或直接訪問外部服務。定制可以根據(jù)用例和應用的上下文而有所不同咬荷」诰洌可以通過配置跳過OneAuth引擎中的默認的步驟。而且幸乒，您可以為任何應用程序或體驗中的任何時間點懦底、選擇不同的步驟來運行和或讓用戶來選擇是否跳過，從而創(chuàng)建各種身份的訪問流程罕扎。

使用策略引擎定義安全的設置

OneAuth的身份引擎是決策引擎在身份場景下的一個實踐聚唐。

OneAuth身份引擎根據(jù)安全或者業(yè)務的需要丐重，可以自定義限制訪問的條件，根據(jù)用戶杆查、組成員身份扮惦、設備、位置或時間作為訪問控制的條件亲桦。

比如崖蜜，根據(jù)不同應用敏感程度，設計不同的身份驗證步驟烙肺，對于敏感的應用纳猪、或者可疑的身份，需要輸入OTP或者SMS 一次性密碼進行MFA的身份驗證才能訪問應用桃笙；比如氏堤，需要引入更多的因子，或者賬戶恢復的過程中搏明，需要更多的驗證鼠锈。

在OneAuth中支持以下策略類型：

OneAuth登錄策略：用于控制誰可以登錄，在何種環(huán)境下允許用戶登錄 OneAuth星著，是否需要MFA 的驗證购笆，以及登錄后允許的保持登錄狀態(tài)的時間。

應用登錄策略：在訪問應用程序之前虚循，判斷是否需要執(zhí)行的額外身份驗證同欠。

MFA策略：控制用戶可以使用哪些 MFA 的方法，以及設置用戶在什么時間去注冊是哪種因素横缔。

密碼策略：根據(jù)不同的用戶铺遂，給予不同的密碼長度和復雜度，密碼的有效期茎刚。以及賬戶鎖定和解鎖的條件襟锐，包括用戶在何種環(huán)境下允許自助進行賬戶恢復的操作。

IDP路由策略：存在多個IDP服務膛锭，用戶嘗試登錄時粮坞，路由策略根據(jù)物理位置、終端初狰、應用莫杈、用戶等條件，將用戶路由設定的IDP跷究。

OAuth 授權策略：根據(jù)特定客戶端姓迅、用戶、請求的授權范圍的組合條件，給予規(guī)則定義的特定令牌丁存，包括令牌生命周期的設定肩杈。

使用Hook進行額外的擴展

通過Inline Hook 和Event Hook的能力使您能夠支持無限的用例。Hooks鉤子為 OneAuth身份引擎添加了額外的可擴展性解寝，允許您添加自定義代碼來修改運行過程并通知外部服務扩然。

Hooks 有兩種類型：

Inline Hook - 允許您向組件添加自定義邏輯

Event Hook- 允許您根據(jù) OneAuth 系統(tǒng)日志中發(fā)布的事件啟動下游集成

可自定義的用戶流程

根據(jù)應用的自定義，OneAuth可以在每個核心組件中根據(jù)決策采取下一步的行動聋伦，以推動用戶完成他們所訪問的流程夫偶。

身份引擎充當了對外部API和開發(fā)都需要調用的驅動引擎

當向開發(fā)者API/組件服務不滿足這一驅動引擎的規(guī)范時，外部開發(fā)人員會發(fā)現(xiàn)錯誤觉增。這要求開發(fā)者在安全設計方面更加的規(guī)范的考慮和設計兵拢，否則不能與身份引擎進行對接，從底層推動了安全性和質量逾礁。

另外说铃，基于此設計，也讓業(yè)務在自身安全考慮方面不需要考慮的太多嘹履，而讓開發(fā)者更加專注自身的業(yè)務腻扇，讓業(yè)務變得更加純粹，增加其未來的擴展性砾嫉。這將幫助開發(fā)者整體提升自己的工程實踐幼苛。

需要的不是一個IAM軟件 而是一個標準

OneAuth? Cloud Engine 它不是一個產(chǎn)品，更是一個基于引擎OS（一套標準化的身份實踐）焕刮，減少維護成本舶沿，提升企業(yè)身份安全，提高生產(chǎn)力配并，完善身份建設暑椰。用身份引擎來驅動更多的企業(yè)創(chuàng)造更大的愿景。 重新定義身份,任何科技,任何方式,任何位置,任何事件與人的連接