مركز آمن لبيانات المستخدم أثناء التنقل
يقارن بين المصادقة وبيانات المستخدم. يوضح تخزين Logto الآمن وحركة البيانات. يحدد أفضل ممارسات تدفق البيانات (تعيين السمات، مزامنة البيانات، JWT المخصصة).
Product & Design
بيانات وصف المستخدم هي العمود الفقري لخدمات إدارة الهوية والوصول (IAM). إنها تمكّن ميزات المنتجات مثل تحليل البيانات، التجارب المخصصة، مراقبة الأمان، والتحكم في الوصول. ومع تزايد ترابط التطبيقات عبر المنصات والمنظمات والتطبيقات، يمكن أن تصبح إدارة بيانات المستخدم معقدة. لا تقلق! من خلال فهم تدفق بيانات المستخدم، يمكنك بناء تجربة مصادقة سلسة وآمنة.
بيانات المصادقة مقابل بيانات المستخدم
ليست كل بيانات المستخدم متساوية. بيانات المصادقة هي مجموعة فرعية محددة يتم تبادلها أثناء إصدار الرموز. تخيل JWT (رمز ويب JSON) يسير في طلبات HTTP الخاصة بك. يمكن أن يبطئ JWT الكبير الأمور. للحفاظ على الأمور سريعة وآمنة، نقوم فقط بتضمين معلومات المستخدم الأساسية مثل الهوية، حالة الحساب، تفاصيل المصادقة، الأذونات، وملف مستخدم أساسي.
هنا في Logto، نركز على تخزين نقاط بيانات المصادقة التالية:
- حالة الحساب: تتبع وقت الإنشاء، التحديثات، حالة التعليق، وسجل تسجيل الدخول. بما في ذلك
create_at،updated_at،account_suspended،last_ip. - معلومات المصادقة: وتشمل معرفات المستخدم والعوامل المتعلقة بالمصادقة والتحقق. بما في ذلك
user_id،password_digest،password_algorithm،username،email،email_verified،phone،phone_verified،social_identities،sso_identities،mfa_config،mfa_verification_factors. - معلومات التخويل: إدارة الأدوار والأذونات وعضويات المنظمة والتطبيقات والأجهزة المخولة للتحكم في الوصول الدقيق. بما في ذلك
role،permission،organization_id،organization_role،organization_permission،grant_application،grant_device. - ملف المستخدم القياسي: هذا هو الملف الشخصي الأكثر شيوعًا الذي يتم تسجيله بواسطة OIDC. قامت Logto بتعيينه أيضًا كبيانات المستخدم الافتراضية، ويتم تخزينه تحت الفئة 'profile'. بما في ذلك
first_name،last_name،middle_name،name،nickname،profile،website،avatar،gender،birthdate،zoneinfo،locale،address.
ما وراء الأساسيات: تخصيص بيانات المستخدم مع Logto
- يتجاوز Logto الملف الشخصي القياسي. يتيح لك واجهة إدارة API الخاصة بنا تعريف بيانات مخصصة محددة لاحتياجات عملك. يتم تخزين هذه البيانات بأمان تحت فئة مخصصة ‘custom.data’. إليك بعض الحالات:
occupation،company_name،company_size.
التفكير خارج الخزانة: البيانات الخارجية لواجهة برمجة التطبيقات مع JWT مخصص
- قد لا تحتاج بعض بيانات الأعمال إلى تخزين دائم في Logto. جمال JWT المخصص هو أنك يمكن جلب هذه البيانات بشكل ديناميكي عبر مكالمات API أثناء إصدار الرمز، مما يوسع نطاق بيانات المستخدم الخاصة بك. تذكر، الأمان مهم للغاية، لذا تجنب تضمين المعلومات الحساسة في JWT لأنها قابلة للتفسير بسهولة. إليك بعض الحالات:
subscribed_status،last_path_visited،app_theme.
رحلة بيانات المستخدم: الاستحواذ والتوزيع
تأتي بيانات المستخدم من مصادر متنوعة:
- إدخال المستخدم: أثناء التسجيل أو الانضمام أو تحديث الملف الشخصي داخل تطبيقك.
- مزودو الهوية (IdPs): تتم مزامنتها بسلاسة أثناء تسجيل الدخول الاجتماعي أو SSO للمؤسسات.
- ترحيل البيانات: نقل البيانات من قواعد بيانات موجودة.
- تدخل المسؤول: تعديلات المسؤول يدوية عبر وحدة التحكم أو قاعدة البيانات.
بمجرد حصولك على هذه البيانات القيمة، يمكنك مشاركتها بأمان:
- منح الأذونات لتطبيقات الطرف الثالث: توفير وصول محكم لبيانات المستخدم للتطبيقات المصرح بها.
- تصدير البيانات: تصدير بيانات المستخدم من Logto لمزيد من التحليل.
- التسليم عبر JWTs، Webhooks، أو APIs: مشاركة بيانات المستخدم مع خدماتك الداخلية لتجربة مستخدم موحدة.
باعتباره مركز هوية، يتفوق Logto في تسهيل تدفق بيانات المستخدم. نجعل من السهل الحصول على معلومات المستخدم من مختلف الموفرين وتسليمها بأمان للأطراف المصرح لها.
النقاط الرئيسية
الآن بعد أن فهمت رحلة بيانات المستخدم، دعنا نستكشف بعض الاعتبارات الرئيسية في التصميم:
- تخطيط السمة ضمان تخطيط دقيق لسمات المستخدم من مصادر مختلفة لتجنب عزلة البيانات. للاتصالات SAML، يتطلب التخطيط يدويًا. عند استخدام OIDC، استغل المطالبات الموحدة أو قم بإنشاء أسماء فئات فريدة لمنع الصراعات.
- مزامنة البيانات بين IdP وRP تتضمن مزامنة الب�يانات بين مزودي الهوية (IdPs) والجهات الموثوقة (RPs) عادةً تفويض ومطالبات نطاق محددة على كلا الجانبين. كن حذرًا من حالة التحقق. يمكن أن يكون التزامن "Email verified=false" من مزود الهوية مثل GitHub أو Azure AD لا يعني أنه بريد إلكتروني تم التحقق منه في نظامك. تعامل معه وفقًا لذلك.
- فصل البيانات والكتابة فوقها في هيكل متعدد الكيانات
في بيئات معقدة تضم منظمات متعددة وتطبيقات وموفرين، يصبح فصل البيانات وسلوك الكتابة فوقها أمرًا حاسمًا.
- متعددة المنظمات: يمكن أن ينتمي المستخدم إلى منظمات متعددة. قم بتمييز بيانات المستخدم المخزنة تحت حساب المستخدم عن البيانات الخاصة بالمنظمة. التغييرات داخل منظمة واحدة يجب ألا تؤثر على أخرى.
- متعددة التطبيقات: للتطبيقات التي تشترك في قاعدة بيانات مستخدم عبر Logto، نفذ إعدادات حساب مركزية مُركزة أو وحدة إعدادات الملف الشخصي في خدمتك.
- متعددة الموفرين: التطبيقات ذات طرق تسجيل الدخول المتعددة تتلقى معلومات مستخدم مختلفة من كل موفر. في Logto، اختر مزامنة البيانات أثناء التسجيل لتسجيل الدخول الاجتماعي أو في كل تسجيل دخول لـ SSO للمؤسسات. تسجيل الدخول الاجتماعي مثالي لمزامنة البيانات بشكل مقدم، بينما يمكن لـ SSO للمؤسسات مزامنة معلومات الأعضاء في كل تسجيل دخول لتسهيل الإدارة داخل مزود هوية المؤسسة.
- JWT المخصصة للوصول الموسع للبيانات تقع قوة JWT المخصصة في قدرتها على استرجاع المعلومات الخارجية بشكل ديناميكي أثناء إصدار الرمز عبر مكالمات API. يتيح لك هذا الوصول إلى نقاط بيانات قد لا تكون أساسية في الوظائف الأساسية ولكن يمكن أن تثري تجربة المستخدم. تذكر، مع تأتي المسؤولية الكبيرة. بما أن JWT قابلة للتفسير من أي شخص يستلمها، تجنب تضمين البيانات الحساسة.
- تسجيل تدريجي لتدفق انضمام أكثر سلاسة لا تثقل كاهل المستخدمين بنموذج تسجيل بطول رواية. قم بتنفيذ تسجيل تدريجي، وهو تقنية تطلب منها فقط معلومات المستخدم الأكثر أهمية في البداية. هذا يُبسط عملية التسجيل ويحافظ على المستخدمين متفاعلين. بينما يتفاعلون مع تطبيقك، يمكنك جمع نقاط بيانات إضافية لبناء ملف شخصي أغنى.
باتباع هذه الممارسات الأفضل، يمكنك ضمان تدفق سلس وآمن لبيانات المستخدم خلال رحلة المصادقة.
Logto: مركزك الآمن لبيانات المستخدم أثناء التنقل
إدارة بيانات المستخدم بشكل فعال تمكنك من تخصيص تجارب المستخدم، تعزيز الأمان، والحصول على رؤى قيمة حول سلوك المستخدم. من خلال الاستفادة من منصة Logto الآمنة والمرنة، يمكنك إطلاق العنان لكامل إمكانيات بيانات المستخدم والحصول على ميزة تنافسية في مشهد البيانات المستند إلى البيانات اليوم.