Úvod do Ověřené ID Microsoft Entra
V dnešním světě se naše digitální a fyzické životy stále více prolínají s aplikacemi, službami a zařízeními, které používáme. Tato digitální revoluce otevřela svět možností, což nám umožnilo spojit se s mnoha společnostmi a jednotlivci způsoby, které byly kdysi nepředstavitelné.
Toto zvýšené připojení přináší větší riziko krádeže identity a porušení zabezpečení dat. Tato porušení mohou mít zničující dopad na naše osobní a profesionální životy. Ale existuje naděje. Microsoft spolupracuje s různorodou komunitou na vytvoření řešení decentralizované identity, které dává jednotlivcům kontrolu nad vlastními digitálními identitami a poskytuje bezpečný a soukromý způsob správy dat identit bez nutnosti spoléhat se na centralizované orgány nebo zprostředkovatele.
Proč potřebujeme decentralizovanou identitu
V současné době používáme naši digitální identitu v práci, doma a ve všech aplikacích, službách a zařízeních, které používáme. Skládá se ze všeho, co říkáme, děláme a zkušenosti v našich životech – nákup vstupenek na akci, přihlášení do hotelu nebo dokonce objednání oběda. Naše identita a všechny naše digitální interakce jsou v současné době vlastněny a řízeny jinými stranami, v některých případech, i bez našeho vědomí.
Každý den uživatelé udělují aplikacím a zařízením přístup ke svým datům. Pro ně by bylo potřeba hodně úsilí, aby sledovali, kdo má přístup k jakým informacím. Na podnikové straně spolupráce se spotřebiteli a partnery vyžaduje vysokou orchestraci, která bezpečně vyměňuje data způsobem, který udržuje ochranu osobních údajů a zabezpečení pro všechny zúčastněné strany.
Věříme, že systém decentralizovaných identit založený na standardech může odemknout novou sadu prostředí, která uživatelům a organizacím poskytují větší kontrolu nad jejich daty – a poskytuje vyšší stupeň důvěryhodnosti a zabezpečení pro aplikace, zařízení a poskytovatele služeb.
Zájemce s otevřenými standardy
Snažíme se úzce spolupracovat se zákazníky, partnery a komunitou, abychom uvolnili novou generaci decentralizovaných prostředí založených na identitách a s radostí spolupracujeme s jednotlivci a organizacemi, které v tomto prostoru vytvářejí neuvěřitelné příspěvky.
Decentralizované identifikátory (DID) jsou novým typem identifikátoru, který umožňuje ověřitelnou a decentralizovanou digitální identitu. Pokud má ekosystém DID růst, standardy, technické komponenty a dodávky kódu musí být opensourcový a přístupný všem.
Microsoft aktivně spolupracuje se členy organizace DIF (Decentralizovaná identita Foundation), skupina komunity přihlašovacích údajů W3C a širší komunitou identit. S těmito skupinami jsme spolupracovali na identifikaci a vývoji kritických standardů a v našich službách jsme implementovali následující standardy.
- Decentralizované identifikátory W3C
- Ověřitelné přihlašovací údaje W3C
- Boční strom DIF
- Dobře známá konfigurace DIF DID
- DIF DID-SIOP
- Výměna prezentací DIF
Co jsou DID?
Než budeme rozumět didům, pomůže vám to porovnat je s jinými systémy identit. E-mailové adresy a ID sociálních sítí jsou lidské aliasy, které jsou pro spolupráci přetížené, ale teď jsou přetížené tak, aby sloužily jako řídicí body pro přístup k datům v mnoha scénářích mimo spolupráci. Tím se vytvoří potenciální problém, protože přístup k těmto ID je možné kdykoli odebrat.
Decentralizované identifikátory (DID) se liší. Identifikátory DID jsou uživatelem generované, vlastní vlastní, globálně jedinečné identifikátory rootované v decentralizovaných systémech důvěryhodnosti. Mají jedinečné charakteristiky, jako je větší jistota neměnnosti, cenzurní odolnost a manipulace s evasivností. Tyto atributy jsou důležité pro jakýkoli systém ID určený k poskytování vlastního vlastnictví a řízení uživatelů.
Ověřitelné řešení přihlašovacích údajů od Microsoftu používá k kryptografickému podepisování decentralizované přihlašovací údaje (DID) jako důkaz, že předávající strana (ověřovatel) ověřuje informace, že jsou vlastníky ověřitelných přihlašovacích údajů. Základní znalost identifikátorů DID se doporučuje pro každého, kdo vytváří ověřitelné řešení přihlašovacích údajů na základě nabídky Microsoftu.
Co jsou ověřitelné přihlašovací údaje?
V každodenním životě používáme ID. Máme řidičáky, které používáme jako důkaz naší schopnosti provozovat auto. Univerzity vydávají diplomy, které ukazují, že jsme dosáhli úrovně vzdělání. Pasy používáme k prokázání toho, kdo jsme na úřadech, když přijíždíme do jiných zemí/oblastí. Datový model popisuje, jak bychom mohli tyto typy scénářů zpracovávat při práci přes internet, ale bezpečným způsobem, který respektuje ochranu osobních údajů uživatelů. Další informace najdete v datovém modelu Ověřitelné přihlašovací údaje 1.0.
Stručně řečeno, ověřitelné přihlašovací údaje jsou datové objekty, které se skládají z deklarací identity provedené vystavitelem, který ověřuje informace o subjektu. Tyto deklarace identity jsou identifikovány schématem a zahrnují vystavitele a předmět DID. Kód DID vystavitele vytvoří digitální podpis jako důkaz, že tyto informace potvrdí.
Jak funguje decentralizovaná identita?
Potřebujeme novou formu identity. Potřebujeme identitu, která spojuje technologie a standardy pro doručování klíčových atributů identity, jako je sebevlastnictví a cenzurová odolnost. Tyto funkce je obtížné dosáhnout pomocí stávajících systémů.
Abychom mohli tyto sliby splnit, potřebujeme technický základ tvořený sedmi klíčovými inovacemi. Jednou z klíčových inovací je identifikátory, které vlastní uživatel, uživatelský agent pro správu klíčů přidružených k těmto identifikátorům a šifrované úložiště dat řízené uživatelem.
1. Decentralizované identifikátory W3C (DID) ID uživatelé vytvářejí, vlastní a řídí nezávisle na jakékoli organizaci nebo státní správě. Identifikátory DID jsou globálně jedinečné identifikátory propojené s metadaty decentralizované infrastruktury veřejných klíčů (DPKI) složené z dokumentů JSON, které obsahují materiály veřejného klíče, popisovače ověřování a koncové body služby.
2. Systém důvěryhodnosti. Aby bylo možné přeložit dokumenty DID, identifikátory DID se obvykle zaznamenávají v podkladové síti určitého druhu, která představuje systém důvěryhodnosti. Microsoft v současné době podporuje systém důvěryhodnosti DID:Web. DID:Web je model založený na oprávněních, který umožňuje důvěryhodnost pomocí stávající reputace webové domény. DID:Web je ve stavu podpory Obecné dostupné.
3. DID User Agent /Peněženka: Aplikace Microsoft Authenticator. Umožňuje skutečným lidem používat decentralizované identity a ověřitelné přihlašovací údaje. Authenticator vytvoří DID, usnadňuje vystavování a prezentační žádosti o ověřitelné přihlašovací údaje a spravuje zálohování počátečních hodnot vašeho DID prostřednictvím zašifrovaného souboru peněženky.
4. Microsoft Resolver.
Rozhraní API, které vyhledá a přeloží identifikátory DID pomocí did:web
metody a vrátí objekt DDO (DID Document Object). DDO obsahuje metadata DPKI přidružená k DID, jako jsou veřejné klíče a koncové body služby.
5. Ověřené ID Microsoft Entra Služba.
Služba vystavování a ověřování v Azure a rozhraní REST API pro ověřitelné přihlašovací údaje W3C podepsané metodou did:web
. Umožňují vlastníkům identit generovat, prezentovat a ověřovat deklarace identity. To tvoří základ důvěry mezi uživateli systémů.
Ukázkový scénář
Scénář, který používáme k vysvětlení fungování virtuálních počítačů:
- Společnost Woodgrove Inc.
- Proseware, společnost, která nabízí slevy zaměstnanců společnosti Woodgrove.
- Alice, zaměstnanec společnosti Woodgrove, Inc. který chce získat slevu z Proseware
Alice dnes poskytuje uživatelské jméno a heslo pro přihlášení k síťovému prostředí Woodgrove. Woodgrove nasazuje ověřitelné řešení přihlašovacích údajů, aby Alice dokázala, že je zaměstnancem Společnosti Woodgrove. Proseware přijímá ověřitelné přihlašovací údaje vydané společností Woodgrove jako doklad o zaměstnání, které můžou poskytnout přístup k firemním slevám v rámci programu podnikové slevy.
Alice požádá společnost Woodgrove Inc o doklad o ověřitelných přihlašovacích údajích o zaměstnání. Společnost Woodgrove Inc ověřuje identitu Alice a vydává podepsané ověřitelné přihlašovací údaje, které Alice může přijmout a uložit ve své aplikaci digitální peněženky. Alice teď může toto ověřitelné přihlašovací údaje prezentovat jako doklad o zaměstnání na webu Proseware. Po úspěšné prezentaci přihlašovacích údajů nabízí Proseware slevu Alice a transakce se zaprotokoluje do aplikace peněženky Alice, aby mohla sledovat, kde a komu předložila doklad o zaměstnání ověřitelné přihlašovací údaje.
Role v ověřitelném řešení přihlašovacích údajů
V ověřitelném řešení přihlašovacích údajů existují tři primární aktéři. V následujícím diagramu:
- V kroku 1 uživatel požádá o ověřitelné přihlašovací údaje od vystavitele.
- V kroku 2 vystavitel přihlašovacích údajů ověřuje, že zadaný uživatel je přesný a vytvoří ověřitelné přihlašovací údaje podepsané pomocí svého DID, pro který je předmětem UŽIVATELE DID.
- V kroku 3 uživatel podepíše ověřitelnou prezentaci se svým DID a pošle ji ověřiteli. Ověřovatel pak ověří přihlašovací údaje tím, že je shoduje s veřejným klíčem umístěným v DPKI.
Role v tomto scénáři:
Issuer
Vystavitel je organizace, která vytvoří řešení vystavování vyžadující informace od uživatele. Informace slouží k ověření identity uživatele. Společnost Woodgrove, Inc. má například řešení vystavování, které jim umožňuje vytvářet a distribuovat ověřitelné přihlašovací údaje (VCS) všem zaměstnancům. Zaměstnanec se pomocí aplikace Authenticator přihlašuje pomocí svého uživatelského jména a hesla, který předá token ID vydávající službě. Jakmile společnost Woodgrove, Inc. ověří odeslaný token ID, vytvoří řešení vystavování VC, které obsahuje deklarace identity o zaměstnanci a je podepsáno společností Woodgrove, Inc. DID. Zaměstnanec má nyní ověřitelné přihlašovací údaje podepsané zaměstnavatelem, což zahrnuje zaměstnance DID jako předmět DID.
Uživatelská
Uživatel je osoba nebo entita, která žádá o VC. Alice je například novým zaměstnancem společnosti Woodgrove, Inc. a dříve vydala doklad o zaměstnání ověřitelné přihlašovací údaje. Když Alice potřebuje poskytnout doklad o zaměstnání, aby získala slevu na Proseware, může udělit přístup k přihlašovacím údajům v aplikaci Authenticator podepsáním ověřitelné prezentace, která potvrzuje, že Alice je vlastníkem DID. Proseware může ověřit, že přihlašovací údaje vydal Woodgrove, Inc. a Alice je vlastníkem přihlašovacích údajů.
Ověřovatel
Ověřovatel je společnost nebo entita, která potřebuje ověřit deklarace identity od jednoho nebo více vystavitelů, kterým důvěřují. Společnost Proseware trusts Woodgrove, Inc. například dělá odpovídající práci na ověření identity svých zaměstnanců a vydávání autentických a platných virtuálních počítačů. Když se Alice pokusí objednat vybavení, které potřebuje pro svou práci, použije Proseware otevřené standardy, jako je SIOP a Presentation Exchange, k vyžádání přihlašovacích údajů od uživatele, že jsou zaměstnancem společnosti Woodgrove, Inc. Například Proseware může Alice poskytnout odkaz na web s kódem QR, který naskenuje pomocí své telefonní kamery. Tím se zahájí žádost o konkrétní VC, kterou Authenticator analyzuje a poskytne Alice možnost schválit žádost, aby prokázala svou práci pro Proseware. Proseware může k ověření pravosti ověřitelné prezentace použít ověřitelné rozhraní API služby přihlašovacích údajů nebo sadu SDK. Na základě informací poskytnutých Alice poskytne Alice slevu. Pokud ostatní společnosti a organizace vědí, že společnost Woodgrove, Inc. vydává virtuální počítače svým zaměstnancům, můžou také vytvořit ověřitelní řešení a používat ověřitelné přihlašovací údaje společnosti Woodgrove, Inc. k poskytování speciálních nabídek vyhrazených pro zaměstnance společnosti Woodgrove, Inc.
Poznámka:
Ověřovatel může k provádění prezentace a ověřování použít otevřené standardy, nebo jednoduše nakonfigurovat vlastního tenanta Microsoft Entra, aby Ověřené ID Microsoft Entra služba většinu práce prováděla.
Další kroky
Teď, když víte o identifikátorech DID a ověřitelných přihlašovacích údajích je vyzkoušejte sami podle našeho článku začínáme nebo některého z našich článků s podrobnějšími informacemi o ověřitelných konceptech přihlašovacích údajů.