Wprowadzenie do Zweryfikowany identyfikator Microsoft Entra

W dzisiejszym świecie nasze życie cyfrowe i fizyczne staje się coraz bardziej połączone z aplikacjami, usługami i urządzeniami, z których korzystamy. Ta rewolucja cyfrowa otworzyła świat możliwości, pozwalając nam łączyć się z niezliczonymi firmami i osobami w sposób, który był kiedyś niewyobrażalny.

Ta zwiększona łączność zwiększa ryzyko kradzieży tożsamości i naruszeń danych. Naruszenia te mogą mieć druzgocący wpływ na nasze życie osobiste i zawodowe. Ale jest nadzieja. Firma Microsoft współpracuje z zróżnicowaną społecznością w celu utworzenia zdecentralizowanego rozwiązania do obsługi tożsamości, które kontroluje własne tożsamości cyfrowe, zapewniając bezpieczny i prywatny sposób zarządzania danymi tożsamości bez polegania na scentralizowanych władzach lub pośrednikach.

Dlaczego potrzebujemy zdecentralizowanej tożsamości

Obecnie używamy naszej tożsamości cyfrowej w pracy, w domu i w każdej używanej aplikacji, usłudze i urządzeniu. Składa się on z wszystkiego, co mówimy, robimy i doświadczamy w naszym życiu — kupując bilety na wydarzenie, ewidencjonując się w hotelu, a nawet zamawiając lunch. Obecnie nasza tożsamość i wszystkie nasze interakcje cyfrowe są własnością i kontrolowane przez inne strony, nawet bez naszej wiedzy.

Każdego dnia użytkownicy przyznają aplikacjom i urządzeniom dostęp do swoich danych. Aby śledzić, kto ma dostęp do tych informacji, wymagałoby to znacznego wysiłku. Na froncie przedsiębiorstwa współpraca z konsumentami i partnerami wymaga orkiestracji o wysokiej dotyku, aby bezpiecznie wymieniać dane w taki sposób, aby zapewnić prywatność i bezpieczeństwo wszystkich zaangażowanych osób.

Uważamy, że oparty na standardach zdecentralizowany system tożsamości może odblokować nowy zestaw środowisk, które zapewniają użytkownikom i organizacjom większą kontrolę nad ich danymi — i zapewniają wyższy stopień zaufania i zabezpieczeń dla aplikacji, urządzeń i dostawców usług.

Potencjalnego klienta z otwartymi standardami

Jesteśmy zaangażowani w ścisłą współpracę z klientami, partnerami i społecznością w celu odblokowania nowej generacji zdecentralizowanych środowisk opartych na tożsamościach i cieszymy się, że współpracujemy z osobami i organizacjami, które w tej przestrzeni mają niesamowity wkład. Jeśli ekosystem DID ma rosnąć, standardy, składniki techniczne i elementy dostarczane kodu muszą być typu open source i dostępne dla wszystkich.

Firma Microsoft aktywnie współpracuje z członkami zdecentralizowanej platformy Identity Foundation (DIF), grupy społeczności poświadczeń W3C i szerszej społeczności tożsamości. Pracowaliśmy z tymi grupami w celu identyfikowania i opracowywania standardów krytycznych, a w naszych usługach zaimplementowano następujące standardy.

• Identyfikatory zdecentralizowane W3C
• Poświadczenia weryfikowalne W3C
• DIF Sidetree
• Dobrze znana konfiguracja DID narzędzia DIF
• DIF DID-SIOP
• Wymiana prezentacji DIF

Co to są DID?

Zanim zrozumiemy diD, warto porównać je z innymi systemami tożsamości. Adresy e-mail i identyfikatory sieci społecznościowych to przyjazne dla człowieka aliasy, które umożliwiają współpracę, ale są teraz przeciążone jako punkty kontroli dostępu do danych w wielu scenariuszach poza współpracą. Spowoduje to potencjalny problem, ponieważ dostęp do tych identyfikatorów można usunąć w dowolnym momencie.

Identyfikatory zdecentralizowane (DID) różnią się. Identyfikatory DID są generowane przez użytkownika, należące do siebie, globalnie unikatowe identyfikatory zakorzenione w zdecentralizowanych systemach zaufania. Posiadają unikatowe cechy, takie jak większa pewność niezmienności, opór cenzury i unikanie manipulacji. Te atrybuty mają krytyczne znaczenie dla dowolnego systemu identyfikatorów, który ma zapewnić samowłasność i kontrolę użytkownika.

Weryfikowalne rozwiązanie poświadczeń firmy Microsoft używa zdecentralizowanych poświadczeń (DID) do kryptograficznego podpisywania jako dowodu, że jednostka uzależniona (weryfikator) świadczy o tym, że są właścicielami weryfikowalnych poświadczeń. Podstawowa wiedza na temat diD jest zalecana dla każdego, kto tworzy weryfikowalne rozwiązanie poświadczeń na podstawie oferty firmy Microsoft.

Co to są weryfikowalne poświadczenia?

Używamy identyfikatorów w naszym codziennym życiu. Mamy licencje kierowców, których używamy jako dowód naszej zdolności do obsługi samochodu. Uniwersytety wydają dyplomy, które dowodzą, że osiągnęliśmy poziom wykształcenia. Używamy paszportów, aby udowodnić, kim jesteśmy dla władz, gdy przybywamy do innych krajów/regionów. Model danych opisuje sposób obsługi tych typów scenariuszy podczas pracy przez Internet, ale w bezpieczny sposób, który szanuje prywatność użytkowników. Dodatkowe informacje można uzyskać w artykule The Verifiable Credentials Data Model 1.0 (Model danych weryfikowalnych poświadczeń 1.0).

Krótko mówiąc, weryfikowalne poświadczenia to obiekty danych składające się z oświadczeń zgłaszanych przez wystawcę, zaświadczając informacje o temacie. Te oświadczenia są identyfikowane przez schemat i obejmują wystawcę DID i podmiot. Identyfikator DID wystawcy tworzy podpis cyfrowy jako dowód, że potwierdza te informacje.

Jak działa tożsamość zdecentralizowana?

Potrzebujemy nowej formy tożsamości. Potrzebujemy tożsamości, która łączy technologie i standardy, aby dostarczać kluczowe atrybuty tożsamości, takie jak samowłasność i opór cenzury. Te możliwości są trudne do osiągnięcia przy użyciu istniejących systemów.

Aby zrealizować te obietnice, potrzebujemy podstaw technicznych składających się z siedmiu kluczowych innowacji. Jedną z kluczowych innowacji są identyfikatory należące do użytkownika, agent użytkownika do zarządzania kluczami skojarzonymi z takimi identyfikatorami i zaszyfrowanymi magazynami danych kontrolowanych przez użytkownika.

1. Identyfikatory zdecentralizowane W3C (DID) Identyfikatory tworzą, posiadają i kontrolują niezależnie od dowolnej organizacji lub instytucji rządowych. Identyfikatory DID są globalnie unikatowymi identyfikatorami połączonymi z metadanymi zdecentralizowanej infrastruktury kluczy publicznych (DPKI) składającymi się z dokumentów JSON zawierających materiały klucza publicznego, deskryptory uwierzytelniania i punkty końcowe usługi.

2. System zaufania. Aby można było rozpoznać dokumenty DID, DID są zwykle rejestrowane w podstawowej sieci pewnego rodzaju, która reprezentuje system zaufania. Firma Microsoft obecnie obsługuje system DID:Web trust system. DID:Web to model oparty na uprawnieniach, który umożliwia zaufanie przy użyciu istniejącej reputacji domeny internetowej. DID:Web jest w stanie pomocy technicznej Ogólne dostępne.

3. CZY agent użytkownika/portfel: Aplikacja Microsoft Authenticator. Umożliwia prawdziwym ludziom używanie zdecentralizowanych tożsamości i weryfikowalnych poświadczeń. Aplikacja Authenticator tworzy identyfikatory DID, ułatwia wystawianie i prezentowanie żądań dotyczących weryfikowalnych poświadczeń i zarządza kopią zapasową inicjatora DID za pośrednictwem zaszyfrowanego pliku portfela.

4. Microsoft Resolver. Interfejs API, który wyszukuje i rozpoznaje identyfikatory DID przy użyciu did:webmetody i zwraca obiekt DOKUMENTU DID (DDO). DDO zawiera metadane DPKI skojarzone z did, takie jak klucze publiczne i punkty końcowe usługi.

5. usługa Zweryfikowany identyfikator Microsoft Entra. Usługa wystawiania i weryfikacji na platformie Azure oraz interfejs API REST dla poświadczeń weryfikowalnych W3C podpisanych za pomocą did:web metody . Umożliwiają właścicielom tożsamości generowanie, prezentowanie i weryfikowanie oświadczeń. Stanowi to podstawę zaufania między użytkownikami systemów.

Przykładowy scenariusz

Scenariusz, którego używamy do wyjaśnienia, jak działają maszyny wirtualne:

• Woodgrove Inc. firma.
• Proseware, firma, która oferuje zniżki dla pracowników Woodgrove.
• Alice, pracownik Woodgrove, Inc., który chce uzyskać zniżkę od Proseware

Obecnie Alicja udostępnia nazwę użytkownika i hasło do logowania się w środowisku sieciowym Woodgrove'a. Woodgrove wdraża weryfikowalne rozwiązanie poświadczeń, aby zapewnić bardziej możliwy do zarządzania sposób, aby Alice udowodniła, że jest pracownikiem Woodgrove. Proseware akceptuje weryfikowalne poświadczenia wystawione przez Woodgrove jako dowód zatrudnienia, które mogą dać dostęp do rabatów firmowych w ramach programu rabatów firmowych.

Alice żąda Woodgrove Inc potwierdzenia poświadczenia weryfikowalnego zatrudnienia. Woodgrove Inc potwierdza tożsamość Alicji i wystawia podpisane weryfikowalne poświadczenia, które Alice może zaakceptować i przechowywać w swojej aplikacji portfela cyfrowego. Alicja może teraz przedstawić to weryfikowalne poświadczenia jako dowód zatrudnienia w witrynie Proseware. Po pomyślnej prezentacji poświadczeń proseware oferuje rabat na Alicję, a transakcja jest rejestrowana w aplikacji portfela Alice, aby mogła śledzić, gdzie i do kogo przedstawiła swoje potwierdzenie zatrudnienia weryfikowalne poświadczenia.

Role w rozwiązaniu do weryfikowania poświadczeń

W rozwiązaniu do weryfikowania poświadczeń istnieją trzy podstawowe elementy. Na poniższym diagramie:

• W kroku 1 użytkownik żąda weryfikowalnego poświadczenia od wystawcy.
• W kroku 2 wystawca poświadczeń potwierdza, że podany przez użytkownika dowód jest dokładny i tworzy weryfikowalne poświadczenia podpisane przy użyciu identyfikatora DID, dla którego jest podmiotem.
• W kroku 3 użytkownik podpisuje weryfikowalną prezentację (VP) przy użyciu swojego identyfikatora DID i wysyła ją do weryfikatora . Weryfikator weryfikuje następnie poświadczenia, pasując do klucza publicznego umieszczonego w infrastrukturze DPKI.

Role w tym scenariuszu to:

Wystawca

Wystawca to organizacja, która tworzy rozwiązanie wystawiania żądające informacji od użytkownika. Informacje te służą do weryfikowania tożsamości użytkownika. Na przykład firma Woodgrove, Inc. ma rozwiązanie wystawiania, które umożliwia im tworzenie i rozpowszechnianie weryfikowalnych poświadczeń (VCs) wszystkim pracownikom. Pracownik używa aplikacji Authenticator do logowania się przy użyciu nazwy użytkownika i hasła, która przekazuje token identyfikatora do usługi wystawiającej certyfikaty. Gdy Woodgrove, Inc. weryfikuje przesłany token identyfikatora, rozwiązanie wystawiania tworzy VC, który zawiera oświadczenia dotyczące pracownika i jest podpisany z Woodgrove, Inc. DID. Pracownik ma teraz weryfikowalne poświadczenia podpisane przez pracodawcę, w tym pracowników DID jako podmiot DID.

User

Użytkownik jest osobą lub jednostką żądającą vc. Na przykład Alice jest nowym pracownikiem Woodgrove, Inc. i wcześniej wydała dowód weryfikacji zatrudnienia. Gdy Alice musi dostarczyć dowód zatrudnienia w celu uzyskania rabatu w proseware, może udzielić dostępu do poświadczeń w swojej aplikacji Authenticator, podpisując weryfikowalną prezentację, która dowodzi, że Alice jest właścicielem DID. Proseware może zweryfikować, czy poświadczenia zostały wystawione przez Woodgrove, Inc. i Alice jest właścicielem poświadczeń.

Weryfikatora

Weryfikator jest firmą lub jednostką, która musi zweryfikować oświadczenia od jednego lub większej liczby zaufanych wystawców. Na przykład firma Proseware trusts Woodgrove, Inc. wykonuje odpowiednią pracę w zakresie weryfikowania tożsamości pracowników oraz wystawiania autentycznych i prawidłowych komputerów wirtualnych. Kiedy Alice próbuje zamówić sprzęt, którego potrzebuje do swojej pracy, Proseware będzie używać otwartych standardów, takich jak SIOP i Presentation Exchange, aby zażądać poświadczeń od użytkownika udowadniając, że są pracownikiem Woodgrove, Inc. Na przykład Proseware może udostępnić Alicji link do witryny internetowej z kodem QR, który skanuje za pomocą aparatu telefonicznego. Spowoduje to zainicjowanie żądania dla określonego VC, które Authenticator przeanalizuje i da Alice możliwość zatwierdzenia wniosku o potwierdzenie jej zatrudnienia w proseware. Oprogramowanie Proseware może używać weryfikowalnego interfejsu API usługi poświadczeń lub zestawu SDK, aby zweryfikować autentyczność weryfikowalnej prezentacji. Na podstawie informacji dostarczonych przez Alicję dają Alicji rabat. Jeśli inne firmy i organizacje wiedzą, że Woodgrove, Inc. wystawia maszyny wirtualne swoim pracownikom, mogą również utworzyć rozwiązanie weryfikatora i użyć poświadczeń Woodgrove, Inc., aby zapewnić specjalne oferty zarezerwowane dla pracowników Woodgrove, Inc.

Następne kroki

Teraz, gdy wiesz już o didach i weryfikowalnych poświadczeniach, wypróbuj je samodzielnie, postępując zgodnie z naszym artykułem rozpoczynania pracy lub jednym z naszych artykułów, które zawierają więcej szczegółowych informacji na temat weryfikowalnych pojęć dotyczących poświadczeń.

• Wprowadzenie do weryfikowalnych poświadczeń
• Jak dostosować poświadczenia
• Weryfikowalne poświadczenia — często zadawane pytania