Bevezetés a Microsoft Entra Ellenőrzött azonosító

  • Cikk

A mai világban digitális és fizikai életünk egyre inkább összefonódik az általunk használt alkalmazásokkal, szolgáltatásokkal és eszközökkel. Ez a digitális forradalom a lehetőségek világát nyitotta meg, lehetővé téve számunkra, hogy számtalan vállalattal és egyénrel kapcsolódjunk oly módon, ami egykor elképzelhetetlen volt.

Ez a megnövekedett kapcsolat nagyobb kockázatot jelent az identitáslopások és az adatsértések esetén. Ezek a jogsértések pusztító hatással lehetnek személyes és szakmai életünkre. De van remény. A Microsoft egy sokszínű közösséggel dolgozik azon, hogy olyan decentralizált identitásmegoldást hozzon létre, amely az egyéneket a saját digitális identitásaik ellenőrzése alá helyezi, és biztonságos és privát módot biztosít az identitásadatok kezeléséhez központosított hatóságokra vagy közvetítőkre támaszkodva.

Miért van szükségünk decentralizált identitásra?

Ma a munkahelyi, otthoni és minden általunk használt alkalmazás, szolgáltatás és eszköz digitális identitását használjuk. Ez mindenből áll, amit mondunk, teszünk és tapasztalunk az életünkben – jegyek vásárlása egy eseményre, bejelentkezés egy szállodába, vagy akár ebéd megrendelése. Identitásunk és digitális interakcióink jelenleg más felek tulajdonában és ellenőrzése alatt állnak, bizonyos esetekben még a tudásunk nélkül is.

A felhasználók minden nap hozzáférést biztosítanak az alkalmazásoknak és az eszközöknek az adataikhoz. Nagy erőfeszítésre lenne szükség ahhoz, hogy nyomon kövessék, ki milyen információkhoz fér hozzá. Vállalati szinten a fogyasztókkal és a partnerekkel való együttműködés nagy léptekkel történő vezénylést igényel az adatok biztonságos cseréjéhez úgy, hogy az minden érintett számára fenntartsa az adatvédelmet és a biztonságot.

Úgy gondoljuk, hogy a szabványokon alapuló decentralizált identitásrendszer olyan új felhasználói élményeket oldhat fel, amelyek nagyobb ellenőrzést biztosítanak a felhasználóknak és a szervezeteknek az adataik felett, és nagyobb fokú bizalmat és biztonságot biztosítanak az alkalmazások, eszközök és szolgáltatók számára.

Érdeklődő nyílt szabványokkal

Elkötelezettek vagyunk amellett, hogy szorosan együttműködünk az ügyfelekkel, partnerekkel és a közösséggel a decentralizált identitásalapú élmények következő generációjának felszabadítása érdekében, és örömmel együttműködünk azokkal a személyekkel és szervezetekkel, akik hihetetlen mértékben járulnak hozzá ehhez a területhez. A DID-ökoszisztéma növekedéséhez a szabványoknak, a műszaki összetevőknek és a kódhoz tartozó termékeknek nyílt forráskód és mindenki számára hozzáférhetőnek kell lenniük.

A Microsoft aktívan együttműködik a Decentralizált Identitás Alapítvány (DIF), a W3C hitelesítő adatok közösségi csoport és a tágabb identitásközösség tagjaival. Ezekkel a csoportokkal együtt dolgoztunk a kritikus szabványok azonosításán és fejlesztésén, és a következő szabványokat implementáltuk a szolgáltatásainkban.

Mik azok a DID-k?

A DID-k megismerése előtt segít összehasonlítani őket más identitásrendszerekkel. Az e-mail-címek és a közösségi hálózati azonosítók olyan emberbarát aliasok, amelyek az együttműködéshez szükségesek, de most már túlterheltek, és az együttműködésen túl sok forgatókönyv adathozzáférési vezérlőpontjaiként szolgálnak. Ez potenciális problémát okoz, mert ezekhez az azonosítókhoz való hozzáférés bármikor eltávolítható.

A decentralizált azonosítók (DID-k) eltérőek. A DID-k felhasználó által létrehozott, saját tulajdonú, globálisan egyedi azonosítók, amelyek decentralizált megbízhatósági rendszerekben gyökereznek. Olyan egyedi jellemzőkkel rendelkeznek, mint a nagyobb fokú megbízhatóság a megváltoztathatatlanságról, a cenzúra ellenállásáról és a illetéktelen illetéktelen beavatkozások kijátszásáról. Ezek az attribútumok kritikus fontosságúak minden olyan azonosítórendszer esetében, amely önkiszolgáló és felhasználói vezérlést kíván biztosítani.

A Microsoft ellenőrizhető hitelesítő megoldása decentralizált hitelesítő adatokat (DID-ket) használ a kriptográfiai aláíráshoz, amely igazolja, hogy egy függő entitás (hitelesítő) igazolja azokat az információkat, amelyek igazolják, hogy ők egy ellenőrizhető hitelesítő adat tulajdonosai. A DID-k alapszintű ismerete minden olyan felhasználó számára ajánlott, aki a Microsoft ajánlata alapján egy ellenőrizhető hitelesítő megoldást hoz létre.

Mik azok az ellenőrizhető hitelesítő adatok?

Azonosítókat használunk a mindennapi életünkben. Rendelkezünk jogosítványokkal, amelyeket bizonyítékként használunk arra, hogy képesek vagyunk autót üzemeltetni. Az egyetemek olyan okleveleket bocsátanak ki, amelyek bizonyítják, hogy elértük az oktatás szintjét. Útlevéllel igazoljuk, hogy kik vagyunk a hatóságoknak, amikor más országokba/régiókba érkezünk. Az adatmodell bemutatja, hogyan kezelhetők az ilyen típusú forgatókönyvek az interneten keresztüli munka során, de biztonságosan, a felhasználók magánéletének tiszteletben tartásával. További információt az Ellenőrizhető hitelesítő adatok modell 1.0-s számában kaphat.

Röviden, az ellenőrizhető hitelesítő adatok olyan adatobjektumok, amelyek a kiállító által a tárgyra vonatkozó információkat igazoló jogcímekből állnak. Ezek a jogcímek séma alapján vannak azonosítva, és tartalmazzák a DID-kiállítót és a tárgyat. A kiállító DID-fájlja digitális aláírást hoz létre annak bizonyítékaként, hogy igazolják ezeket az információkat.

Hogyan működik a decentralizált identitás?

Új identitásformára van szükségünk. Olyan identitásra van szükségünk, amely olyan technológiákat és szabványokat hoz létre, amelyek olyan kulcsfontosságú identitásattribútumokat biztosítanak, mint az öntulajdonlás és a cenzúra ellenállása. Ezeket a képességeket nehéz elérni a meglévő rendszerek használatával.

Ezeknek az ígéreteknek a teljesítéséhez egy hét kulcsfontosságú innovációból álló technikai alapra van szükségünk. Az egyik legfontosabb újítás a felhasználó tulajdonában lévő azonosítók, az ilyen azonosítókhoz társított kulcsok kezelésére szolgáló felhasználói ügynök, valamint a titkosított, felhasználó által vezérelt adattárak.

A Microsoft ellenőrizhető hitelesítő környezetének diagramja.

1. W3C decentralizált azonosítók (DID-k). Az azonosítók felhasználói szervezettől vagy kormánytól függetlenül hoznak létre, birtokolnak és szabályoznak. A DID-k globálisan egyedi azonosítók, amelyek decentralizált nyilvános kulcsú infrastruktúra (DPKI) metaadataihoz kapcsolódnak, nyilvános kulcsanyagokat, hitelesítési leírókat és szolgáltatásvégpontokat tartalmazó JSON-dokumentumokból állnak.

2. Megbízhatósági rendszer. A DID-dokumentumok feloldása érdekében a DID-k általában valamilyen, a megbízhatósági rendszert jelképező mögöttes hálózaton vannak rögzítve. A Microsoft jelenleg támogatja a DID:Webes megbízhatósági rendszert. DID:A web egy engedélyalapú modell, amely lehetővé teszi a megbízhatóságot egy webtartomány meglévő hírnevének használatával. DID:A web támogatási állapotban van, általánosan elérhető.

3. DID felhasználói ügynök/pénztárca: Microsoft Authenticator alkalmazás. Lehetővé teszi a valós személyek számára, hogy decentralizált identitásokat és ellenőrizhető hitelesítő adatokat használjanak. Az Authenticator létrehozza a DID-ket, megkönnyíti az ellenőrizhető hitelesítő adatok kiállítására és bemutatására irányuló kérelmeket, és egy titkosított pénztárcafájlon keresztül kezeli a DID magjának biztonsági mentését.

4. Microsoft Resolver. Egy API, amely megkeresi és feloldja a DID-ket a did:webmódszerrel, és visszaadja a DID-dokumentumobjektumot (DDO). A DDO tartalmazza a DID-hoz társított DPKI-metaadatokat, például a nyilvános kulcsokat és a szolgáltatásvégpontokat.

5. Microsoft Entra Ellenőrzött azonosító Szolgáltatás. Az Azure-ban egy kiállítási és ellenőrzési szolgáltatás, valamint a W3C ellenőrizhető hitelesítő adataihoz készült REST API, amely a did:web metódussal van aláírva. Lehetővé teszik az identitástulajdonosok számára a jogcímek létrehozására, bemutatására és ellenőrzésére. Ez képezi a rendszerek felhasználói közötti bizalom alapját.

Példaforgatókönyv

A virtuális gépek működésének magyarázatára használt forgatókönyv a következőket foglalja magában:

  • Woodgrove Inc. egy vállalat.
  • Proseware, egy cég, amely kínál Woodgrove alkalmazottak kedvezményeket.
  • Alice, a Woodgrove, Inc. alkalmazottja, aki kedvezményt szeretne kapni a Proseware-től

Alice ma egy felhasználónevet és jelszót biztosít a Woodgrove hálózati környezetében való bejelentkezéshez. Woodgrove egy ellenőrizhető hitelesítőadat-megoldást helyez üzembe, amely kezelhetőbb módot biztosít Alice számára annak bizonyítására, hogy ő a Woodgrove alkalmazottja. A Proseware elfogadja a Woodgrove által kiállított ellenőrizhető hitelesítő adatokat a foglalkoztatás igazolásaként, amely hozzáférést biztosít a vállalati kedvezményekhez a vállalati kedvezményprogram részeként.

Alice kéri Woodgrove Inc egy igazolást a foglalkoztatás ellenőrizhető hitelesítő adatok. Woodgrove Inc igazolja Alice identitását, és kiad egy aláírt ellenőrizhető hitelesítő adatot, amelyet Alice elfogadhat és tárolhat a digitális pénztárca alkalmazásban. Alice most már be tudja mutatni ezt az ellenőrizhető hitelesítő adatokat a Proseware webhelyen való foglalkoztatás igazolásaként. A hitelesítő adatok sikeres bemutatása után Proseware kedvezményt kínál Alice-nek, és a tranzakció Alice pénztárcaalkalmazásában van naplózva, hogy nyomon tudja követni, hol és kinek mutatta be az igazolható hitelesítő adatokat.

Did üzembe helyezési példa ábrája.

Szerepkörök ellenőrizhető hitelesítőadat-megoldásban

Az ellenőrizhető hitelesítőadat-megoldásban három elsődleges szereplő található. Az alábbi ábrán:

  • Az 1. lépésben a felhasználó ellenőrizhető hitelesítő adatokat kér egy kiállítótól.
  • A 2. lépésben a hitelesítő adatok kiállítója tanúsítja, hogy a felhasználó által megadott bizonyíték pontos, és létrehoz egy ellenőrizhető hitelesítő adatot, amely a DID-val van aláírva, amelynek tárgya a felhasználó DID-jének tárgya.
  • A 3. lépésben a felhasználó aláír egy ellenőrizhető bemutatót (VP) a DID használatával, és elküldi azt a hitelesítőnek. A hitelesítő ezután a DPKI-ben elhelyezett nyilvános kulccsal való egyeztetéssel ellenőrzi a hitelesítő adatokat.

Ebben a forgatókönyvben a szerepkörök a következők:

A szerepköröket ellenőrizhető hitelesítő adatok környezetében ábrázoló ábra.

Issuer

A kiállító egy olyan szervezet, amely létrehoz egy kiállítási megoldást, amely információkat kér egy felhasználótól. Az adatok a felhasználó identitásának ellenőrzésére szolgálnak. A Woodgrove, Inc. például egy olyan kiállítási megoldással rendelkezik, amellyel ellenőrizhető hitelesítő adatokat hozhatnak létre és terjeszthetnek az összes alkalmazottjuk számára. Az alkalmazott az Authenticator alkalmazással jelentkezik be a felhasználónevével és jelszavával, amely egy azonosító jogkivonatot ad át a kiállító szolgáltatásnak. Miután a Woodgrove, Inc. érvényesíti az elküldött azonosító jogkivonatot, a kiállítási megoldás létrehoz egy VC-t, amely tartalmazza az alkalmazottra vonatkozó jogcímeket, és a Woodgrove, Inc. DID-vel van aláírva. Az alkalmazott most már rendelkezik egy ellenőrizhető hitelesítő adatokkal, amelyet a munkáltatója ír alá, amely magában foglalja az alkalmazottak DID mint tárgy DID-t.

User

A felhasználó az a személy vagy entitás, aki VC-t kér. Alice például a Woodgrove, Inc. új alkalmazottja, és korábban kiállították neki az igazolható hitelesítő adatokat. Amikor Alice-nek igazolnia kell a munkaviszonyát, hogy kedvezményt kapjon a Proseware-ben, hozzáférést adhat a hitelesítő adatokhoz az Authenticator alkalmazásban egy ellenőrizhető bemutató aláírásával, amely bizonyítja, hogy Alice a DID tulajdonosa. A Proseware képes ellenőrizni, hogy a hitelesítő adatokat a Woodgrove, Inc. adta-e ki, alice pedig a hitelesítő adatok tulajdonosa.

Ellenőrző

A hitelesítő egy vállalat vagy entitás, amely egy vagy több megbízható kiállítótól származó jogcímeket kell ellenőriznie. A Proseware például megbízik a Woodgrove, Inc. vállalatban, és megfelelő feladatot végez az alkalmazottak személyazonosságának ellenőrzésében, valamint hiteles és érvényes virtuális gépek kiadásában. Amikor Alice megpróbálja megrendelni a munkájához szükséges berendezéseket, a Proseware nyílt szabványokat fog használni, például az SIOP-t és a bemutató exchange-t, hogy hitelesítő adatokat kérjen a Felhasználótól, amely igazolja, hogy a Woodgrove, Inc. alkalmazottja. A Proseware például megadhat Alice-nek egy webhelyre mutató hivatkozást egy QR-kóddal, amit a telefon kamerájával vizsgál. Ez elindítja egy adott VC kérését, amelyet az Authenticator elemezni fog, és lehetővé teszi Alice számára, hogy jóváhagyja a kérelmet, hogy bizonyítsa a Proseware-nek való foglalkoztatását. A Proseware az ellenőrizhető hitelesítő adatok szolgáltatás API-jával vagy SDK-jával ellenőrizheti az ellenőrizhető bemutató hitelességét. Az Alice által biztosított információk alapján alice-nek kedvezményt adnak. Ha más vállalatok és szervezetek tudják, hogy a Woodgrove, Inc. virtuális gépeket ad ki az alkalmazottaiknak, akkor egy hitelesítő megoldást is létrehozhatnak, és a Woodgrove, Inc. ellenőrizhető hitelesítő adataival különleges ajánlatokat biztosíthatnak a Woodgrove, Inc. alkalmazottai számára.

Feljegyzés

A hitelesítő nyílt szabványok használatával végezheti el a bemutatót és az ellenőrzést, vagy egyszerűen konfigurálhatja saját Microsoft Entra-bérlőjüket, hogy a Microsoft Entra Ellenőrzött azonosító szolgáltatás elvégezhesse a munka nagy részét.

Következő lépések

Most, hogy megismerkedett a DID-kkel és az ellenőrizhető hitelesítő adatokkal, próbálja ki őket saját maga az első lépésekről szóló cikkünkben vagy az egyik cikkünkben, amely részletesebben ismerteti az ellenőrizhető hitelesítő adatokkal kapcsolatos fogalmakat.