Führendes Fintech-Unternehmen baut eine moderne Authz- und Authn-Plattform auf
Einführung
Wir begannen mit der Entwicklung der benutzerdefinierten Plugins und arbeiteten an dem User Management Service und den damit verbundenen Diensten, um die komplette Authz und Authn Plattform aufzubauen
Über Tide
Tide (Tide Platform Limited) ist ein britisches Finanztechnologieunternehmen, das mobile Bankdienstleistungen für kleine und mittlere Unternehmen anbietet. Es ermöglicht Unternehmen, ein Girokonto einzurichten und sofortigen Zugang zu verschiedenen Finanzdienstleistungen zu erhalten (einschließlich automatisierter Buchhaltung und integrierter Rechnungsstellung).
Derzeit bietet Tide ein Sparkonto an, das von der RBL Bank bereitgestellt wird, die von der Reserve Bank of India (RBI) reguliert wird. Mehr als 1 von 20 Kleinunternehmern im Vereinigten Königreich haben eine Bankverbindung mit uns, und wir sind bereit, weltweit tätig zu werden und Unternehmern wie Ihnen zu helfen.
Auswirkungen
- Modernste Sicherheits- und Compliance-Infrastruktur für Kunden.
- Verwendung von Standardprotokollen (Oauth2.0, OpenId Connect, UMA 2.0 und Open Banking) zur Gewährleistung der Interoperabilität mit allen Unternehmenstools.
Die Herausforderung
Das derzeitige Web Access Management (WAM) und Single Sign-On (SSO), über das Tide verfügte, war rudimentär und für die wachsenden Anforderungen des Unternehmens, in dem viele neue Anforderungen aufgetaucht sind, wie z. B. die Verwaltung des Zugriffs auf die Web-APIs eines Unternehmens, nicht nur auf Webanwendungen, Multifaktor-Authentifizierung, Biometrie, Integration mit Drittanbietern und sich ständig weiterentwickelnde Rollen und Bereiche, völlig unzureichend. Das System zur Verwaltung dieser Art von Zugang war mit mehreren Herausforderungen verbunden:
- Eine Änderung oder Aktivierung der aktuellen WAM-Lösung, um API-Sicherheit zu bieten, wäre für Entwickler unfreundlich, komplex, teuer und wahrscheinlich proprietär gewesen. Mobile Clients hatten Schwierigkeiten, mit XML- und SOAP-basierten Sicherheitsmechanismen umzugehen. Die Unternehmens-IT hatte Schwierigkeiten, Agenten oder Proxys einzusetzen.
- Da die Zentralisierung der Zugriffsberechtigung zu komplex wurde, fanden wir zu viel Berechtigungscode in den Anwendungen, was die Servicebereitstellung verlangsamte, da die Entwickler gezwungen waren, die Berechtigungslogik neu zu entwickeln, und außerdem eine effektive Prüfung und Richtlinienverwaltung behinderte.
- Wir mussten Funktionen unterstützen, die mit der aktuellen Lösung nicht verfügbar waren, wie Multifaktor-Authentifizierung, Biometrie, dynamische Bereiche usw.
- Da es sich bei Tide um ein Fintech-Unternehmen handelt, war es von größter Bedeutung, die besten verfügbaren Sicherheitsmechanismen zu haben, was mit dem derzeitigen System nicht möglich war.
- Die aktuelle Lösung ging von vielen vereinfachenden Annahmen darüber aus, wie sich Benutzer authentifizieren (in der Regel mit Benutzername und Passwort bei einer Webanwendung). Doch angesichts neuer mobiler Anwendungen für Kunden und anderer Gerätetypen sowie zunehmender Anforderungen an eine starke Authentifizierung waren die alten Annahmen nicht mehr haltbar.
- Es bestand ein Bedarf an unterschiedlichen Authentifizierungs- und Autorisierungsverfahren für die Benutzer auf der Grundlage ihrer Rollen im Unternehmen, ihrer Klassifizierung (interne oder externe Benutzer) sowie der Art der Anwendungen wie Marketplace-Anbieteranwendungen, interne Web- und mobile Anwendungen, Anwendungen von Drittanbietern und Partneranwendungen.
- Und die wichtigste war, dass wir uns auf Standardprotokolle verlassen sollten, um die Interoperabilität mit unseren Unternehmenstools zu gewährleisten.
Unser Ansatz
NashTech arbeitete mit Tide an der vollständigen Modernisierung des alten webbasierten Zugangsmanagementsystems, um eine hochmoderne AuthZ- und AuthN-Plattform für die sichere Kommunikation mit externen und internen Systemen bereitzustellen. Wir wollten es schneller implementieren, und der richtige Weg war, ein Standardsystem zu verwenden, das an die Bedürfnisse des Unternehmens angepasst werden konnte. Nach umfangreichen Recherchen entschieden wir uns für die Garvitee APIM- und Access Management-Lösung als das erforderliche Tool zum Aufbau der Plattform.
Die Lösung
Da die neue Plattform dringend implementiert werden musste, weil viele neue Funktionen und Dienste in neuen Funktionen eingeführt werden sollten, wurde beschlossen, einem Standardprodukt den Vorzug zu geben, anstatt eine Lösung von Anfang an zu implementieren. Die größte Herausforderung bei der Suche nach dem richtigen Produkt bestand darin, dass es so weit anpassbar sein sollte, dass es individuelle, für das Unternehmen relevante Implementierungen unterstützen kann. Gravitee ist eine aufkommende Lösung, die sowohl eine Open-Source- als auch eine Unternehmensversion hat. Gravitee bietet sowohl Lösungen für die API-Verwaltung als auch für die Zugriffsverwaltung an. Das Tolle an den Lösungen von Gravitee ist die Erweiterbarkeit, mit der wir unsere eigenen Plugins mit unseren benutzerdefinierten Funktionen erstellen und sie einfach integrieren können. Die API-Management-Lösung von Gravitee bietet
- Umfangreiche Open-Source-Funktionalität
- Hohe Flexibilität und Skalierbarkeit
- API-, Zugangs- und Identitätsmanagement an einem Ort, intuitiv und schnell zu erstellen, zu verwalten und zu überwachen
In ähnlicher Weise bietet die Access Management-Lösung auch eine Vielzahl von Funktionen wie
- Zugriffssicherheit: Kontrollieren und sichern Sie Unternehmensdaten mit branchenüblichen Protokollen wie OpenID Connect OAuth 2.0 und JWT.
- Multi-Faktor-Authentifizierung – Erhöhen Sie die Sicherheit und den Komfort, indem Sie zusätzliche Authentifizierungsfaktoren hinzufügen.
- Passwortlos und WebAuthn – Sichern Sie Ihre Anwendungen und APIs mit branchenweit bewährten Sicherheitsverfahren unter Verwendung von Biometrie, Token und weiteren passwortlosen Authentifizierungsmechanismen.
NashTech begann mit der Erstellung der benutzerdefinierten Plugins und arbeitete an dem User Management Service und den damit verbundenen Diensten, um die komplette Authentifizierungs- und Autorisierungsplattform für Fintech zu erstellen.
Die Einzelheiten der wichtigsten Komponenten der Plattform werden im nächsten Abschnitt beschrieben.
Architektur
Dieses Diagramm zeigt alle wichtigen Interaktionen zwischen dem APIM-Gateway, dem AM-Gateway, den Benutzerclients und den zugehörigen Diensten/Infrastrukturen.
AM-Gateway (Zugangsverwaltungsdienst)
Das AM-Gateway ist eine der Kernkomponenten der Tide-Plattform. Das AM-Gateway ist ein einheitlicher Dienst für das Zugangs- und Identitätsmanagement. Der zugrunde liegende Kern des AM-Gateways basiert auf einer Reverse-Proxy-Architektur. Das API-Gateway leitet den HTTP-Webverkehr an geschützte Anwendungen weiter und ermöglicht eine genaue Prüfung, Umwandlung und Filterung jeder Anfrage. Bei API-Anfragen kann das AM Gateway Benutzer und Dienste, die sich mit dem API-Gateway verbinden, authentifizieren und autorisieren und so geschützte Anwendungen gewährleisten, die durch die Nutzung von OAuth2 und OpenID gesichert sind.
API-Verwaltungsdienst
Das APIM-Gateway bietet die komplette Funktionalität eines API-Gateways und einer API-Verwaltung. Einige der wichtigsten Eigenschaften sind API-Bereitstellungen und -Routing sowie die Bereitstellung der erforderlichen Proxy-Einstellungen. Das API-Gateway ruft das AM-Gateway zur Token-Introspektion auf.
Benutzerdefinierte Plugins zur Anreicherung der Token für die APIs
- Dienst-Plugins – Benutzerdefinierte Plugins werden verwendet, um die eingehenden Anfragen zu bearbeiten und sie durch den Vertx-Ereignishandler zu verarbeiten, indem der entsprechende Prozessor aufgerufen wird.
- Policy Plugin – Ein benutzerdefiniertes Plugin, das verwendet wird, um das Front-End-Token in relevante Back-End-Tokens umzuwandeln, die für den Zugriff auf die Back-End-APIs verwendet werden.
Benutzerverwaltungsdienst
Ein Spring Boot-Dienst, der die Verwaltung von Benutzern und deren Zugriff auf Ressourcen unterstützt. Dieser Dienst nimmt die Backend-Tokens entgegen und gewährt nach deren Überprüfung Zugang zur angeforderten API.
-
- Dieser Dienst befasst sich mit den verschiedenen Rollen und Berechtigungen, die dem Benutzer zugewiesen sind, und handelt entsprechend.
- Dieser Dienst interagiert auch direkt mit den APIs des AM-Gateways.
Dokument DB
Amazon DocumentDB ist ein skalierbarer, äußerst langlebiger und vollständig verwalteter Datenbankservice für den Betrieb unternehmenskritischer MongoDB-Arbeitslasten.
Migration von Legacy-Benutzern
Für die Migration der Legacy-Benutzer wurde der JIT-Ansatz (Just In Time) verwendet, d. h. der Benutzer wird migriert, wenn er versucht, auf das neue System zuzugreifen. Wenn also ein Benutzer versucht, sich bei der Anwendung anzumelden, wird der Benutzer auf der neuen Plattform gesucht, und wenn er gefunden wird, wird versucht, den Benutzer mit dem neuen Benutzerverwaltungssystem zu authentifizieren. Wenn sie erfolgreich authentifiziert wurde, lassen Sie sie herein. Andernfalls wird die Anmeldung abgelehnt, weil die Anmeldedaten ungültig sind. Wenn der Benutzer nicht existiert, prüfen Sie, ob der Benutzer in den Legacy-Mapping-Daten vorhanden ist. Wenn er dort existiert, verwenden Sie den Legacy-IDP-Anbieter, um den Benutzer zu validieren, und wenn er authentifiziert ist, beauftragen Sie den Benutzer in der neuen Plattform.
Das Ergebnis
Das Endergebnis war eine hochsichere, performante, erweiterbare und skalierbare neue Auth-Plattform, die es Tide ermöglicht, global zu agieren und viele neue Produkte, die auf verschiedene Märkte zugeschnitten sind, ohne oder mit minimalem Aufwand für AuthN und AuthZ auf den Markt zu bringen. Nachdem wir dieses Projekt im Frühjahr 2020 in Angriff genommen hatten, gingen wir in nur zwei Monaten mit 100 % Produktionsverkehr in Betrieb, gerade als die Neuanmeldungen aufgrund von COVID-19 zunahmen. Anfang 2021, also weniger als ein Jahr nach dem Start des Projekts, konnten wir den umfassenden Multi-User-Zugang beschleunigen und anbieten.
Einige der wichtigsten Vorteile sind im Folgenden aufgeführt.
- Verbessertes Kundenerlebnis durch Funktionserweiterungen.
- Hochmoderne Sicherheitsinfrastruktur für Kunden
- Steigerung der Nutzerzahlen um 200 %.
- Biometrie und Multifaktor-Authentifizierung werden vollständig unterstützt.
- Maßgeschneiderte und multiple User Journey Flows für verschiedene Anwendungen.
- Minimale Ausfallzeiten, höhere Ausfallsicherheit und bessere Servicequalität
- Einrichtung von Anmeldeinformationen für Benutzer, die vom Hauptkontoinhaber eingeladen wurden
- Login für die Nutzer auf Geräten, für die sie Anmeldedaten haben (einschließlich zusätzlicher Datenerfassung bei Zustimmung)
- Anmeldung für diese Benutzer auf neuen Geräten
- Anreicherung von Token in der API GW durch Token-Introspektion
- Authentifizierung aller Nutzer der Tide-Plattform, einschließlich der Inhaber von Hauptkonten.
- Ein umfassenderes Modell von Rollen/Berechtigungen
- Zugriffskontrollen auf Kontoebene
- Verwaltung von Anmeldeinformationen und Benutzerprofilen zur Selbstbedienung
- Neue Benutzer von Grund auf einrichten
- Neue Arten von Nutzern wie Marktplatzverkäufer und Partnerorganisationen.
“Die vom Team entwickelte flexible Lösung ermöglicht eine gesicherte Kommunikation zwischen den verschiedenen Komponenten und spart dadurch viel Zeit und Geld. Dieser Prozess hat uns in die Lage versetzt, zukunftsfähig zu werden.”
Weitere Fallstudien lesen
Vom Überwinden von Widrigkeiten zum Reiten der Welle der digitalen Transformation im Bildungssektor
Erfahren Sie, wie NashTech dem Trinity College London hilft, die Welle der digitalen Transformation im Bildungssektor zu reiten
Migration und Modernisierung der virtuellen Lernumgebung auf AWS für ein verbessertes Erlebnis
Das migrierte und modernisierte Moodle Infrastruktur bedeutet, dass The Open Die Universität kann nun folgende Vorteile nutzen Cloud-Vorteile.
Ein Einblick in eine einjährige RPA-Reise mit einem führenden digitalen Werbedienst
Ein Einblick in eine einjährige RPA-Reise mit einem führenden Anbieter von digitalen Werbedienstleistungen und -lösungen und wie NashTech ihnen geholfen hat.
Lassen Sie uns über Ihr Projekt sprechen
- Themen: