AI News HubLIVE
站內改寫2 分鐘閱讀

為智慧體和自主AI設計的身份層:AuthSec

AuthSec是一個統一的Go服務,提供完整的身份生命週期管理,包括認證、MFA、OIDC聯合、RBAC、SCIM、客戶端管理、外部服務憑證和SPIFFE/SPIRE工作負載身份,所有功能都整合在一個單一的二進位制檔案中。

來源Hacker News AI作者: azifali

AuthSec是一個開源的統一身份管理服務,專為智慧體和自主AI系統設計,用Go語言編寫。它提供了一套完整的身份生命週期管理功能,包括認證、多因素認證(MFA)、OpenID Connect(OIDC)聯合、基於角色的訪問控制(RBAC)、跨域身份管理系統(SCIM)、客戶端生命週期管理、外部服務憑證儲存以及SPIFFE/SPIRE工作負載身份,所有這些都整合在一個單一的二進位制檔案中。

AuthSec的架構基於模組化設計,每個模組都有獨立的子路由字首。核心模組包括:認證與使用者流(/authsec/uflow),處理管理員和終端使用者的登入、註冊、密碼重置、OIDC聯合、SCIM、TOTP、CIBA和語音認證;WebAuthn/Passkeys(/authsec/webauthn),支援FIDO2通行金鑰、TOTP設定和SMS MFA;客戶端管理(/authsec/clientms),管理Ory Hydra客戶端的生命週期;Hydra管理器(/authsec/hmgr),處理Ory Hydra登入/同意、SAML SSO和令牌交換;OIDC配置管理器(/authsec/oocmgr),管理OIDC提供商配置和Hydra客戶端同步;認證管理器(/authsec/authmgr),負責JWT驗證/簽發、RBAC許可權檢查和群組管理;外部服務(/authsec/exsvc),提供Vault支援的憑證儲存;SPIRE Headless(/authsec/spire),實現SPIFFE/SPIRE工作負載身份、OIDC令牌交換、雲聯合(AWS/Azure/GCP)和RBAC/ABAC策略引擎;以及遷移管理(/authsec/migration),處理資料庫遷移。

部署AuthSec需要Go 1.25+、PostgreSQL 15+,並可選的HashiCorp Vault、Redis和mt-plugin(用於多租戶模式)。服務預設監聽7468埠。環境變數配置靈活,支援資料庫連線、WebAuthn設定、JWT金鑰、CORS、加密金鑰、Twilio整合(SMS MFA/語音)、外部整合(Vault、Hydra、SMTP、OIDC提供商)、SPIFFE OIDC配置和Okta CIBA等。

AuthSec預設執行在單租戶模式,所有操作使用主PostgreSQL資料庫。要啟用多租戶,需要執行mt-plugin gRPC微服務並設定MT_PLUGIN_GRPC_ADDR環境變數。服務還提供了豐富的API路由,包括健康檢查、管理員和終端使用者認證、裝置授權授權(RFC 8628)、語音認證、TOTP、CIBA等。此外,支援OIDC發現(/.well-known/*)和Prometheus指標(/metrics)。

對於智慧體和自主AI系統,AuthSec提供了強大的身份層,支援工作負載身份(SPIFFE/SPIRE)和雲聯合,使AI代理能夠安全地訪問資源並與其他系統互動。該專案在GitHub上開源,採用MIT許可證,社群貢獻活躍。