Aserto:用于权限和RBAC的开发人员API
每个SaaS应用都需要权限和RBAC。为什么不';我们没有标准的开发者API来进行授权吗?因为授权是比大多数其他开发人员API更难的架构挑战。
计费、消息传递和身份验证的API可以完全基于SaaS,但授权是每个应用程序请求的关键路径。可行的解决方案必须像库一样轻量级,以毫秒为单位返回结果。同时,它需要提供基于云的开发者API的控制平面优势。
很难相信,在2022年,每一款SaaS应用程序都必须重新发明这个轮子。我们成立Aserto是为了填补这一空白,并成为权威的授权开发者API。
今天,我们向所有希望从一开始就正确构建权限和RBAC的开发人员敞开大门。我们还欢迎那些希望用一个坚如磐石的、安全的默认授权服务取代现有的自主解决方案的团队,该服务将随着他们的成功而扩展。
一个结合了库和服务的最佳元素的解决方案需要在应用程序旁边进行授权,或者如我们所说的“在边缘”。同时,它需要集中管理授权决策中使用的工件。Aserto authorizer打包为docker容器,您可以在环境中作为sidecar或微服务运行。它将策略和用户属性从控制平面同步到边缘。它还将决策日志从边缘转发回控制平面。
为了便于入门,我们提供了一个托管授权程序,它支持与边缘授权程序相同的API。这样,您就可以构建应用程序,而不必担心会遇到边缘授权人。
当进入生产阶段时,您可以将edge authorizer部署为与应用程序运行在同一个pod中的侧车。非kubernetes商店可以将其部署为VPC中的微服务。在这两种情况下,应用程序和边缘授权程序之间的延迟都很低,可用性也很高。
我们';我曾参与过OpenStack、Cloud Foundry和Kubernetes等开源项目,因此我们知道作为生态系统的一部分所带来的力量。Aserto以开放政策代理项目为基础,该项目去年通过了毕业里程碑。OPA用于基础设施项目,如gatekeeper和conftest。OPA社区已经发展到世界各地的数千名工程师,跨越了许多技术公司。
基于OPA的构建意味着我们的客户使用一个开源引擎和策略语言,这在其他用例中已经被采用。它还减少了对供应商锁定的担忧,因为客户可以更换供应商或选择直接在开源项目上构建。
OPA是一个伟大的引擎,但其政策的原生打包格式是一个障碍。这意味着它缺乏现代包装解决方案的一些关键元素,如图像标记、版本控制和签名。阿瑟托采用了熟悉的";docker和#34;工作流,并将这些功能引入OPA策略。
Aserto建立在开放式集装箱倡议(OCI)和Sigstore生态系统的基础上。我们已经创建了policy CLI和Open policy Registry,作为任何人都可以使用的100%开源工具,无论他们的OPA使用情况如何。
身份验证和授权之间的关系很重要。Aserto假设您有一个身份提供者来验证用户。Aserto会在IDP停止的地方进行操作,从而使整个用户上下文可用于授权策略。
我们允许您将IDP同步到Aserto的目录,并自动将任何属性更改从IDP传送到边缘。Aserto目录还可以使用特定于应用程序的角色和属性来扩充IDP属性。
不再需要在访问令牌中嵌入静态权限,这是不安全且笨拙的。或者对应用程序请求关键路径中的身份提供者/目录进行HTTP调用。Aserto在边缘缓存整个用户上下文,让您的策略以低延迟和100%可用性访问实时数据。
Aserto目前支持Auth0和Okta开箱即用,我们的IDP插件SDK可以轻松添加对其他人的支持,包括您自己的自定义IDP。
在企业级授权系统中,每个决策都需要解释。决策日志必须包括策略、用户属性和对每个决策有贡献的资源数据。Aserto为每个授权决策提供完整的审核跟踪。它允许你流式传输或下载决策日志,并将它们输入你最喜欢的日志分析系统,如ELK或Splunk。
最后但并非最不重要的一点是,任何开发人员API都需要易于学习并融入到应用程序中。Aserto是合同第一,为底层开发者提供REST和gRPC API。除此之外,我们还为各种语言和框架(包括Express)提供了惯用的SDK。js,React,Python,Flask。网,然后开始。无论您使用我们的中间件还是API代码,Aserto都很容易集成。
同样重要的是,政策语言需要使简单的事情变得容易,但也要足够灵活,使任何情况都成为可能。Rego是一种通用的策略语言,但也带来了学习曲线。我们已经为RBAC和ABAC风格的授权策略定义了通用模式,因此您有了一个很好的起点。
最后,我们提供了全面的文档、快速入门、示例和可执行的API文档,可以轻松地将Aserto集成到您的应用程序中。
带阿瑟托出去转转,注册一个免费帐户,或者在我们的游乐场上转一圈!加入我们的Slack社区,获得支持并提出问题,并就如何使Aserto适合您的用例向我们提供任何反馈。
