AI News HubLIVE
站內改寫2 分鐘閱讀

為智能體和自主AI設計的身份層:AuthSec

AuthSec是一個統一的Go服務,提供完整的身份生命週期管理,包括認證、MFA、OIDC聯合、RBAC、SCIM、客户端管理、外部服務憑證和SPIFFE/SPIRE工作負載身份,所有功能都集成在一個單一的二進制文件中。

來源Hacker News AI作者: azifali

AuthSec是一個開源的統一身份管理服務,專為智能體和自主AI系統設計,用Go語言編寫。它提供了一套完整的身份生命週期管理功能,包括認證、多因素認證(MFA)、OpenID Connect(OIDC)聯合、基於角色的訪問控制(RBAC)、跨域身份管理系統(SCIM)、客户端生命週期管理、外部服務憑證存儲以及SPIFFE/SPIRE工作負載身份,所有這些都集成在一個單一的二進制文件中。

AuthSec的架構基於模塊化設計,每個模塊都有獨立的子路由前綴。核心模塊包括:認證與用户流(/authsec/uflow),處理管理員和終端用户的登錄、註冊、密碼重置、OIDC聯合、SCIM、TOTP、CIBA和語音認證;WebAuthn/Passkeys(/authsec/webauthn),支持FIDO2通行密鑰、TOTP設置和SMS MFA;客户端管理(/authsec/clientms),管理Ory Hydra客户端的生命週期;Hydra管理器(/authsec/hmgr),處理Ory Hydra登錄/同意、SAML SSO和令牌交換;OIDC配置管理器(/authsec/oocmgr),管理OIDC提供商配置和Hydra客户端同步;認證管理器(/authsec/authmgr),負責JWT驗證/簽發、RBAC權限檢查和羣組管理;外部服務(/authsec/exsvc),提供Vault支持的憑證存儲;SPIRE Headless(/authsec/spire),實現SPIFFE/SPIRE工作負載身份、OIDC令牌交換、雲聯合(AWS/Azure/GCP)和RBAC/ABAC策略引擎;以及遷移管理(/authsec/migration),處理數據庫遷移。

部署AuthSec需要Go 1.25+、PostgreSQL 15+,並可選的HashiCorp Vault、Redis和mt-plugin(用於多租户模式)。服務默認監聽7468端口。環境變量配置靈活,支持數據庫連接、WebAuthn設置、JWT密鑰、CORS、加密密鑰、Twilio集成(SMS MFA/語音)、外部集成(Vault、Hydra、SMTP、OIDC提供商)、SPIFFE OIDC配置和Okta CIBA等。

AuthSec默認運行在單租户模式,所有操作使用主PostgreSQL數據庫。要啓用多租户,需要運行mt-plugin gRPC微服務並設置MT_PLUGIN_GRPC_ADDR環境變量。服務還提供了豐富的API路由,包括健康檢查、管理員和終端用户認證、設備授權授權(RFC 8628)、語音認證、TOTP、CIBA等。此外,支持OIDC發現(/.well-known/*)和Prometheus指標(/metrics)。

對於智能體和自主AI系統,AuthSec提供了強大的身份層,支持工作負載身份(SPIFFE/SPIRE)和雲聯合,使AI代理能夠安全地訪問資源並與其他系統交互。該項目在GitHub上開源,採用MIT許可證,社區貢獻活躍。