Sicheres Zentrum für Benutzerdaten unterwegs

Benutzermetadaten sind das Lebenselixier von Identitäts- und Zugriffsmanagement (IAM)-Diensten. Sie treiben Produktfunktionen wie Datenanalyse, personalisierte Erlebnisse, Sicherheitsüberwachung und Zugangskontrolle an. Aber wenn Anwendungen auf Plattformen, Organisationen und Anwendungen zunehmend vernetzt werden, kann die Verwaltung von Benutzermetadaten komplex werden. Keine Sorge! Durch das Verständnis des Datenflusses von Benutzerdaten kannst du ein nahtloses und sicheres Authentifizierungserlebnis schaffen.

Authentifizierungsdaten vs. Benutzerdaten#

Nicht alle Benutzerdaten sind gleich. Authentifizierungsdaten sind ein spezifischer Teil, der während der Token-Ausstellung ausgetauscht wird. Stell dir ein JWT (JSON Web Token) vor, das in deinen HTTP-Anfragen unterwegs ist. Ein großes JWT kann die Dinge verlangsamen. Um die Dinge schnell und sicher zu halten, enthalten wir nur wesentliche Benutzerinformationen wie Identität, Kontostatus, Authentifizierungsdetails, Berechtigungen und ein grundlegendes Benutzerprofil.

Hier bei Logto konzentrieren wir uns darauf, die folgenden Authentifizierungsdatenpunkte zu speichern:

• Kontostatus: Verfolge Erstellungszeitpunkt, Aktualisierungen, Sperrstatus und Anmeldeverlauf. Einschließlich create_at, updated_at, account_suspended, last_ip.
• Authentifizierungsinformationen: Dies umfasst Benutzerkennungen, Authentifizierungsfaktoren und Verifizierungsbezogene Daten. Einschließlich user_id, password_digest, password_algorithm, username, email, email_verified, phone, phone_verified, social_identities, sso_identities, mfa_config, mfa_verification_factors.
• Autorisierungsinformationen: Verwalte Rollen, Berechtigungen, Organisationsmitgliedschaften sowie autorisierte Anwendungen und Geräte für eine granulare Zugangskontrolle. Einschließlich role, permission, organization_id, organization_role, organization_permission, grant_application, grant_device.
• Standard-Benutzerprofil: Dies ist das häufigste Benutzerprofil, das von OIDC registriert wird. Logto setzt es auch als Standard-Benutzermetadaten, die unter dem Namespace 'profile.' gespeichert werden. Einschließlich first_name, last_name, middle_name, name, nickname, profile, website, avatar, gender, birthdate, zoneinfo, locale, address.

Über die Grundlagen hinaus: Anpassung von Benutzerdaten mit Logto

• Logto geht über das Standardprofil hinaus. Unsere Management-API ermöglicht es dir, benutzerdefinierte Daten zu definieren, die spezifisch für deine Geschäftsanforderungen sind. Diese Daten werden sicher unter einem eigenen Namespace ‚custom.data‘ gespeichert. Hier einige Fälle: occupation, company_name, company_size.

Über den Tresor hinaus denken: externe API-Daten mit benutzerdefiniertem JWT

• Bestimmte Geschäftsdaten müssen möglicherweise nicht dauerhaft in Logto gespeichert werden. Der Vorteil von Custom JWT besteht darin, dass du diese Daten während der Token-Ausstellung dynamisch über API-Aufrufe abrufen kannst, um die Reichweite deiner Benutzerdaten zu erweitern. Denk daran, die Sicherheit ist entscheidend, daher vermeide es, sensible Informationen in JWTs aufzunehmen, da sie leicht geparst werden können. Hier einige Fälle: subscribed_status, last_path_visited, app_theme.

Die Reise der Benutzerdaten: Erfassung & Verteilung#

Benutzerdaten stammen aus verschiedenen Quellen:

• Benutzereingabe: Während der Anmeldung, des Onboardings oder der Aktualisierung des Profils innerhalb deiner Anwendung.
• Identitätsanbieter (IdPs): Nahtlos synchronisiert bei Social Logins oder Enterprise SSO.
• Datenmigrationen: Verschieben von Daten aus bestehenden Datenbanken.
• Eingriffe von Administratoren: Administratoren bearbeiten manuell über die Konsole oder Datenbanken.

Sobald du diese wertvollen Daten hast, kannst du sie sicher teilen:

• Berechtigungen für Drittanbieter-Apps erteilen: Gewähre kontrollierten Zugriff auf Benutzerdaten für autorisierte Anwendungen.
• Datenexporte: Exportiere Benutzerdaten von Logto für weitere Analysen.
• Lieferung über JWTs, Webhooks oder APIs: Teile Benutzerdaten mit deinen internen Diensten für ein einheitliches Benutzererlebnis.

Als Identitätszentrum ist Logto ausgezeichnet darin, den Fluss von Benutzerdaten zu erleichtern. Wir machen es einfach, Benutzerinformationen von verschiedenen Anbietern zu erfassen und sie sicher an autorisierte Parteien zu liefern.

Wichtige Punkte#

Nachdem du die Reise der Benutzerdaten verstanden hast, lass uns einige wichtige Designüberlegungen erkunden:

1. Attributzuweisung Stelle sicher, dass Benutzerattribute von verschiedenen Quellen genau zugeordnet werden, um Datensilos zu vermeiden. Für SAML-Verbindungen ist eine manuelle Zuordnung erforderlich. Bei der Verwendung von OIDC nutze standardisierte Ansprüche oder erstelle eindeutige Namensräume, um Konflikte zu vermeiden.
2. IdP- und RP-Datensynchronisierung Die Datensynchronisation zwischen den IdPs (Identitätsanbietern) und RPs (vertrauenden Parteien) umfasst normalerweise Autorisierungs- und spezifische Umfangsanfragen auf beiden Seiten. Sei achtsam auf den Verifizierungsstatus. Eine synchronisierte „E-Mail verifiziert=false“ von einem IdP wie GitHub oder Azure AD könnte keine verifizierte E-Mail in deinem System sein. Behandle es entsprechend.
3. Datenaufteilung und Überschreiben in einer Mehrfachstruktur In komplexen Umgebungen mit mehreren Organisationen, Anwendungen und Anbietern werden die Datenaufteilung und das Überschreibverhalten entscheidend.
   • Mehrfachorganisationen: Ein Benutzer kann mehreren Organisationen angehören. Unterscheide Benutzerdaten, die unter dem Benutzerkonto gespeichert sind, von organisationsspezifischen Daten. Änderungen innerhalb einer Organisation sollten keine Auswirkungen auf andere haben.
   • Mehrfachanwendungen: Für Anwendungen, die eine Benutzerdatenbank über Logto teilen, implementiere ein zentrales Konto- oder Profileinstellungsmodul in deinem Dienst.
   • Mehrfachanbieter: Anwendungen mit verschiedenen Anmeldemethoden erhalten unterschiedliche Benutzerinformationen von jedem Anbieter. In Logto kannst du wählen, ob du die Daten während der Social Login-Registrierung oder bei jedem Login für Enterprise SSO synchronisieren möchtest. Social Login eignet sich für die anfängliche Datensynchronisation, während Enterprise SSO Mitgliedsinformationen bei jedem Login synchronisieren kann, um die Verwaltung innerhalb des Unternehmens-IdP zu erleichtern.
4. Benutzerdefinierte JWTs für erweiterten Datenzugriff Die Stärke von benutzerdefinierten JWTs liegt in ihrer Fähigkeit, externe Informationen während der Token-Ausstellung dynamisch über API-Aufrufe abzurufen. Dies ermöglicht es, auf Datenpunkte zuzugreifen, die möglicherweise nicht für die Kernfunktionalität erforderlich sind, aber das Benutzererlebnis bereichern können. Denk daran, große Flexibilität bringt große Verantwortung mit sich. Da JWTs von jedem, der sie erhält, leicht geparst werden können, vermeide es, sensible Daten aufzunehmen.
5. Progressive Registrierung für einen reibungsloseren Onboarding-Prozess Überfordere die Benutzer nicht mit einem Anmeldeformular, das die Länge eines Romans hat. Implementiere eine progressive Registrierung, eine Technik, bei der du zu Beginn nur die wichtigsten Benutzerinformationen anforderst. Dies vereinfacht den Anmeldeprozess und hält die Benutzer engagiert. Während die Benutzer mit deiner Anwendung interagieren, kannst du nach und nach zusätzliche Datenpunkte sammeln, um ein umfassenderes Benutzerprofil zu erstellen.

Indem diese Best Practices befolgt werden, kann der reibungslose und sichere Fluss von Benutzerdaten während der Authentifizierungsreise sichergestellt werden.

Logto: Dein sicheres Zentrum für Benutzerdaten unterwegs#

Effektives Management von Benutzermetadaten ermöglicht es dir, Benutzererlebnisse zu personalisieren, die Sicherheit zu erhöhen und wertvolle Einblicke in das Benutzerverhalten zu gewinnen. Durch die Nutzung von Logtos sicherer und flexibler Plattform kannst du das volle Potenzial von Benutzerdaten ausschöpfen und einen Wettbewerbsvorteil in der heutigen datengesteuerten Landschaft erlangen.