Microsoft Entra 已驗證識別碼的簡介

  • 發行項

在現今的世界裡,我們的數位和實體生活正變得愈來愈與我們使用的應用程式、服務和裝置密不可分。 這場數位革命開啟了一個充滿可能性的世界,讓我們能夠用曾經難以想像的方式與無數的公司和個人聯繫。

這種增強的連線能力導致更大的身分識別竊取和資料外洩的風險。 這些外洩事件可能會對我們的個人和職業生活造成毀滅性的影響。 但仍存在希望。 Microsoft 正與不同的社群合作,建立分散式身分識別解決方案,讓個人控制自己的數位身分識別,提供安全且私人的方式來管理身分識別數據,而不需要依賴集中式授權單位或媒介。

為什麼我們需要分散式身分識別

今天,我們會在公司、家中,以及我們所使用的每個應用程式、服務和裝置上使用數位身分識別。 它是由我們生活中一言一行以及體驗所組成,包含購買活動門票、入住酒店,甚至訂購午餐。 目前,我們的身分識別和所有數位互動都由其他各方所擁有和控制,在某些情況下,我們甚至並不知情。

使用者每天都會授與應用程式和裝置對其資料的存取權。 他們需要花費許多精力才能掌握哪些人可以存取哪些資訊。 在企業方面,與取用者和合作夥伴的共同作業需要高接觸協調流程,才能安全地交換資料,以維護所有參與者的隱私權和安全性。

我們認為,以標準為基礎的分散式身分識別系統可以解除鎖定一組新的體驗,讓使用者和組織能夠更充分掌控其資料,並針對應用程式、裝置和服務提供者提供更高程度的信任和安全性。

具有開放式標準的潛在客戶

我們致力於與客戶、合作夥伴和社區密切合作,以解鎖下一代分散式身分識別型體驗,我們很高興能與在這個空間中做出不可思議貢獻的個人和組織合作。 如果 DID 生態系統要成長、標準、技術元件和程式代碼交付項目必須 開放原始碼 且可供所有人存取。

Microsoft 正積極與分散式身分識別基礎(DIF)、W3C 認證社群群組和更廣泛的身分識別社群成員共同作業。 我們已與這些群組合作,以識別及開發關鍵標準,並在我們的服務中實作下列標準。

什麼是 DID?

在我們了解 DID 之前,先將它們與其他身分識別系統進行比較會有所幫助。 電子郵件地址和社交網路識別碼是人類易記的別名,可用於共同作業,但現在已超載,無法在共同作業之外的許多案例中充當資料存取控制點。 這會造成潛在的問題,因為對這些識別碼的存取權可能隨時會遭到移除。

分散式識別碼 (DID) 則不同。 DID 是用戶產生的自我擁有、全域唯一標識符,其根植於分散式信任系統中。 其具有獨特的特性,例如更能保證不變性、抗審查性,以及篡改規避性。 這些屬性對於任何旨在提供自我擁有權和使用者控制的識別碼系統都至關重要。

Microsoft 的可驗認證解決方案會使用分散式認證 (DID),以密碼編譯方式簽署為信賴憑證者 (驗證者),證明自己是可驗認證擁有者的資訊。 建議根據 Microsoft 供應項目建立可驗認證解決方案的任何人都應該對 DID 有基本的了解。

什麼是可驗證的認證?

我們每天都在使用識別碼。 我們擁有駕照,作為汽車駕駛能力的證據。 大學頒發的文憑證明我們達到了一定的教育程度。 當我們到達其他國家/地區時,則使用護照向當局證明自己的身分。 資料模型描述了我們在透過網際網路作業時,如何以尊重使用者隱私權的安全方式處理這些類型的案例。 您可以在可驗證認證數據模型 1.0取得其他資訊。

簡而言之,可驗認證是由簽發者的宣告 (證明主體相關資訊) 組成的資料物件。 這些宣告是依結構描述來識別,且包含 DID 簽發者和主體。 簽發者的 DID 會建立數位簽章,以證明相關資訊屬實。

分散式身分識別如何運作?

我們需要一種新的身分識別形式。 我們需要一個身份,將技術和標準結合在一起,以提供關鍵身份屬性,例如自我擁有權和審查抵抗。 這些功能很難使用現有的系統來達成。

為了兌現這些承諾,我們需要由七項關鍵創新組成的技術基礎。 其中一項金鑰創新是使用者所擁有的標識碼、用來管理與這類標識符相關聯的密鑰的使用者代理程式,以及加密的使用者控制數據存放區。

Microsoft 可驗證認證環境的圖表。

1. W3C 分散式識別碼 (DID) 。 用戶會獨立於任何組織或政府建立、擁有和控制標識符。 DID 是全域唯一識別碼,其連結至分散式公開金鑰基礎結構 (DPKI) 中繼資料,其由包含公開金鑰資料、驗證描述項和服務端點的 JSON 文件組成。

2.信任系統。 為了能夠解析 DID 檔,DID 通常會記錄在代表信任系統的某種基礎網路上。 Microsoft 目前支援 DID:Web 信任系統。 DID:Web 是一種許可權型模型,允許使用 Web 網域的現有信譽進行信任。 DID:Web 處於支持狀態正式推出。

3. DID 使用者代理程式/錢包:Microsoft Authenticator 應用程式。 可讓真實人員使用分散式身分識別和可驗證的認證。 驗證器會建立 DID,促進可驗證認證的發行和呈現要求,並透過加密的錢包檔案管理 DID 種子的備份。

4.Microsoft 解析程式。 使用 did:web方法查閱和解析 DID 的 API,並傳回 DID 檔案物件 (DDO)。 DDO 包含與 DID 相關聯的 DPKI 元數據,例如公鑰和服務端點。

5. Microsoft Entra 驗證識別碼 服務。 Azure 中的發行和驗證服務,以及使用 did:web 方法簽署之 W3C 可驗證認證的 REST API。 他們可讓身分識別擁有者產生、出示和驗證宣告。 這構成了系統用戶之間的信任基礎。

範例案例

我們用來說明 VCS 如何運作的案例:

  • Woodgrove Inc. 一家公司。
  • Proseware,一家提供 Woodgrove 員工折扣的公司。
  • Alice,伍德格羅夫公司的員工,他希望從散文軟體獲得折扣

目前,Alice 提供使用者名稱和密碼來登入 Woodgrove 的網路環境。 Woodgrove 正在部署可驗證的認證解決方案,以提供更管理的方式讓 Alice 證明她是 Woodgrove 的員工。 Proseware 接受 Woodgrove 核發的可驗證認證,作為可存取公司折扣計劃一部分的就業證明。

Alice 要求 Woodgrove Inc 取得可驗證的就業證明認證。 Woodgrove Inc 證明 Alice 的身分識別,併發出已簽署的可驗證認證,Alice 可以接受並儲存在她的數位錢包應用程式中。 Alice 現在可以將此可驗證的認證呈現為 Proseware 網站上的僱用證明。 在成功呈現認證之後,Proseware 會為 Alice 提供折扣,交易會記錄在 Alice 的錢包應用程式中,以便她能夠追蹤她向何處和誰出示了可驗證的就業證明認證。

DID 部署範例的圖表。

可驗證認證解決方案中的角色

可驗證認證解決方案中有三個主要動作專案。 在下圖中:

  • 步驟 1,使用者 向簽發者要求可驗證的認證。
  • 步驟 2,認證簽發者 會證明使用者提供的證明正確無誤,並建立使用其 DID 簽署的可驗證認證,而該認證是使用者的 DID 主體。
  • 步驟 3 中,使用者會使用其 DID 簽署可驗證的簡報(VP),並將其傳送給 驗證者。 然後,驗證器會比對 DPKI 中放置的公鑰來驗證認證。

此案例中的角色如下:

顯示可驗證認證環境中角色的圖表。

簽發者

簽發者是一個組織,會建立發行解決方案,要求用戶的資訊。 此資訊是用來驗證使用者的身分識別。 例如,Woodgrove, Inc. 有一個發行解決方案,可讓他們建立並散發可驗證的認證(VCS)給所有員工。 員工會使用 Authenticator 應用程式來登入其使用者名稱和密碼,其會將標識元令牌傳遞至發行服務。 一旦 Woodgrove, Inc. 驗證提交的標識元令牌之後,發行解決方案就會建立一個包含員工宣告的 VC,並與 Woodgrove, Inc. DID 簽署。 該員工現在擁有其雇主簽署的可驗證認證,其中包括員工 DID 作為主體 DID。

User

使用者是要求 VC 的人員或實體。 例如,Alice 是 Woodgrove, Inc. 的新員工,先前已頒發其就業證明可驗證認證。 當Alice需要提供僱用證明才能在 Proseware 取得折扣時,她可以簽署可驗證的簡報,證明Alice是 DID 的擁有者,以授與她 Authenticator 應用程式中認證的存取權。 Proseware 能夠驗證認證是由 Woodgrove, Inc. 發行,Alice 是認證的擁有者。

驗證

驗證程式是公司或實體,其需要驗證他們信任之一或多個簽發者的宣告。 例如,Proseware 信任 Woodgrove, Inc. 能夠充分驗證員工的身份,並發行真實且有效的 VCS。 當 Alice 嘗試訂購她工作所需的設備時,Proseware 會使用 SIOP 和 Presentation Exchange 等開放標準,向使用者要求認證,證明他們是 Woodgrove, Inc 的員工。例如,Proseware 可能會提供 Alice 連結至網站,其中包含她使用手機相機掃描的 QR 代碼。 這會起始特定 VC 的要求,Authenticator 將分析該要求,並讓 Alice 能夠核准向 Proseware 證明她雇用的要求。 Proseware 可以使用可驗證的認證服務 API 或 SDK 來驗證可驗證簡報的真實性。 根據 Alice 提供的資訊,他們給予 Alice 折扣。 如果其他公司和組織知道 Woodgrove, Inc. 向員工發出 VCS,他們也可以建立驗證器解決方案,並使用 Woodgrove, Inc. 可驗證認證來提供為 Woodgrove, Inc. 員工保留的特殊供應專案。

注意

驗證器可以使用開放式標準來執行簡報和驗證,或只是設定自己的 Microsoft Entra 租使用者,讓 Microsoft Entra 驗證識別碼 服務執行大部分的工作。

下一步

既然您已瞭解 DID 和可驗證認證,請遵循我們的入門文章或其中一篇文章自行嘗試,以提供可驗證認證概念的更多詳細數據。