Microsoft Entra Kimlik Doğrulama giriş

  • Makale

Günümüzün dünyasında dijital ve fiziksel yaşamlarımız, kullandığımız uygulamalar, hizmetler ve cihazlarla giderek iç içe olmaya başladı. Bu dijital devrim, sayısız şirket ve bireylerle bir zamanlar hayal edilemeyecek şekilde bağlantı kurmamıza olanak sağlayan bir olasılıklar dünyası açtı.

Bu artan bağlantı, kimlik hırsızlığı ve veri ihlali riskini artırır. Bu ihlaller, kişisel ve profesyonel yaşamlarımız üzerinde yıkıcı bir etkiye sahip olabilir. Ama umut var. Microsoft, bireyleri kendi dijital kimliklerinin denetimine sokan, merkezi yetkililere veya aracılara bağlı kalmadan kimlik verilerini yönetmek için güvenli ve özel bir yol sağlayan Merkezi Olmayan Kimlik çözümü oluşturmak için çeşitli bir toplulukla birlikte çalışmaktadır.

Merkezi Olmayan Kimliğe neden ihtiyacımız var?

Bugün dijital kimliğimizi iş yerinde, evde ve kullandığımız her uygulama, hizmet ve cihazda kullanıyoruz. Hayatımızda söylediğimiz, yaptığımız ve deneyimlediğimiz her şeyden (bir etkinlik için bilet satın almak, otele giriş yapmak ve hatta öğle yemeği sipariş etmek) oluşur. Şu anda kimliğimiz ve tüm dijital etkileşimlerimiz, bilgimiz olmadan bile bazı durumlarda diğer taraflara aittir ve denetlenmektedir.

Kullanıcılar her gün uygulamalara ve cihazlara verilerine erişim izni verir. Kimlerin hangi bilgi parçalarına erişimi olduğunu takip edebilmeleri için çok fazla çaba gerekir. Kurumsal cephede, tüketiciler ve iş ortaklarıyla işbirliği, tüm ilgililer için gizlilik ve güvenliği koruyacak şekilde güvenli bir şekilde veri alışverişi yapmak için yüksek dokunuşlu düzenleme gerektirir.

Standartlara dayalı Merkezi Olmayan Kimlik sisteminin kullanıcılara ve kuruluşlara verileri üzerinde daha fazla denetim sağlayan yeni bir deneyim kümesinin kilidini açabileceğine ve uygulamalar, cihazlar ve hizmet sağlayıcıları için daha yüksek düzeyde güven ve güvenlik sunabileceğine inanıyoruz.

Açık standartlarla müşteri adayı

Yeni nesil Merkezi Olmayan Kimlik tabanlı deneyimlerin kilidini açmak için müşteriler, iş ortakları ve toplulukla yakın işbirliği yapmaya kararlıyız ve bu alanda inanılmaz katkılar yapan bireyler ve kuruluşlarla iş ortaklığı yapmaktan heyecanlıyız. DID ekosistemi büyüyecekse standartlar, teknik bileşenler ve kod teslim edilebilirleri açık kaynak ve herkes tarafından erişilebilir olmalıdır.

Microsoft, Merkezi Olmayan Kimlik Vakfı (DIF), W3C Kimlik Bilgileri Topluluk Grubu ve daha geniş kimlik topluluğu üyeleriyle etkin bir şekilde işbirliği içindedir. Kritik standartları belirlemek ve geliştirmek için bu gruplarla birlikte çalıştık ve hizmetlerimizde aşağıdaki standartlar uygulandı.

DD nedir?

DD'leri anlamadan önce bunları diğer kimlik sistemleriyle karşılaştırmaya yardımcı olur. E-posta adresleri ve sosyal ağ kimlikleri, işbirliği için kullanılan ancak işbirliği dışında birçok senaryoda veri erişimi için denetim noktası olarak kullanılmak üzere aşırı yüklenmiş olan, insan dostu diğer adlardır. Bu kimliklere erişim istediğiniz zaman kaldırılabildiğinden bu durum olası bir sorun oluşturur.

Merkezi olmayan Tanımlayıcılar (DD) farklıdır. DID'ler, merkezi olmayan güven sistemlerinde köklendirilmiş, kullanıcı tarafından oluşturulan, kendine ait, genel olarak benzersiz tanımlayıcılardır. Değişmezlik, sansür direnci ve kurcalama evasifliği konusunda daha fazla güvence gibi benzersiz özelliklere sahiptirler. Bu öznitelikler, kendi kendine sahiplik ve kullanıcı denetimi sağlamayı amaçlayan tüm kimlik sistemleri için kritik öneme sahiptir.

Microsoft'un doğrulanabilir kimlik bilgileri çözümü, bağlı olan bir tarafın (doğrulayıcı) doğrulanabilir bir kimlik bilgilerinin sahibi olduğunu kanıtlayan bilgiler için doğrulama kanıtı olarak imzalamak için merkezi olmayan kimlik bilgilerini (DD) kullanır. Microsoft teklifini temel alan doğrulanabilir bir kimlik bilgisi çözümü oluşturan herkes için DD'ler hakkında temel bilgiler önerilir.

Doğrulanabilir Kimlik Bilgileri nedir?

Kimlikleri günlük hayatımızda kullanırız. Araba kullanma yeteneğimizin kanıtı olarak kullandığımız sürücü lisanslarımız var. Üniversiteler, eğitim düzeyine ulaştığımızı kanıtlayan diplomalar yayınlar. Diğer ülkelere/bölgelere vardıkça yetkililere kim olduğumuzu kanıtlamak için pasaportları kullanırız. Veri modeli, İnternet üzerinden çalışırken ancak kullanıcıların gizliliğine saygı gösteren güvenli bir şekilde bu tür senaryoları nasıl işleyebileceğimizi açıklar. Doğrulanabilir Kimlik Bilgileri Veri Modeli 1.0'da ek bilgi alabilirsiniz.

Kısacası doğrulanabilir kimlik bilgileri, veren tarafından bir konu hakkındaki bilgileri doğrulayan taleplerden oluşan veri nesneleridir. Bu talepler şema tarafından tanımlanır ve DID vereni ve konusunu içerir. Verenin DID'i, bu bilgileri kanıtlayan bir dijital imza oluşturur.

Merkezi Olmayan Kimlik nasıl çalışır?

Yeni bir kimlik biçimine ihtiyacımız var. Kendi kendine sahip olma ve sansür direnci gibi temel kimlik özniteliklerini sunmak için teknolojileri ve standartları bir araya getiren bir kimliğe ihtiyacımız var. Mevcut sistemleri kullanarak bu özellikleri elde etmek zordur.

Bu sözleri yerine getirmek için yedi önemli yenilikten oluşan bir teknik temele ihtiyacımız var. Önemli yeniliklerden biri, kullanıcıya ait tanımlayıcılar, bu tür tanımlayıcılarla ilişkili anahtarları yönetmek için bir kullanıcı aracısı ve kullanıcı tarafından denetlenen şifrelenmiş veri depolarıdır.

Microsoft'un doğrulanabilir kimlik bilgisi ortamının diyagramı.

1. W3C Merkezi Olmayan Tanımlayıcılar (DD). Kimlik kullanıcıları herhangi bir kuruluş veya kamudan bağımsız olarak oluşturur, sahip olur ve denetler. DID'ler, ortak anahtar malzemesi, kimlik doğrulama tanımlayıcıları ve hizmet uç noktaları içeren JSON belgelerinden oluşan Merkezi Olmayan Ortak Anahtar Altyapısı (DPKI) meta verilerine bağlı genel olarak benzersiz tanımlayıcılardır.

2. Güven Sistemi. DID belgelerini çözümleyebilmek için, DD'ler genellikle bir güven sistemini temsil eden bir türdeki temel ağa kaydedilir. Microsoft şu anda DID:Web güven sistemini desteklemektedir. DID:Web, bir web etki alanının mevcut itibarını kullanarak güvene izin veren izin tabanlı bir modeldir. DID:Web destek durumunda Genel Kullanılabilir.

3. DID Kullanıcı Aracısı/Cüzdan: Microsoft Authenticator Uygulaması. Gerçek kişilerin merkezi olmayan kimlikleri ve Doğrulanabilir Kimlik Bilgilerini kullanmasını sağlar. Authenticator, DD'ler oluşturur, doğrulanabilir kimlik bilgileri için verme ve sunum isteklerini kolaylaştırır ve DID'nizin tohumunun yedeğini şifrelenmiş bir cüzdan dosyası aracılığıyla yönetir.

4. Microsoft Resolver. yöntemini kullanarak did:webDD'leri arayıp çözümleyen ve DID Belge Nesnesi 'ni (DDO) döndüren bir API. DDO, ortak anahtarlar ve hizmet uç noktaları gibi DID ile ilişkilendirilmiş DPKI meta verilerini içerir.

5. hizmet Microsoft Entra Kimlik Doğrulama. Azure'da bir verme ve doğrulama hizmeti ve yöntemiyle did:web imzalanan W3C Doğrulanabilir Kimlik Bilgileri için REST API. Kimlik sahiplerinin talepleri oluşturmasını, sunmasını ve doğrulamasını sağlar. Bu, sistemlerin kullanıcıları arasındaki güvenin temelini oluşturur.

Örnek senaryo

Sanal makinelerin nasıl çalıştığını açıklamak için kullandığımız senaryo şunları içerir:

  • Woodgrove Inc. bir şirket.
  • Proseware, Woodgrove çalışanları indirimleri sunan bir şirket.
  • Woodgrove, Inc. çalışanı olan Alice, Proseware'den indirim almak istiyor

Bugün Alice, Woodgrove'un ağ ortamında oturum açmak için bir kullanıcı adı ve parola sağlar. Woodgrove, Alice'in Woodgrove çalışanı olduğunu kanıtlaması için daha yönetilebilir bir yol sağlamak üzere doğrulanabilir bir kimlik bilgisi çözümü dağıtıyor. Proseware, Woodgrove tarafından verilen doğrulanabilir kimlik bilgilerini kurumsal indirim programının bir parçası olarak kurumsal indirimlere erişim verebilen bir iş kanıtı olarak kabul eder.

Alice, Woodgrove Inc'e iş kanıtlanabilir kimlik bilgileri için istekte bulunur. Woodgrove Inc, Alice'in kimliğini doğrular ve Alice'in dijital cüzdan uygulamasında kabul edip depolayabileceğiniz imzalı doğrulanabilir bir kimlik bilgisi oluşturur. Alice artık bu doğrulanabilir kimlik bilgilerini Proseware sitesinde çalışma kanıtı olarak sunabilir. Kimlik bilgilerinin başarılı bir şekilde sunulmasının ardından Proseware, Alice'e indirim sunar ve işlem Alice'in cüzdan uygulamasında günlüğe kaydedilir, böylece iş kanıtını doğrulanabilir kimlik bilgilerini nerede ve kime sunduğunu takip edebilir.

DID dağıtım örneğinin diyagramı.

Doğrulanabilir kimlik bilgisi çözümündeki roller

Doğrulanabilir kimlik bilgisi çözümünde üç birincil aktör vardır. Aşağıdaki diyagramda:

  • 1. Adımda, kullanıcı verenden doğrulanabilir bir kimlik bilgisi istemektedir.
  • 2. Adımda, kimlik bilgisi veren, kullanıcının sağladığı kanıtın doğru olduğunu doğrular ve kullanıcının DID'sinin konu olduğu KENDI DID'siyle imzalanmış doğrulanabilir bir kimlik bilgisi oluşturur.
  • 3. Adımda kullanıcı, DID ile doğrulanabilir bir sunu (VP) imzalar ve doğrulayıcıya gönderir. Doğrulayıcı daha sonra kimlik bilgilerini DPKI'ya yerleştirilen ortak anahtarla eşleştirerek doğrular.

Bu senaryodaki roller şunlardır:

Doğrulanabilir bir kimlik bilgisi ortamındaki rolleri gösteren diyagram.

Sertifikayı veren

Veren, bir kullanıcıdan bilgi isteyen bir verme çözümü oluşturan bir kuruluşdur. Bilgiler, kullanıcının kimliğini doğrulamak için kullanılır. Örneğin Woodgrove, Inc. şirketin doğrulanabilir kimlik bilgilerini (VC) oluşturup tüm çalışanlarına dağıtmalarını sağlayan bir verme çözümüne sahiptir. Çalışan, kimlik belirtecini veren hizmete geçiren kullanıcı adı ve parolasıyla oturum açmak için Authenticator uygulamasını kullanır. Woodgrove, Inc. gönderilen kimlik belirtecini doğruladıktan sonra, verme çözümü çalışan hakkındaki talepleri içeren bir VC oluşturur ve Woodgrove, Inc. DID ile imzalanır. Artık çalışan, işvereni tarafından imzalanan doğrulanabilir bir kimlik bilgilerine sahiptir ve bu kimlik bilgileri, söz konusu DID olarak çalışanların DID'sini içerir.

User

Kullanıcı, VC isteyen kişi veya varlıktır. Örneğin Alice, Woodgrove, Inc.'in yeni bir çalışanıdır ve daha önce ona doğrulanabilir iş kanıtı verilmiştir. Alice'in Proseware'de indirim almak için iş kanıtı sağlaması gerektiğinde, Alice'in DID'nin sahibi olduğunu kanıtlayan doğrulanabilir bir sunu imzalayarak Authenticator uygulamasında kimlik bilgilerine erişim verebilir. Proseware, kimlik bilgilerinin Woodgrove, Inc. tarafından verildiğini ve Alice'in kimlik bilgilerinin sahibi olduğunu doğrulayabilir.

Doğrulayıcı

Doğrulayıcı, güvendikleri bir veya daha fazla verenden gelen talepleri doğrulaması gereken bir şirket veya varlıktır. Örneğin Proseware, Woodgrove, Inc. şirketine güvenerek çalışanlarının kimliğini doğrular ve gerçek ve geçerli sanal makineler verir. Alice işi için ihtiyaç duyduğu ekipmanı sipariş etmeye çalıştığında Proseware, Woodgrove, Inc.'in çalışanı olduğunu kanıtlayan Kullanıcıdan kimlik bilgileri istemek için SIOP ve Sunu Değişimi gibi açık standartları kullanacaktır. Örneğin Proseware, Alice'e telefon kamerasıyla taradığı QR koduyla bir web sitesine bağlantı sağlayabilir. Bu, Authenticator'ın analiz edeceği ve Alice'e Proseware'e istihdamını kanıtlamak için isteği onaylama olanağı sağlayacak olan belirli bir VC isteğini başlatır. Proseware, doğrulanabilir sununun orijinalliğini doğrulamak için doğrulanabilir kimlik bilgileri hizmeti API'sini veya SDK'sını kullanabilir. Alice tarafından sağlanan bilgilere dayanarak Alice'e indirim yaparlar. Diğer şirketler ve kuruluşlar Woodgrove, Inc. şirketinin çalışanlarına sanal makine dağıttığını biliyorsa bir doğrulayıcı çözümü oluşturabilir ve Woodgrove, Inc. doğrulanabilir kimlik bilgilerini kullanarak Woodgrove, Inc. çalışanları için özel teklifler sunabilir.

Not

Doğrulayıcı, sunuyu ve doğrulamayı gerçekleştirmek için açık standartları kullanabilir veya işin çoğunu Microsoft Entra Kimlik Doğrulama hizmetinin gerçekleştirmesine izin vermek için kendi Microsoft Entra kiracısını yapılandırabilir.

Sonraki adımlar

ARTıK DD'ler ve doğrulanabilir kimlik bilgileri hakkında bilgi edindiğinize göre, kullanmaya başlama makalemizi veya doğrulanabilir kimlik bilgileri kavramları hakkında daha fazla ayrıntı sağlayan makalelerimizden birini izleyerek bunları kendiniz deneyin.