可信数据空间跨境身份认证的合规技术（如联邦身份、OAuth2）？

跨境身份认证的合规技术核心是通过信任机制与权限管控解决域间身份可信传递问题，关键技术包括联邦身份体系（如SAML、OpenID Connect）与OAuth2授权框架，其合规性需围绕隐私保护、权限边界与可审计性展开。

联邦身份通过“信任联盟”模式，让用户以原有身份（如企业AD、社交账号）登录第三方应用：SAML用加密“身份断言”传递用户属性（如姓名、权限），通过元数据交换（联盟成员的公钥、端点）建立域间信任；OpenID Connect（OIDC）基于OAuth2扩展身份层，返回标准化ID Token（含用户身份），实现“一键登录”，并通过Scope参数限制身份数据暴露（符合GDPR“数据最小化”）。

OAuth2作为授权协议，以“授权码模式”分离客户端与资源服务器信任，用户无需暴露原始凭证，而是用短期、权限受限的Access Token访问资源，支持“刷新/撤销”机制确保权限可控。合规实践需强化：用户同意机制（GDPR要求的“明确可撤回同意”）、身份数据加密（传输用TLS、存储用哈希）、审计日志（记录授权与令牌行为），及联邦成员合规评估（验证隐私政策一致性）。

FID02/WebAuth等无密码技术作为补充，用设备本地验证（指纹、安全密钥）替代密码，减少泄露风险。

这些技术协同，平衡“体验简化”与“合规约束”，实现跨域身份的可信、可控、可追溯。

摘自《可信数据空间合规100问》