background

Voit rakentaa oman autentikaation päivässä. Siinä on ansa.

Kymmenet B2B-tiimit kertovat saman tarinan. Se alkaa yksinkertaisesta kirjautumissivusta. Sitten todellinen liikenne kulkee sen läpi, ja siitä kasvaa hiljaisesti identiteetti-infrastruktuuri: perusta, jonka varaan koko tuotteesi rakentuu.

Aloita ilmaiseksi Logtolla
Keskustele tiimimme kanssa
banner

Se näytti ominaisuudelta. Siitä jäi kokonainen identiteettimalli.

Jokainen itse rakennettu autentikaatio alkaa muutamasta rivistä koodia. Ongelmat alkavat julkaisun jälkeen, kun jokainen pieni päätös jämähtää malliksi, jonka varaan koko tuotteesi rakentuu.

Ensimmäinen päivä: neljäkymmentä riviä koodia

Sähköposti, salasana, hash, tallenna, vertaa kirjautuessa. Selkeä ja valmis.
Juuri siksi jokainen tiimi aloittaa tästä, ja siksi autentikaatio näyttää asialta, jonka voi pistää kasaan iltapäivässä.

Toistasadaskymmenes päivä: hiljainen identiteettimalli

Kuka lasketaan käyttäjäksi. Mihin organisaatioon he kuuluvat. Mikä sessio on yhä luotettava. Kuinka käyttöoikeudet otetaan pois.
Käyttörajat, MFA ja sen palautuspolut, sessiot, refresh-tokenit, organisaatiomalli, joka on paljon enemmän kuin yksittäinen is_admin-arvo. Jokainen julkaisu muuttuu tuotteessa äänettömäksi säännöksi.

Viides vuosi: perusta, johon et saa koskea

Kirjautumissivun vaihto paperilla tarkoitti identiteettiperustan uudelleenrakennusta koodissa.
Yksi 20-vuotias SaaS yritti siirtyä sähköposti-käyttäjänimenä-malliin. Käyttöoikeustarkastuksia oli sadoissa moduleissa. Kukaan ei uskaltanut hyväksyä sitä, joten projekti pitkittyi kunnes sitä ei enää voitu jatkaa.

Itserakennettu autentikaatio toimii hyvin — kunnes liiketoiminta muuttuu

Se kirjauttaa käyttäjät sisään vuosia ilman ongelmia. Sitten yksi liiketoimintamuutos muuttaa “riittävän” yhdessä yössä “esteeksi”. Nämä kolme tulevat vastaan melkein jokaisessa skaalautuvassa tuotteessa.

figure

Yritysasiakkaat alkavat pyytää SSO:ta

Ensimmäinen iso sopimus tulee ja hankintaosasto haluaa SSO:n oman Entran tai Google Workspacen kautta. Sitten sekä SAML että OIDC, koska seuraava asiakas käyttää eri järjestelmää. Jokaisen asiakkaan identiteettiratkaisu on erilainen, eikä työ käy uudelleenkäytöstä.

  • Eri protokollat, kenttien yhdistämiset ja sertifikaattien vaihdot jokaiselle asiakkaalle
  • SSO:ta ei rakenneta kerran. Se rakennetaan uudelleen jokaisen yritysasiakkaan kanssa
  • Siitä tulee hiljaa käsityötä, jonka kokonaisuudessaan ymmärtää vain yksi kehittäjä
Lue lisää
figure

Hajautettu identiteetti pitää nyt yhdistää yhteen

Jaettu organisaatioittain, jaettu tuotteittain, usein peritty yritysostoissa. ”Yhdistä identiteetti” kuulostaa ominaisuudelta; koodissa se tarkoittaa sen määrittelyä, mikä lasketaan yhdeksi käyttäjäksi ja yhdeksi organisaatioksi.

  • Voiko yksi sähköposti kuulua useaan organisaatioon? Miten siirrät historiaan jääneet käyttäjänimet?
  • Yhdeksän yrityskauppojen kautta tullutta tuotetta tarkoittaa yhdeksää erillistä autentikaatiopinon ylläpitoa
  • Poista lähteneen henkilön oikeudet kaikista kerralla ja todista se yhdestä paikasta
Lue lisää
figure

Tekoälyagentit ja CLI:t alkavat toimia käyttäjän puolesta

Kyse ei ole enää vain käyttäjistä selaimessa. Agentit, MCP-palvelimet ja komentorivit toimivat jonkun käyttäjän puolesta. Ja oma autentikaatiosi osaa vain kirjata käyttäjän sisään sivulle.

  • Kenelle token on myönnetty, millä oikeuksilla ja mille kohderyhmälle?
  • Anna pääsy vain yhteen työkalun osaan tai tietoon, ja poista se myöhemmin
  • MCP- ja CLI-käyttö perustuu OAuthiin, ei kirjautumislomakkeeseen
Lue lisää
background

Todelliset kustannukset eivät ole rakentamisessa. Ne ovat vuosien ylläpidossa.

Ensimmäinen versio on halpa: muutama kehittäjä, muutama viikko, ja valmis. Sitten ruokit sitä vuosittain sillä insinööriajalla, joka kuuluisi ydinliiketoimintaasi.

Lasku muuttui, mutta sitä yhä maksetaan

Et koskaan saa laskua, jossa lukee “autentikaatio”.
Maksat henkilökuukausina, myöhästyneinä julkaisuina, tietoturvavelkana ja uudelleentyöstöinä. Eräs yhdistys rakensi oman välttääkseen lisenssimaksun; viiden vuoden päästä ylläpito oli tullut kalliimmaksi kuin valmiin ratkaisun ostaminen koskaan olisi ollut.

Vastuu lepää hiljaa yhden tai kahden ihmisen harteilla

Kriittiset tiedot ovat jonkun päässä, eivät dokumentaatiossa.
Kuka asiakas on konfiguroitu mitenkin, miksi vanha migraatio tehtiin tietyllä tavalla. Kun se henkilö on pois, yritysasiakkuuksien putki pysähtyy. Kun hän lähtee, tieto lähtee oven mukana.

Missä haluaisit kehittäjäsi?

Yksikään asiakas ei maksa senttiäkään enemmän siitä, että kirjoitit oman OAuth-palvelimen.
Autentikaation pitää olla luotettava. Mutta “luotettava” ei tarkoita, että se on rakennettu itse. Useimmille tuotteille se on ydindependenssi, ei ydinerottuvuustekijä. Nämä ovat kaukana toisistaan.

Jos et rakenna sitä itse, miten valitset?

Useimmat valmiit autentikaatioratkaisut kattavat jo keskeiset ominaisuudet: SSO, MFA, organisaatiot, yhtenäinen kirjautuminen, agenttikäyttö. Suurin ero on se, voitko lähteä. Älä kaivaudu ulos omista riveistäsi vain jäädäksesi kiinni jonkun toisen järjestelmään.

Standardiprotokollat, ei keksitty pino

OIDC, OAuth ja RS256-allekirjoitetut JWT:t, jotka tunnet ennestään. Lue claimit suoraan tavallisesta tokenista ilman toimittajakohtaisen API:n opiskelua.

Ovi, josta oikeasti voi poistua

Jos se on avoimen lähdekoodin ja omalle palvelimelle asennettava, voit lähteä milloin haluat. Älä vaihda omaa järjestelmääsi sellaiseen isännöityyn, josta ei pääse pois.

Laskutus, joka ei seuraa käyttäjätaulua

Rekisteröityjen tai kuukausittain aktiivisten käyttäjien mukaan veloittaminen seuraa taulua, joka vain kasvaa. Skaalassa se on kasvuvero — juuri se, mikä ajaa tiimit rakentamaan omansa.

Tietosi eivät koskaan lukkiudu

Vie käyttäjätiedot ulos milloin tahansa. Ja kun annat nämä arkaluontoiset tiedot asiantuntijalle, vältät riskin pitää hallussa kasaa henkilötietoja, joita sinun ei pitäisi suojata.

Autentikaatio ei luultavasti ole ydinliiketoimintaasi. Kohtele sitä sen mukaisesti.

Logto on avoimen lähdekoodin, itse hostattava sekä saatavilla myös pilvipalveluna. Kirjautuminen, MFA, SSO ja RBAC toimivat suoraan vakio-OIDC:lla. Laskutus perustuu tokeneihin, ja kun haluat siirtyä pois, ovi pysyy avoinna.

Aloita ilmaiseksi
Ota yhteyttä

Usein kysytyt kysymykset

Pitäisikö sinun koskaan rakentaa omaa autentikointijärjestelmää?

Mikä ero on autentikaatiolla ja autorisaatiolla?

Miksi enterprise SSO tekee kotirakenteisesta autentikaatiosta monimutkaista?

Olemme pyörittäneet omaa vuosia. Voimmeko silti siirtyä?

Miksi tekoälyagentit ja MCP aiheuttavat uuden paineen autentikaatiolle?