Introduzione all'ID verificato di Microsoft Entra

Nel mondo attuale, le nostre vite digitali e fisiche stanno diventando sempre più intrecciate con le app, i servizi e i dispositivi che usiamo. Questa rivoluzione digitale ha aperto un mondo di possibilità, permettendoci di entrare in contatto con innumerevoli aziende e individui in modi che erano una volta inimmaginabili.

Questa maggiore connettività introduce un maggiore rischio di furti di identità e violazioni dei dati. Queste violazioni possono avere un impatto devastante sulla nostra vita personale e professionale. Ma c'è speranza. Microsoft collabora con una community diversificata per creare una soluzione di identità decentralizzata che mette gli utenti sotto controllo delle proprie identità digitali, fornendo un modo sicuro e privato per gestire i dati di identità senza affidarsi a autorità centralizzate o intermediari.

Perché abbiamo bisogno di identità decentralizzata

Oggi usiamo la nostra identità digitale al lavoro, a casa e in ogni app, servizio e dispositivo che usiamo. È costituito da tutto ciò che diciamo, facciamo e viviamo nella nostra vita, acquistando biglietti per un evento, controllando in un hotel o persino ordinando il pranzo. Attualmente, la nostra identità e tutte le nostre interazioni digitali sono di proprietà e controllate da altre parti, in alcuni casi, anche senza la nostra conoscenza.

Ogni giorno gli utenti concedono alle app e ai dispositivi l'accesso ai dati. Per tenere traccia di chi ha accesso a quali informazioni è necessario fare molta fatica. Sul fronte aziendale, la collaborazione con consumatori e partner richiede un'orchestrazione ad alto tocco per scambiare in modo sicuro i dati in modo da mantenere la privacy e la sicurezza per tutti i coinvolti.

Crediamo che un sistema di identità decentralizzata basato su standard possa sbloccare un nuovo set di esperienze che offrono agli utenti e alle organizzazioni un maggiore controllo sui propri dati e offre un livello più elevato di attendibilità e sicurezza per app, dispositivi e provider di servizi.

Lead con standard aperti

Ci impegniamo a collaborare a stretto contatto con clienti, partner e community per sbloccare la nuova generazione di esperienze basate su identità decentralizzate e siamo entusiasti di collaborare con i singoli utenti e le organizzazioni che stanno apportando contributi incredibili in questo spazio. Se l'ecosistema DID deve crescere, standard, componenti tecnici e risultati finali del codice deve essere open source e accessibile a tutti.

Microsoft collabora attivamente con i membri di Decentrato Identity Foundation (DIF), il gruppo W3C Credentials Community e la community di identità più ampia. Abbiamo lavorato con questi gruppi per identificare e sviluppare standard critici e i seguenti standard sono stati implementati nei nostri servizi.

Che cosa sono i DID?

Prima di comprendere i DID, è utile confrontarli con altri sistemi di gestione delle identità. Gli indirizzi di posta elettronica e gli ID di social network sono alias descrittivi che per la collaborazione, ma sono ora sovraccarichi per fungere da punti di controllo per l'accesso ai dati in molti scenari oltre la collaborazione. Questo crea un potenziale problema, perché l'accesso a questi ID può essere rimosso in qualsiasi momento.

Gli identificatori decentralizzati (DID) sono diversi. I DID sono identificatori univoci globali generati dall'utente, di proprietà automatica e radicati in sistemi di attendibilità decentralizzati. Possiedono caratteristiche uniche, come una maggiore garanzia di immutabilità, resistenza alla censura ed evasività alle manomissioni. Questi attributi sono fondamentali per qualsiasi sistema ID destinato a fornire la proprietà e il controllo utente.

La soluzione di credenziali verificabili di Microsoft usa credenziali decentralizzate (DID) per firmare in modo crittografico come prova che una relying party (verificatore) attesta le informazioni che dimostrano che sono i proprietari di credenziali verificabili. Per chiunque crei una soluzione di credenziali verificabile basata sull'offerta Microsoft, è consigliabile comprendere di base i DID.

Che cosa sono le credenziali verificabili?

Gli ID vengono usati ogni giorno. Le patenti vengono usate come prova della nostra capacità di guidare. Le università rilasciano diplomi che dimostrano il raggiungimento di un livello di istruzione. I passaporti vengono usati per dimostrare l’identità alle autorità quando si entra in altri paesi/regioni. Il modello di dati descrive la gestione di questi tipi di scenari quando si lavora su Internet, ma in modo sicuro che rispetti la privacy degli utenti. È possibile ottenere informazioni aggiuntive in The Verifiable Credentials Data Model 1.0(The Verifiable Credentials Data Model 1.0).

In breve, le credenziali verificabili sono oggetti dati costituiti da attestazioni fornite dall'autorità di certificazione che attestano le informazioni su un soggetto. Queste attestazioni sono identificate dallo schema e includono l'autorità emittente del DID e il soggetto. Il DID dell'autorità emittente crea una firma digitale come prova che l'autorità attesta queste informazioni.

Come funziona l'identità decentralizzata?

Abbiamo bisogno di una nuova forma di identità. Abbiamo bisogno di un'identità che riunisce tecnologie e standard per fornire attributi di identità chiave come la resistenza all'autoproprietà e la censura. Queste funzionalità sono difficili da ottenere usando i sistemi esistenti.

Per realizzare queste promesse, abbiamo bisogno di una base tecnica costituita da sette innovazioni chiave. Un'innovazione chiave è costituito dagli identificatori di proprietà dell'utente, un agente utente per gestire le chiavi associate a tali identificatori e archivi dati crittografati controllati dall'utente.

overview of Microsoft's verifiable credential environment

1. Identificatori decentralizzati W3C (DID). Gli ID creano, possiedono e controllano indipendentemente da qualsiasi organizzazione o governo. Gli identificatori decentralizzati sono identificatori univoci globali collegati ai metadati dell'infrastruttura a chiave pubblica decentralizzata (DPKI) costituiti da documenti JSON che contengono il materiale della chiave pubblica, i descrittori di autenticazione e gli endpoint di servizio.

2. Trust System. Per poter risolvere i documenti DID, i DID vengono in genere registrati in una rete sottostante di qualche tipo che rappresenta un sistema di attendibilità. Microsoft supporta attualmente il sistema di attendibilità DID:Web. DID:Web è un modello basato su autorizzazioni che consente l'attendibilità usando la reputazione esistente di un dominio Web. DID:Web è in stato di supporto disponibile a livello generale.

3. Agente utente/Portafoglio DID: App Microsoft Authenticator. Consente alle persone reali di usare identità decentralizzate e credenziali verificabili. L'autenticatore crea id di distribuzione, facilita le richieste di rilascio e presentazione per le credenziali verificabili e gestisce il backup del seeding del did tramite un file portafoglio crittografato.

4. Sistema di risoluzione Microsoft. UN'API che cerca e risolve i DID usando il did:webmetodo e restituisce l'oggetto DDO (DID Document Object). Il DDO include i metadati DPKI associati all'operazione DID, ad esempio chiavi pubbliche ed endpoint di servizio.

5. servizio ID verificato di Microsoft Entra. Un servizio di rilascio e verifica in Azure e un'API REST per le credenziali verificabili W3C firmate con il did:web metodo . Consentono ai proprietari delle identità di generare, presentare e verificare le attestazioni. Questo costituisce la base di fiducia tra gli utenti dei sistemi.

Uno scenario di esempio

Lo scenario usato per spiegare il funzionamento dei controller di rete:

  • Woodgrove Inc.
  • Proseware, un'azienda che offre sconti per i dipendenti di Woodgrove.
  • Alice, dipendente di Woodgrove, Inc. che vuole ottenere uno sconto da Proseware

Oggi Alice fornisce un nome utente e una password per accedere all'ambiente di rete di Woodgrove. Woodgrove sta distribuendo una soluzione di credenziali verificabile per fornire un modo più gestibile per Alice di dimostrare che è un dipendente di Woodgrove. Proseware accetta credenziali verificabili rilasciate da Woodgrove come prova di impiego che possono concedere l'accesso agli sconti aziendali come parte del programma di sconto aziendale.

Alice richiede Woodgrove Inc per ottenere una prova di credenziale verificabile per l'impiego. Woodgrove Inc attesta l'identità di Alice e rilascia una credenziale verificabile firmata che Alice può accettare e archiviare nella sua applicazione portafoglio digitale. Alice può ora presentare questa credenziale verificabile come prova di impiego nel sito Proseware. Dopo una presentazione corretta delle credenziali, Proseware offre lo sconto ad Alice e la transazione viene registrata nell'applicazione portafoglio di Alice in modo che possa tenere traccia di dove e a chi ha presentato la sua prova di credenziali verificabili per l'impiego.

microsoft-did-overview

Ruoli in una soluzione di credenziali verificabile

Nella soluzione di credenziali verificabili sono presenti tre attori principali. Nel diagramma seguente:

  • Nel passaggio 1, l'utenterichiede una credenziale verificabile da un'autorità emittente.
  • Nel passaggio 2, l'autorità emittente delle credenziali attesta che la prova fornita dall'utente è accurata e crea una credenziale verificabile firmata con il proprio DID per cui l'operazione DID dell'utente è l'oggetto.
  • Nel passaggio 3, l'utente firma una presentazione verificabile (VP) con il proprio DID e lo invia al verificatore. Il verificatore convalida quindi le credenziali associandole alla chiave pubblica inserita nel DPKI.

I ruoli in questo scenario sono:

roles in a verifiable credential environment

Autorità di certificazione

L'autorità emittente è un'organizzazione che crea una soluzione di rilascio che richiede informazioni da un utente. Le informazioni vengono usate per verificare l'identità dell'utente. Ad esempio, Woodgrove, Inc. ha una soluzione di rilascio che consente loro di creare e distribuire credenziali verificabili (VC) a tutti i dipendenti. Il dipendente usa l'app Authenticator per accedere con il nome utente e la password, che passa un token ID al servizio emittente. Dopo che Woodgrove, Inc. convalida il token ID inviato, la soluzione di rilascio crea un vc che include attestazioni sul dipendente e viene firmato con Woodgrove, Inc. DID. Il dipendente dispone ora di una credenziale verificabile firmata dal datore di lavoro, che include i dipendenti DID come soggetto DID.

User

L'utente è la persona o l'entità che richiede un vc. Ad esempio, Alice è un nuovo dipendente di Woodgrove, Inc. ed è stata precedentemente emessa la sua prova di credenziale verificabile. Quando Alice deve fornire una prova di impiego per ottenere uno sconto in Proseware, può concedere l'accesso alle credenziali nell'app Authenticator firmando una presentazione verificabile che dimostra che Alice è il proprietario del DID. Proseware è in grado di convalidare che le credenziali sono state rilasciate da Woodgrove, Inc. e Alice è il proprietario delle credenziali.

Verifier

Il verificatore è una società o un'entità che deve verificare le attestazioni di uno o più emittenti attendibili. Proseware, ad esempio, considera attendibile Woodgrove, Inc. esegue un lavoro adeguato per verificare l'identità dei dipendenti e rilasciare schede virtuali autenticate e valide. Quando Alice tenta di ordinare le attrezzature necessarie per il suo lavoro, Proseware userà standard aperti come SIOP e Presentation Exchange per richiedere le credenziali dell'utente dimostrando che sono un dipendente di Woodgrove, Inc. Ad esempio, Proseware potrebbe fornire ad Alice un collegamento a un sito Web con un codice a matrice che analizza con la fotocamera del telefono. In questo modo viene avviata la richiesta di un vc specifico, che Authenticator analizzerà e darà ad Alice la possibilità di approvare la richiesta per dimostrare il proprio impiego a Proseware. Proseware può usare l'API del servizio credenziali verificabile o l'SDK per verificare l'autenticità della presentazione verificabile. In base alle informazioni fornite da Alice, danno ad Alice lo sconto. Se altre aziende e organizzazioni conoscono che Woodgrove, Inc. rilascia i VC ai propri dipendenti, possono anche creare una soluzione di verifica e usare le credenziali verificabili di Woodgrove, Inc. per fornire offerte speciali riservate ai dipendenti di Woodgrove, Inc.

Nota

Il verificatore può usare standard aperti per eseguire la presentazione e la verifica o semplicemente configurare il proprio tenant di Microsoft Entra per consentire al servizio di ID verificato di Microsoft Entra di eseguire la maggior parte del lavoro.

Passaggi successivi

Ora che si conoscono le unità DID e le credenziali verificabili, provarle seguendo il nostro articolo introduttivo o uno dei nostri articoli che forniscono maggiori dettagli sui concetti di credenziali verificabili.