Megosztás a következőn keresztül:

Microsoft Entra Ellenőrzött azonosító architektúra áttekintése

  • Cikk

Fontos megtervezni az ellenőrizhető hitelesítőadat-megoldást, hogy a hitelesítő adatok kiállítása és érvényesítése mellett teljes képet is adjon a megoldás architekturális és üzleti hatásairól. Ha még nem tekintette át őket, javasoljuk, hogy tekintse át a bevezetést a Microsoft Entra Ellenőrzött azonosító és a gyakori kérdésekbe, majd végezze el az Első lépések oktatóanyagot.

Ez az architektúra áttekintése bemutatja a Microsoft Entra Ellenőrzött azonosító szolgáltatás képességeit és összetevőit. A kiállítással és ellenőrzéssel kapcsolatos részletesebb információkért lásd:

Az identitás megközelítései

Ma a legtöbb szervezet központosított identitásrendszereket használ az alkalmazottak hitelesítő adatainak biztosítására. Különböző módszereket is használnak arra, hogy ügyfeleket, partnereket, szállítókat és függő entitásokat vonjanak be a szervezet megbízhatósági határaiba. Ezek a módszerek közé tartozik az összevonás, a vendégfiókok létrehozása és kezelése olyan rendszerekkel, mint a Microsoft Entra B2B, valamint explicit megbízhatósági kapcsolatok létrehozása függő entitásokkal. A legtöbb üzleti kapcsolat rendelkezik digitális összetevővel, ezért a szervezetek közötti bizalom valamilyen formájának engedélyezése jelentős erőfeszítést igényel.

Központosított identitásrendszerek

A központosított megközelítések sok esetben még mindig jól működnek, például amikor az alkalmazások, szolgáltatások és eszközök a tartományon vagy a megbízhatósági határokon belül használt megbízhatósági mechanizmusokra támaszkodnak.

A központosított identitásrendszerekben az identitásszolgáltató (IDP) szabályozza a hitelesítő adatok életciklusát és használatát.

Egy példa központosított identitásrendszer diagramja.

Vannak azonban olyan forgatókönyvek, amelyekben egy decentralizált architektúra ellenőrizhető hitelesítő adatokkal való használatával értékeket biztosíthatnak olyan kulcsforgatókönyvek kibővítésével, mint például a

  • az alkalmazottak és mások identitásainak biztonságos előkészítése, beleértve a távoli forgatókönyveket is.

  • hozzáférés a szervezeti megbízhatósági határokon belüli erőforrásokhoz adott feltételek alapján.

  • hozzáférés a megbízhatósági határon kívüli erőforrásokhoz, például a partnerek erőforrásaihoz való hozzáféréshez, a szervezet által kiadott hordozható hitelesítő adatokkal.

Decentralizált identitásrendszerek

Decentralizált identitásrendszerekben a hitelesítő adatok életciklusának és használatának ellenőrzése meg van osztva a kiállító, a tulajdonos és a hitelesítő adatokat használó függő entitás között.

Vegye figyelembe a diagram azon forgatókönyvét, amelyben a Proseware e-kereskedelmi webhely vállalati kedvezményeket szeretne kínálni a Woodgrove-alkalmazottaknak.

Egy decentralizált identitásrendszer példájának diagramja.

Az ellenőrizhető hitelesítő adatok (VC-k) terminológiája zavaró lehet, ha nem ismeri a virtuális gépeket. Az alábbi definíciók az Ellenőrizhető hitelesítő adatok adatmodell 1.0 terminológiája szakaszból származnak. Mindegyik után az előző diagram entitásaihoz kapcsoljuk őket.

"A kiállító olyan szerepkör, amelyet egy entitás egy vagy több tárgyra vonatkozó jogcímek érvényesítésével, ezekből a jogcímekből ellenőrizhető hitelesítő adatok létrehozásával és az ellenőrizhető hitelesítő adatok tulajdonosnak való továbbításával hajthat végre."

  • Az előző ábrán a Woodgrove az alkalmazottak számára ellenőrizhető hitelesítő adatok kiállítója.

"A tulajdonos egy olyan szerepkör, amelyet egy entitás egy vagy több ellenőrizhető hitelesítő adat birtokában végezhet el, és bemutatókat hozhat létre belőlük. A tulajdonos általában, de nem mindig a birtokában lévő ellenőrizhető hitelesítő adatok tárgya. A tulajdonosok hitelesítő adataikat hitelesítőadat-adattárakban tárolják."

  • Az előző ábrán Alice Woodgrove-alkalmazott. A Woodgrove-kiállítótól ellenőrizhető hitelesítő adatot szereztek be, és a hitelesítő adatok jogosultja.

"A hitelesítő egy olyan szerepkör, amelyet egy entitás egy vagy több ellenőrizhető hitelesítő adat fogadásával hajt végre, opcionálisan egy ellenőrizhető bemutatóban feldolgozás céljából. Más specifikációk függő entitásként hivatkozhatnak erre a fogalomra."

  • Az előző ábrán a Proseware a Woodgrove által kibocsátott hitelesítő adatok hitelesítő adatainak ellenőrzője.

"A hitelesítő adatok egy kiállító egy vagy több jogcímcsoportja. Az ellenőrizhető hitelesítő adatok olyan illetéktelen hozzáféréssel rendelkező hitelesítő adatok, amelyek a kriptográfiai ellenőrzéssel ellenőrizhetők. Ellenőrizhető hitelesítő adatok használhatók ellenőrizhető bemutatók készítéséhez, amelyek kriptográfiailag is ellenőrizhetők. A hitelesítő adatokban szereplő jogcímek különböző témákról szólhatnak."

"A decentralizált azonosító egy entitáshoz társított hordozható URI-alapú azonosító, más néven DID. Ezeket az azonosítókat gyakran használják ellenőrizhető hitelesítő adatokban, és alanyokhoz, kiállítókhoz és hitelesítőkhöz vannak társítva."

"A decentralizált azonosító dokumentum, más néven DID-dokumentum olyan dokumentum, amely ellenőrizhető adatjegyzék használatával érhető el, és egy adott decentralizált azonosítóhoz, például a kapcsolódó adattárhoz és a nyilvános kulcs információihoz kapcsolódó információkat tartalmaz."

  • Ebben a forgatókönyvben a kiállító és a hitelesítő egyaránt rendelkezik DID és DID dokumentumokkal. A DID-dokumentum tartalmazza a nyilvános kulcsot és a DID-hez (más néven csatolt tartományokhoz) társított DNS-webtartományok listáját.

  • A Woodgrove (kibocsátó) saját kulcsával aláírja alkalmazottai virtuális gépeit; Hasonlóképpen, a Proseware (verifier) aláírja a VC bemutatására irányuló kéréseket annak kulcsával, amely szintén a DID-hez van társítva.

A megbízhatósági rendszer a decentralizált rendszerek közötti bizalom kialakításának alapja. Lehet elosztott főkönyv, de lehet központosított is, például DID Web.

"Az elosztott főkönyv egy nemcentrikus rendszer az események rögzítésére. Ezek a rendszerek elegendő megbízhatóságot adnak ahhoz, hogy a résztvevők a mások által rögzített adatokra támaszkodjanak a működési döntések meghozatalához. Általában elosztott adatbázisokat használnak, ahol a különböző csomópontok konszenzusos protokollt használnak a kriptográfiailag aláírt tranzakciók sorrendjének megerősítéséhez. A digitálisan aláírt tranzakciók időbeli összekapcsolása gyakran hatékonyan megváltoztathatatlantá teszi a főkönyv előzményeit."

Központosított és decentralizált identitásarchitektúrák kombinálása

Egy ellenőrizhető hitelesítőadat-megoldás vizsgálatakor hasznos megérteni, hogy a decentralizált identitásarchitektúrák hogyan kombinálhatók központosított identitásarchitektúrákkal, hogy olyan megoldást nyújtsanak, amely csökkenti a kockázatot, és jelentős működési előnyökkel jár.

A felhasználói folyamat

Ez az architektúra áttekintése egy állásjelölt és egy alkalmazott útját követi, aki egy szervezetnél jelentkezik és fogad el munkát. Ezután követi az alkalmazottat és a szervezetet olyan változásokon keresztül, amelyekben ellenőrizhető hitelesítő adatok bővíthetik a központosított folyamatokat.

Aktorok ezekben a használati esetekben

  • Alice, aki a Woodgrove, Inc. alkalmazásában áll és fogad munkát.

  • Woodgrove, Inc, egy fiktív vállalat.

  • Adatum, Woodgrove fiktív identitás-ellenőrzési partnere.

  • Proseware, Woodgrove fiktív partnerszervezete.

A Woodgrove központi és decentralizált identitásarchitektúrákat is használ.

A felhasználói folyamat lépései

  • Alice applying for, accepting, and onboarding to a position with Woodgrove, Inc.

  • Digitális erőforrások elérése a Woodgrove megbízhatósági határain belül.

  • Digitális erőforrások elérése a Woodgrove megbízhatósági határain kívül anélkül, hogy kiterjesztené a Woodgrove vagy a partnerek megbízhatósági határait.

Mivel a Woodgrove továbbra is működteti vállalkozását, folyamatosan kezelnie kell az identitásokat. Az útmutató használati esetei azt mutatják be, hogy Alice hogyan használhatja az önkiszolgáló függvényeket az azonosítók beszerzéséhez és karbantartásához, valamint azt, hogy a Woodgrove hogyan adhat hozzá, módosíthat és megszüntethet üzleti és üzleti kapcsolatokat különböző megbízhatósági követelményekkel.

Ezek a használati esetek bemutatják, hogyan kombinálhatók a központosított identitások és a decentralizált identitások, hogy robusztusabb és hatékonyabb identitást, valamint megbízhatósági stratégiát és életciklust biztosítsanak.

Felhasználói út: Bevezetés a Woodgrove-ba

Egy felhasználó Woodgrove-ba való beléptetésének ábrája.

Tudatosság: Alice érdekli dolgozik Woodgrove, Inc. és meglátogatja Woodgrove karrier honlapján.

Aktiválás: A Woodgrove webhely alice-t egy olyan módszerrel mutatja be, amellyel igazolni tudja identitását, ha QR-kóddal vagy egy mély hivatkozással kéri őket, hogy látogasson el megbízható identitás-ellenőrző partneréhez, az Adatumhoz.

Kérelem és feltöltés: Az Adatum személyazonosság igazolását kéri Alice-től. Alice egy szelfit és egy jogosítványképet készít, és feltölti őket az Adatumba.

Kiállítás: Miután az Adatum ellenőrizte Alice identitását, az Adatum egy ellenőrizhető hitelesítő adatot (VC) ad ki Alice-nek, amely igazolja az identitását.

Bemutató: Alice (a hitelesítő adatok tulajdonosa és tárgya) ezután hozzáférhet a Woodgrove karrierportálhoz az alkalmazás folyamatának befejezéséhez. Amikor Alice a VC használatával éri el a portált, Woodgrove átveszi a hitelesítő és a függő entitás szerepköreit, és megbízik az Adatum igazolásában.

Kezdeti hitelesítő adatok terjesztése

Alice munkát vállal Woodgrove-nal. Az előkészítési folyamat részeként létrejön egy Microsoft Entra-fiók Alice számára, amely a Woodgrove megbízhatósági határán belül használható. Alice menedzserének ki kell találnia, hogyan engedélyezheti a távolról dolgozó Alice számára a kezdeti bejelentkezési információk biztonságos fogadását. Korábban előfordulhatott, hogy az informatikai részleg megadta ezeket a hitelesítő adatokat a felettesének, aki kinyomtatta és átadta alice-nek. A hitelesítő adatok nyomtatása nem működik a távoli alkalmazottakkal.

A virtuális gépek a hitelesítő adatok terjesztési folyamatának bővítésével adhatnak értéket a központosított rendszerekhez. Ahelyett, hogy a felettesnek hitelesítő adatokat kellene megadnia, Alice a VC-jét használhatja az identitás igazolására, hogy megkapja a központi rendszerek hozzáféréséhez szükséges kezdeti felhasználónevet és hitelesítő adatokat. Alice az előkészítési folyamat részeként bemutatja a tárcához hozzáadott személyazonosságot.

Az előkészítési használati esetben a megbízhatósági kapcsolat szerepkörei el vannak osztva a kiállító, a hitelesítő és a tulajdonos között.

  • A kibocsátó felel az általuk kibocsátott VC részét képező jogcímek érvényesítéséért. Az Adatum ellenőrzi Alice identitását a VC kiadásához. Ebben az esetben a virtuális gépeket egy hitelesítő vagy függő entitás mérlegelése nélkül bocsátják ki.

  • A tulajdonos rendelkezik a VC-vel, és kezdeményezi a VC bemutatását ellenőrzés céljából. Csak Alice tudja bemutatni a birtokában lévő virtuális gépeket.

  • A hitelesítő elfogadja a VC-ben lévő jogcímeket azoktól a kiállítóktól, amelyekben megbíznak, és érvényesíti a VC-t az ellenőrizhető hitelesítőadat-modellben leírt decentralizált főkönyv-funkcióval. Woodgrove megbízik az Adatum állításában Alice személyazonossága miatt.

Az előkészítés központosított és decentralizált identitásarchitektúráinak kombinálásával az identitás-ellenőrzéshez szükséges, Alice-ről származó kiemelt információkat( például kormányzati azonosítószámot) nem kell tárolnia a Woodgrove-nak, mert bíznak abban, hogy Alice identitás-ellenőrző partner (Adatum) által kiadott VC-ja megerősíti az identitásukat. Az erőfeszítések duplikálása minimálisra csökken, és a kezdeti előkészítési feladatok programozott és kiszámítható megközelítése implementálható.

Felhasználói folyamat: Erőforrások elérése a megbízhatósági határon belül

A megbízhatósági határon belüli erőforrások elérésének működését bemutató ábra.

Alkalmazottként Alice a Woodgrove megbízhatósági határán belül működik. A Woodgrove identitásszolgáltatóként (IDP) működik, és teljes mértékben ellenőrzi az identitást és az alkalmazások konfigurációját, amelyet Alice a Woodgrove megbízhatósági határain belül használ. Ha erőforrásokat szeretne használni a Microsoft Entra ID megbízhatósági határán, Alice többféle azonosítási igazolást is biztosít a Woodgrove megbízhatósági határán való bejelentkezéshez és a Woodgrove technológiai környezetében lévő erőforrások eléréséhez. A több igazolás egy tipikus forgatókönyv, amely egy központosított identitásarchitektúra használatával jól használható.

  • A Woodgrove kezeli a megbízhatósági határt, és a helyes biztonsági eljárások használatával az elvégzett feladat alapján a legkevésbé emelt szintű hozzáférés érhető el Alice-hez. Az erős biztonsági helyzet fenntartása érdekében, és lehetséges, hogy megfelelőségi okokból a Woodgrove-nak képesnek kell lennie nyomon követni az alkalmazottak engedélyeit és az erőforrásokhoz való hozzáférését, és képesnek kell lennie visszavonni az engedélyeket a munkaviszony megszűnésekor.

  • Alice csak a Woodgrove által fenntartott hitelesítő adatokat használja a Woodgrove-erőforrások eléréséhez. Alice-nek nem kell nyomon követnie a hitelesítő adatok használatát, mivel a Woodgrove kezeli a hitelesítő adatokat, és amelyet csak Woodgrove-erőforrásokkal használnak. Az identitás csak akkor érvényes a Woodgrove megbízhatósági határán belül, ha a Woodgrove-erőforrásokhoz való hozzáférés szükséges, így Alice-nek nem kell rendelkeznie a hitelesítő adatokkel.

Virtuális gépek használata a megbízhatósági határon belül

Az egyes alkalmazottaknak változó identitásigényük van, a virtuális gépek pedig központosított rendszereket bővíthetnek a módosítások kezeléséhez.

  • Míg a Woodgrove Alice-nek szüksége lehet az erőforrásokhoz való hozzáférésre az adott követelményeknek való megfelelés alapján. Ha például Alice adatvédelmi képzést végez, kiadhat egy új alkalmazotti VC-t ezzel az állítással, és hogy a VC használható korlátozott erőforrások elérésére.

  • A virtuális gépek a megbízhatósági határon belül használhatók a fiók helyreállításához. Ha például az alkalmazott elvesztette a telefonját és a számítógépét, a Woodgrove által megbízhatónak számító identitásellenőrző szolgáltatásból új VC-t szerezhet be, majd ezzel a virtuális géppel szerezhet be új hitelesítő adatokat.

Felhasználói folyamat: Külső erőforrások elérése

A Woodgrove termékvásárlási kedvezményt egyeztet a Proseware-lel. A kedvezményre minden Woodgrove-alkalmazott jogosult. Woodgrove szeretné biztosítani Alice a módját, hogy hozzáférjen a Proseware honlapján, és megkapja a kedvezményt vásárolt termékekre. Ha a Woodgrove központosított identitásarchitektúrát használ, kétféle módon biztosíthatja Alice számára a kedvezményt:

  • Alice személyes adatokat adhat a Proseware-fiók létrehozásához, majd a Proseware-nek ellenőriznie kell Alice woodgrove-beli foglalkoztatását.

  • A Woodgrove kibővítheti a megbízhatósági határt, hogy a Proseware legyen függő entitás, Alice pedig a kiterjesztett megbízhatósági határt használva kaphatja meg a kedvezményt.

Decentralizált azonosítókkal a Woodgrove képes biztosítani Alice számára egy ellenőrizhető hitelesítő adatot (VC), amellyel Alice hozzáférhet a Proseware webhelyéhez és más külső erőforrásokhoz.

A megbízhatósági határon kívüli erőforrások elérésének működését bemutató ábra.

Azáltal, hogy Alice a VC, Woodgrove igazolja, hogy Alice egy alkalmazott. A Woodgrove egy megbízható VC-kiállító a Proseware érvényesítési megoldásában. A Woodgrove kiállítási folyamatának megbízhatósága lehetővé teszi, hogy a Proseware elektronikusan elfogadja a VC-t annak bizonyítékaként, hogy Alice Woodgrove alkalmazott, és megadja Alice számára a kedvezményt. A VC Alice-ajándékok ellenőrzése részeként a Proseware a megbízhatósági rendszer használatával ellenőrzi a VC érvényességét. Ebben a megoldásban:

  • A Woodgrove lehetővé teszi Alice számára, hogy proseware-igazolást nyújtson a foglalkoztatásról anélkül, hogy a Woodgrove-nak ki kellene terjesztenie a megbízhatósági határt.

  • A Proseware-nek nem kell kibővítenie a megbízhatósági határt annak ellenőrzéséhez, hogy Alice a Woodgrove alkalmazottja-e. A Proseware használhatja a Woodgrove által biztosított VC-t. Mivel a megbízhatósági határ nincs kibontva, a megbízhatósági kapcsolat kezelése egyszerűbb, és a Proseware egyszerűen megszüntetheti a kapcsolatot úgy, hogy nem fogadja el többé a virtuális gépeket.

  • Alice-nek nem kell megadnia a Proseware személyes adatait, például egy e-mailt. Alice személyes eszközön tartja karban a virtuális VC-t egy tárcaalkalmazásban. A VC-t csak Alice használhatja, Alice-nek pedig kezdeményeznie kell a hitelesítő adatok használatát. A VC minden egyes használatát a pénztárcaalkalmazás rögzíti, így Alice rögzíti, hogy mikor és hol használja a virtuális VC-t.

A Woodgrove megbízhatósági határain belül és kívül működő központosított és decentralizált identitásarchitektúrák kombinálásával az összetettség és a kockázat csökkenthető, és a korlátozott kapcsolatok könnyebben kezelhetők lesznek.

Változások az idő függvényében

A Woodgrove új és befejezi a más szervezetekkel fennálló üzleti kapcsolatokat, és meg kell határoznia, hogy mikor használják a központosított és decentralizált identitásarchitektúrákat.

A központosított és decentralizált identitásarchitektúrák kombinálásával az identitással és az identitás igazolásával kapcsolatos felelősség és erőfeszítés elosztott, és csökken a kockázat. A felhasználó nem kockáztatja meg, hogy olyan gyakran vagy annyi ismeretlen hitelesítőnek adja ki a személyes adatait. Ezek konkrétan a következők:

  • A központosított identitásarchitektúrákban az identitásszolgáltató hitelesítő adatokat ad ki, és elvégzi a kiadott hitelesítő adatok ellenőrzését. Az identitásszolgáltató feldolgozza az összes identitás adatait. Vagy egy könyvtárban tárolja őket, vagy lekéri őket egy könyvtárból. Az IDP-k is elfogadhatnak biztonsági jogkivonatokat más idP-rendszerekből, például közösségi bejelentkezésekből vagy üzleti partnerekből. Ahhoz, hogy egy függő entitás identitásokat használjon az IDP megbízhatósági határán, konfigurálnia kell őket az identitásszolgáltató által kibocsátott jogkivonatok elfogadására.

A decentralizált identitásrendszerek működése

A decentralizált identitásarchitektúrákban a kiállító, a felhasználó és a függő entitás (RP) mind szerepet játszik egymás hitelesítő adatainak folyamatos megbízható cseréjében és biztosításában. A szereplők DID-jeinek nyilvános kulcsai feloldhatók a megbízhatósági rendszeren keresztül, amely lehetővé teszi az aláírások érvényesítését, és ezáltal bármely összetevő megbízhatóságát, beleértve az ellenőrizhető hitelesítő adatokat is. A függő entitások ellenőrizhető hitelesítő adatokat használhatnak anélkül, hogy megbízhatósági kapcsolatot létesítenének a kiállítóval. Ehelyett a kibocsátó egy hitelesítő adatot biztosít a tulajdonosnak, amely bizonyítékként jelenik meg a függő entitások számára. A színészek közötti összes üzenet a színész DID-jével van aláírva; A kiállítóktól és hitelesítőktől származó DID-knek a kéréseket létrehozó DNS-tartományoknak is saját tulajdonuk kell, hogy legyen.

Például: Ha a VC-tulajdonosoknak hozzá kell férniük egy erőforráshoz, be kell mutatniuk a VC-t a függő entitásnak. Ezt egy pénztárcaalkalmazással teszik lehetővé, hogy elolvassák az RP VC-nek való bemutatására vonatkozó kérését. A kérés elolvasásának részeként a pénztárcaalkalmazás az RP DID-jével keresi meg az RP nyilvános kulcsait a megbízhatósági rendszer használatával, és ellenőrzi, hogy a VC bemutatására irányuló kérést nem módosították-e. A tartomány tulajdonjogának igazolásához a tárca azt is ellenőrzi, hogy a DID-ra hivatkozik-e az RP DNS-tartományában tárolt metaadat-dokumentum.

A decentralizált identitásrendszer működését bemutató ábra.

1. folyamat: Ellenőrizhető hitelesítő adatok kiállítása

Ebben a folyamatban a hitelesítő adatok tulajdonosa együttműködik a kiállítóval, hogy ellenőrizhető hitelesítő adatokat kérjen az alábbi ábrán látható módon

A hitelesítő adatok ellenőrizhető kiállítási folyamatát bemutató ábra.

  1. A tulajdonos elindítja a folyamatot egy böngésző vagy natív alkalmazás használatával a kiállító webes előtérének eléréséhez. Itt a kiállító webhelye arra ösztönzi a felhasználót, hogy adatokat gyűjtsön, és végrehajtsa a kiállítóspecifikus logikát annak megállapításához, hogy a hitelesítő adat kiadható-e, és annak tartalmát.

  2. A kiállító webes kezelőfelülete meghívja a Microsoft Entra Ellenőrzött azonosító szolgáltatást egy VC-kiállítási kérelem létrehozásához.

  3. A webes előtér QR-kódként vagy eszközspecifikus mélyhivatkozásként jeleníti meg a kérésre mutató hivatkozást (az eszköztől függően).

  4. A tulajdonos megvizsgálja a QR-kódot vagy a mélyhivatkozást a 3. lépésből egy Olyan Pénztárca alkalmazással, mint a Microsoft Authenticator

  5. A tárca letölti a kérelmet a hivatkozásról. A kérelem a következőket tartalmazza:

    • A kibocsátó DID-e. A kiállító DID-jét a pénztárcaalkalmazás használja a nyilvános kulcsok és a csatolt tartományok megkereséséhez a megbízhatósági rendszeren keresztüli feloldáshoz.

    • A VC-jegyzék url-címe, amely meghatározza a VC kiadásának szerződési követelményeit. A szerződési követelmény tartalmazhat id_token, önigazolt attribútumokat, amelyeket meg kell adni, vagy egy másik VC bemutatását.

    • A VC megjelenése és megjelenése (az emblémafájl URL-címe, színek stb.).

  6. A tárca ellenőrzi a kiállítási kérelmeket, és feldolgozza a szerződési követelményeket:

    1. Ellenőrzi, hogy a kiállítási kérelem üzenete alá van-e írva a megbízható rendszeren keresztül feloldott DID-dokumentumban található kiállítói kulcsokkal. Az aláírás érvényesítése biztosítja, hogy az üzenetet ne illetéktelenek módosítsák.

    2. Ellenőrzi, hogy a kiállítóé-e a kiállító DID-dokumentumában hivatkozott DNS-tartomány.

    3. A VC-szerződés követelményeitől függően előfordulhat, hogy a tárca megköveteli a tulajdonostól, hogy további információkat gyűjtsön, például önkibocsátott attribútumokat kérjen, vagy navigáljon egy OIDC-folyamaton keresztül egy id_token beszerzéséhez.

  7. Elküldi a szerződés által igényelt összetevőket a Microsoft Entra Ellenőrzött azonosító szolgáltatásnak. A Microsoft Entra Ellenőrzött azonosító szolgáltatás visszaadja a VC-t, a kiállító DID-kulcsával aláírva, a pénztárca pedig biztonságosan tárolja a VC-t.

A kiállítási megoldások és az architektúra szempontjainak kialakításával kapcsolatos részletes információkért tekintse meg a Microsoft Entra Ellenőrzött azonosító kiállítási megoldás megtervezése című témakört.

2. folyamat: Ellenőrizhető hitelesítő adatok bemutatója

Az ellenőrizhető hitelesítőadat-bemutató folyamatának diagramja.

Ebben a folyamatban a tulajdonos egy függő entitással (RP) együttműködve nyújt be egy VC-t az engedélyezési követelmények részeként.

  1. A tulajdonos egy böngészővel vagy natív alkalmazással indítja el a folyamatot a függő entitás webes előtérének eléréséhez.

  2. A webes előtér meghívja a Microsoft Entra Ellenőrzött azonosító szolgáltatást egy VC-bemutatókérés létrehozásához.

  3. A webes előtér QR-kódként vagy eszközspecifikus mélyhivatkozásként jeleníti meg a kérésre mutató hivatkozást (az eszköztől függően).

  4. A tulajdonos megvizsgálja a QR-kódot vagy a 3. lépésben található mélyhivatkozást egy olyan pénztárcaalkalmazás használatával, mint a Microsoft Authenticator

  5. A tárca letölti a kérelmet a hivatkozásról. A kérelem a következőket tartalmazza:

  6. A tárca ellenőrzi, hogy a bemutatókérés megfelel-e a kérésnek, és megkeresi a kérésnek megfelelő tárolt virtuális VC(ka)t. A szükséges virtuális gépek alapján a tárca végigvezeti a tárgyat a VC-k kiválasztásán és használatához való hozzájáruláson.

    • A tulajdonos beleegyezik, hogy megossza a virtuális VC-t a RP-vel

    Ezután a tárca egy bemutató válaszát küldi el a tárgy által aláírt Microsoft Entra Ellenőrzött azonosító szolgáltatásnak. Tartalmaz:

    • Az a VC(k), amelyekhez a tulajdonos hozzájárult.

    • A tárgy DID.

    • Az RP DID a hasznos adatok "célközönsége".

  7. A Microsoft Entra Ellenőrzött azonosító szolgáltatás ellenőrzi a tárca által küldött választ. Bizonyos esetekben a VC-kiállító visszavonhatja a VC-t. A VC érvényességének ellenőrzéséhez a hitelesítőnek ellenőriznie kell a VC-kiállítót. Ez attól függ, hogy a hitelesítő hogyan kérte a VC-t a 2. lépésben.

  8. Az ellenőrzéskor a Microsoft Entra Ellenőrzött azonosító szolgáltatás visszahívja az RP-t az eredménnyel.

Az érvényesítési megoldás és az architektúra szempontjainak kialakításával kapcsolatos részletes információkért tekintse meg a Microsoft Entra Ellenőrzött azonosító ellenőrzési megoldás megtervezése című témakört.

Főbb elvitelek

A decentralizált architektúrák a meglévő megoldások továbbfejlesztésére és új képességek biztosítására használhatók.

A Decentralizált Identitás Alapítvány (DIF) és a W3C Design céljainak megvalósítása érdekében a következő elemeket kell figyelembe venni egy ellenőrizhető hitelesítő megoldás létrehozásakor:

  • Nincsenek központi megbízhatósági pontok a rendszer szereplői között. Vagyis a megbízhatósági határok nem bonthatók ki összevonással, mert az aktorok bizonyos virtuális gépekben bíznak.

    • A megbízhatósági rendszer lehetővé teszi bármely szereplő decentralizált azonosítójának (DID) felderítését.

  • A megoldás lehetővé teszi az ellenőrzők számára, hogy minden ellenőrizhető hitelesítő adatot (VC-t) ellenőrizzenek bármely kiállítótól.

  • A megoldás nem teszi lehetővé a kiállító számára a tulajdonos vagy a hitelesítő (függő entitás) engedélyezésének ellenőrzését.

  • A színészek egymástól független módon működnek, és mindegyik képes elvégezni a feladatokat a szerepköreikhez.

    • A kiállítók minden VC-kérést kiszolgálnak, és nem különböztetik meg a kiszolgált kéréseket.

    • A tantárgyak a kibocsátásuk után saját VC-jüket birtokolják, és bármely hitelesítőnek bemutathatják VC-jüket.

    • Az ellenőrzők bármilyen VC-t érvényesíthetnek bármely tulajdonostól vagy kiállítótól.

Következő lépések

További információ az ellenőrizhető hitelesítő adatok architektúrájáról