繁體中文(香港)
  • iam
  • auth solution

甚麼是優秀的身份和存取管理解決方案

探討一個有效的身份和存取管理(IAM)解決方案的關鍵要素,包括用戶體驗、安全性、整合能力、文檔、成本效益、支援以及根據 Logto 為開發者服務的經驗而準備的未來性。

Yijun
Yijun
Developer

Stop wasting weeks on user auth
Launch secure apps faster with Logto. Integrate user auth in minutes, and focus on your core product.
Get started
Product screenshot

在為商業客戶和開發者服務超過三年之後,我們在 Logto 深入了解了公司在身份和存取管理(IAM)領域面臨的挑戰和需求。

根據我們的實際經驗、與用戶的日常對話以及追蹤行業趨勢,我們對甚麼是優秀的 IAM 解決方案有了更清晰的看法。在這篇文章中,我想分享我們的一些想法和經驗教訓。

易用性和用戶體驗

IAM 是進入任何應用的閘道,它通常是用戶看到的第一件事。一個困難或混亂的系統不僅增加了開發者的工作量,還直接損害了最終用戶的體驗。

我們認為用戶體驗有兩個方面:開發者的體驗,以及最終用戶的體驗。

開發者體驗

在我們開始構建 Logto 之前,我們對現有的 IAM 解決方案進行了大量研究。許多開發者有著相同的挫敗感——難以找到既強大又易於使用的解決方案。

例如,一位餐飲連鎖店的 CTO 告訴我們,他們最初嘗試部署 Keycloak,一個知名的開源解決方案。然而,他們發現設置過程非常複雜。他們需要學習許多概念並了解不同資源的組織方式。即使花費了大量時間,他們的團隊成員仍然難以理解。除此之外,他們對默認登錄頁面的使用者介面質量不滿意。最後,他們決定不使用它。

我們聽到了許多類似的故事。表面上看,IAM 似乎很簡單——它僅僅涉及用戶登錄。但一旦涉及現代需求,如 OAuth 2.0、OpenID Connect、社交登錄、多因子驗證(MFA)和單一登入(SSO),事情就很快變得複雜。如果再加上 API 訪問控制、基於角色的存取控制(RBAC)、用戶組和權限等功能,糟糕的系統設計會使一切變得更加困難。

這觸發我們盡可能減輕用戶的心智負擔。在 Logto 中,我們從普通開發者的角度設計。我們使每個模塊和功能都清晰明瞭,將快速入門指南嵌入到用戶介面中,並提供易於使用的 SDK。

最終用戶體驗

對於最終用戶而言,登錄和授權頁面應該看起來乾淨、現代和易用。良好的設計能讓體驗愉快,並且符合大多數產品風格而不需額外的工作。

許多客戶告訴我們,他們選擇 Logto 的一個原因是因為我們的現成登錄頁面好看且對用戶友好。

但這只是基本的要求。開發者通常希望登錄頁面能符合他們的品牌風格。因此,Logto 支持完整的品牌定制,包括主色調、品牌名稱、標誌以及針對深色和淺色模式的不同設置。我們還允許自定義 CSS,並提供詳細的文檔,這樣每個登錄流程的部分都可以符合他們產品的風格。

儘管如此,一些開發者仍然希望擁有更多的控制。他們希望從零開始構建自己的登錄頁面。為了滿足這一需求,我們引入了“帶你自己的用戶介面”的功能,並提供一系列體驗 API,幫助開發者創建自己的流程。

有了這些選項,開發者可以充分控制最終用戶的登錄體驗,無論是使用 Logto 的頁面還是自行構建。

安全性

安全性是所有軟體系統的基礎。這是 IAM 解決方案絕不可以妥協的底線。

對於最終用戶而言,用戶名和密碼已不再足夠安全。現代系統必須支持更安全的方法,比如無密碼登錄(電郵或 SMS)、社交登錄、企業 SSO 和多因素驗證(MFA)。

對於開發者而言,系統必須還提供強大的安全保護:CAPTCHA、識別碼鎖定、CSRF 保護、DoS 保護、JWT 和 cookie 的簽名密鑰輪換、OIDC 的後台通道登出等。

Logto 不僅支持這些,還遵循以下重要原則:

  1. 始終開源
    Logto 的所有核心組件都是開源且完全透明的。這讓社群和第三方安全專家可以審核代碼,用戶也可以自己驗證。我們相信開源監督對於真正的安全至關重要。

  2. 嚴格遵循標準協議
    Logto 堅持採用被廣泛接受的標準,如 OAuth 2.0、OpenID Connect 和 SAML 2.0。這些標準已經經過時間考驗,有助於確保兼容性和安全性,避免了自定義實現的風險。

  3. 合規性
    Logto 符合主要的安全和隱私合規要求,並獲得了 SOC 2 Type II 認證。我們隨時掌握法律和法規的變化,以確保用戶數據安全。

當然,平衡安全性和用戶體驗並不容易。有時我們必須做出取捨。

例如,一些開發者希望用戶直接在他們的應用中輸入憑證,而不是被重定向到 Logto 登錄頁面。但這會破壞標準協議定義的安全模型(參見我需要我的用戶在我的應用中輸入憑證)。

相反,我們提供了對自定義登入頁面的強大支持。這樣,用戶仍然可以享受流暢的體驗而不犧牲安全性。

強大的整合能力

在當今的應用生態系統中,一個身份系統必須能夠輕鬆整合到不同的技術堆疊中。許多開發者只考慮帳戶管理,但真正的力量來自於與生態系統的深度整合——這是 Logto 通過遵循開放標準實現的。

整合第三方身份系統

通過我們的研究,我們發現使用第三方社交登錄是一個非常常見的需求。然而,開發者經常抱怨這些流程凌亂、文檔不佳且難以調試。

為了解決這個問題,Logto 提供了近 30 個內建的社交連接器,包括標準的 OIDC 和 OAuth 2.0 連接器。我們還提供了主要 SSO 平台的連接器,如 Microsoft Entra ID(SAML + OIDC)、Google Workspace、Okta,以及通用 OIDC/SAML SSO 連接器。

social-connectors.png

開發者可以在 Logto 控制台中按照逐步指引輕鬆設置它們。

user-comment.png

與你的生態系統整合

Logto 允許你將其作為第三方應用的身份提供者使用。這意味著你可以將你的 Logto 用戶系統連接到你產品的廣泛生態系統中。

例如,假如你推出一個等候名單頁面或預售頁面,用戶可以用 Logto 登錄。稍後,當你的產品上線後,這些用戶可以用相同帳戶直接登錄,你還可以知道他們的用戶狀態。
如果你隨後構建社群網站,可以用 Logto 進行整合,以便無縫訪問用戶。參見Logto in action: Integrate Apache Answer to launch a community for your users

你也可以通過標準令牌連接 API,如使用個人存取令牌讓本地 MCP 服務器代表用戶訪問你的系統(查看Empower your business: Connect AI tools to your existing service with access control)。

將來,遠程 MCP 服務器將作為由 Logto 令牌保護的資源服務器工作。

清晰完整的文檔

很多開發者抱怨現有的 IAM 解決方案的文檔是零散的、過時的、難以跟隨。
有些指出,Auth0 的文檔“過於龐大且有時自相矛盾”,而 Azure AD 的文檔則“過於一般化,缺乏具體的案例範例”。

在我們重建文檔之前,我們也收到了類似的抱怨。

Logto 認真聆聽開發者的意見。我們投入了大量精力創建了清晰且實用的文檔,包括快速入門指南、詳細的 API 參考和整合範例。文檔與產品的更新緊密相關,始終與新功能保持同步。

我們的博客每週會更新關於身份概念、產品用法和教程的文章,如:

我們還在建立一個身份資源庫,包括:

在 Logto,我們將文檔視為產品的一部分。我們持續改進其可讀性、完整性和可用性,以幫助每位開發者迅速入門。

成本效益

成本是選擇任何技術解決方案的一個關鍵因素,IAM 解決方案也不例外。

許多用戶覺得主流 IAM 解決方案“非常昂貴”——這並不是因為它們不好,而是因為難以證明高昂價格的合理性。

Logto 提供透明且可預測的定價模型,具備開源和雲端託管選項。

雲端版我們提供慷慨的免費方案,支持多達 50,000 活躍用戶,Pro 方案從每月 16 美元起,無限活躍用戶和高級功能。企業需求方面,我們根據每家公司情況提供定製的企業方案。

查看Logto 定價了解更多信息。

可靠的客戶支援

即使是最好的產品也會有問題。高質量的支援是必不可少的。

許多客戶告訴我們,“我沒想到你這麼快就解決了我的問題!其他服務讓我等了很久。”

不幸的是,其他提供者經常出現緩慢且低效的支援。對於 IAM 解決方案來說,任何停機都可能是致命的,因為用戶無法登錄。

Logto 提供社群支持通過 Discord 自助 AI 機器人和電子郵件票務支持給 Pro 用戶。企業用戶獲得高級支援,包括服務等級協定(SLA)和對解決方案工程師的訪問權。

我們的工程師直接提供支援,以確保技術問題得到妥善解決。我們也重視用戶的反饋,並使用這些反饋來改進產品。

面向未來

雖然我們已經提到了標準的重要性,但值得強調:
擁抱未來意味著擁抱開放標準。

像 OAuth 2.0 和 OIDC 這樣的標準不僅讓整合今天變得更容易,還能幫你為未來的技術變化做好準備。它們由專家社群維護並更新,以滿足新的安全需求。

這就是為甚麼 Logto 從一開始就建立在開放標準之上——以確保長期的靈活性和安全性。

在人工智能時代,IAM 需求比以往更加複雜。OAuth 2.0 和 OIDC 現在比以往更加重要,例如:

  1. 遠程 MCP 服務器授權 – OAuth 允許第三方代理安全地請求上下文或動作,而不需共享用戶密碼。
  2. 開放生態系統整合 – 你可以使用基於令牌的訪問通過 API 輕鬆連接第三方服務。
  3. 構建 AI 代理 – OAuth 2.0 允許代理代表用戶在不同的應用中操作。
  4. 智能設備 – 設備授權流程幫助智能工具進行身份驗證並訪問雲服務。

參見為何你的產品需要 OAuth 2.0 和 OIDC —— 特別是在 AI 時代

Logto 嚴格遵循 OAuth 2.0 和 OIDC,確保當前的安全性和未來的準備。

總結

一個好的 IAM 解決方案必須在易用性、安全性、用戶選擇、可擴展性、整合、成本效益、文檔、支援和適應未來方面找到平衡。 它不僅應滿足當前的需求,還應準備應對未來的變化。

Logto 致力於基於現實需求構建一個安全、易用、靈活且負擔得起的 IAM 平台。 無論是針對初創公司、大型公司、傳統應用,還是新一代 AI 服務,我們的目標是提供一個真正符合現代身份和存取管理需求的解決方案。