Pengantar ID Terverifikasi Microsoft Entra
Di dunia saat ini, kehidupan digital dan fisik kita menjadi semakin terjalin dengan aplikasi, layanan, dan perangkat yang kita gunakan. Revolusi digital ini telah membuka dunia kemungkinan, memungkinkan kami untuk terhubung dengan perusahaan dan individu yang tak terhitung jumlahnya dengan cara yang pernah tidak terbayangkan.
Peningkatan konektivitas ini menimbulkan risiko pencurian identitas dan pelanggaran data yang lebih besar. Pelanggaran ini dapat berdampak buruk pada kehidupan pribadi dan profesional kita. Tapi ada harapan. Microsoft bekerja dengan komunitas yang beragam untuk membuat solusi Identitas Terdesentralisasi yang menempatkan individu dalam kontrol atas identitas digital mereka sendiri, menyediakan cara yang aman dan privat untuk mengelola data identitas tanpa mengandalkan otoritas atau perantara terpusat.
Mengapa kita membutuhkan identitas terdesentralisasi
Hari ini kita menggunakan identitas digital kita di tempat kerja, di rumah, dan di setiap aplikasi, layanan, serta perangkat yang kita gunakan. Identitas digital ini terdiri dari semua yang kita katakan, lakukan, dan alami dalam hidup kita— membeli tiket untuk acara, cek masuk ke hotel, atau bahkan memesan makan siang. Saat ini, identitas dan semua interaksi digital kami dimiliki dan dikendalikan oleh pihak lain, dalam beberapa kasus, bahkan tanpa sepengetahuan kami.
Setiap hari pengguna memberikan akses aplikasi dan perangkat ke data mereka. Banyak upaya akan diperlukan bagi mereka untuk melacak siapa yang memiliki akses ke bagian informasi mana. Di sisi perusahaan, kolaborasi dengan konsumen dan mitra memerlukan orkestrasi sentuhan tinggi untuk bertukar data dengan aman dengan cara yang menjaga privasi dan keamanan bagi semua pihak yang terlibat.
Kami percaya sistem Identitas Terdesentralisasi berbasis standar dapat membuka serangkaian pengalaman baru yang memberikan pengguna dan organisasi kontrol yang lebih besar atas data mereka dan memberikan tingkat kepercayaan dan keamanan yang lebih tinggi untuk aplikasi, perangkat, dan penyedia layanan.
Memimpin dengan standar terbuka
Kami berkomitmen untuk bekerja sama dengan pelanggan, mitra, dan komunitas untuk membuka pengalaman berbasis identitas terdesentralisasi generasi berikutnya, dan kami senang dapat bermitra dengan individu dan organisasi yang memberikan kontribusi luar biasa di ruang ini.
Pengidentifikasi terdesentralisasi (DID) adalah jenis pengidentifikasi baru yang memungkinkan identitas digital yang dapat diverifikasi dan terdesentralisasi. Agar ekosistem DID bisa bertumbuh, maka standar, komponen teknis, dan deliverable kode harus menjadi sumber terbuka dan dapat diakses oleh semua orang.
Microsoft secara aktif berkolaborasi dengan anggota Decentralized Identity Foundation (DIF), Grup Komunitas Kredensial W3C, dan komunitas identitas yang lebih luas. Kami telah bekerja sama dengan kelompok-kelompok ini untuk mengidentifikasi dan mengembangkan standar kritis, dan standar berikut telah diterapkan dalam layanan kami.
- Pengidentifikasi Terdesentralisasi W3C
- Kredensial yang Dapat Diverifikasi W3C
- DIF Sidetree
- Konfigurasi DID Terkenal DIF
- DIF DID-SIOP
- Pertukaran Presentasi DIF
Apa itu DID?
Sebelum kita dapat memahami DID, ini membantu membandingkannya dengan sistem identitas lainnya. Alamat email dan ID jejaring sosial adalah alias ramah manusia yang untuk kolaborasi tetapi sekarang kelebihan beban untuk berfungsi sebagai titik kontrol untuk akses data di banyak skenario di luar kolaborasi. Ini menciptakan potensi masalah, karena akses ke ID ini dapat dihapus kapan saja.
Pengidentifikasi Terdesentralisasi (DID) berbeda. DID adalah pengidentifikasi unik global yang dihasilkan pengguna, milik sendiri, yang berakar pada sistem kepercayaan terdesentralisasi. Mereka memiliki karakteristik yang unik, seperti jaminan yang lebih besar dari imutablitas, ketahanan sensor, dan penghindaran perusakan. Atribut ini sangat penting untuk sistem ID apa pun yang dimaksudkan untuk memberikan kepemilikan diri dan kontrol pengguna.
Solusi kredensial Microsoft yang dapat diverifikasi menggunakan kredensial terdesentralisasi (DID) untuk menandatangani secara kriptografis sebagai bukti bahwa pihak yang mengandalkan (verifier) menunjukkan informasi yang membuktikan bahwa mereka adalah pemilik kredensial yang dapat diverifikasi. Pemahaman dasar tentang DID direkomendasikan bagi siapa saja yang membuat solusi kredensial yang dapat diverifikasi berdasarkan penawaran Microsoft.
Apa itu Kredensial yang Dapat Diverifikasi?
Kita menggunakan ID dalam kehidupan sehari-hari. Kita memiliki surat izin mengemudi yang digunakan sebagai bukti kemampuan kita untuk mengoperasikan sebuah mobil. Perguruan tinggi mengeluarkan ijazah yang membuktikan bahwa kita mencapai tingkat tertentu dalam pendidikan. Kami menggunakan paspor untuk membuktikan siapa kami kepada pihak berwenang saat kami tiba di negara/wilayah lain. Model data menjelaskan cara kami menangani jenis skenario ini ketika bekerja melalui internet tetapi dengan cara yang aman yang menghormati privasi pengguna. Anda bisa mendapatkan informasi tambahan di Model Data Kredensial yang Dapat Diverifikasi 1.0.
Secara singkat, kredensial yang dapat diverifikasi adalah objek data yang terdiri dari klaim yang dibuat oleh penerbit yang membuktikan informasi tentang sebuah subjek. Klaim ini diidentifikasi oleh skema dan menyertakan subjek dan pengeluar sertifikat DID. DID penerbit membuat tanda tangan digital sebagai bukti bahwa mereka dapat membuktikan informasi ini.
Bagaimana cara kerja Identitas Terdesentralisasi?
Kita membutuhkan bentuk identitas baru. Kita membutuhkan identitas yang dapat menyatukan teknologi dan standar untuk memberikan atribut identitas kunci seperti kepemilikan diri, dan ketahanan sensor. Kemampuan ini sulit dicapai menggunakan sistem yang ada.
Untuk memenuhi janji-janji ini, kami membutuhkan fondasi teknis yang terdiri dari tujuh inovasi kunci. Salah satu inovasi kunci adalah pengidentifikasi yang dimiliki oleh pengguna, agen pengguna untuk mengelola kunci yang terkait dengan pengidentifikasi tersebut, dan datastore yang terenkripsi serta dikendalikan pengguna.
1. Pengidentifikasi Terdesentralisasi (DID) W3C. Pengguna ID membuat, memiliki, dan mengontrol secara independen dari organisasi atau pemerintah mana pun. DID adalah pengidentifikasi unik global yang terkait dengan metadata DPKI (Decentralized Public Key Infrastructure/Infrastruktur Kunci Umum Terdesentralisasi) yang terdiri dari dokumen JSON yang berisi materi kunci publik, pendeskripsi autentikasi, dan titik akhir layanan.
2. Sistem Kepercayaan. Agar dapat menyelesaikan dokumen DID, DID biasanya direkam pada jaringan yang mendasari dari beberapa jenis yang mewakili sistem kepercayaan. Microsoft saat ini mendukung sistem DID:Web trust. DID:Web adalah model berbasis izin yang memungkinkan kepercayaan menggunakan reputasi domain web yang ada. DID:Web dalam status dukungan Umum Tersedia.
3. Agen/Dompet Pengguna DID: Aplikasi Microsoft Authenticator. Memungkinkan orang nyata untuk menggunakan identitas terdesentralisasi dan Kredensial yang Dapat Diverifikasi. Microsoft Authenticator membuat DID, memfasilitasi penerbitan dan permintaan presentasi untuk kredensial yang dapat diverifikasi serta mengelola cadangan seed DID Anda melalui file wallet terenkripsi.
4. Penyelesai Microsoft.
API yang mencari dan menyelesaikan DID menggunakan did:web
metode dan mengembalikan Objek Dokumen DID (DDO). DDO mencakup metadata DPKI yang terkait dengan DID seperti kunci publik dan titik akhir layanan.
5. Layanan ID Terverifikasi Microsoft Entra.
Layanan penerbitan dan verifikasi di Azure dan REST API untuk Kredensial yang Dapat Diverifikasi W3C yang ditandatangani dengan metode did:web
. Hal tersebut memungkinkan pemilik identitas untuk menghasilkan, menyajikan, dan memverifikasi klaim. Layanan ini membentuk dasar kepercayaan antar pengguna sistem.
Contoh skenario
Skenario yang kami gunakan untuk menjelaskan bagaimana VC bekerja melibatkan:
- Woodgrove Inc. sebuah perusahaan.
- Proseware, perusahaan yang menawarkan diskon bagi karyawan Woodgrove.
- Alice, seorang karyawan di Woodgrove, Inc. yang ingin mendapatkan diskon dari Proseware
Saat ini, Alice menyediakan nama pengguna dan kata sandi untuk masuk ke lingkungan jaringan Woodgrove. Woodgrove menyebarkan solusi kredensial yang dapat diverifikasi untuk menyediakan cara yang lebih mudah dikelola bagi Alice untuk membuktikan bahwa dia adalah karyawan Woodgrove. Proseware menerima kredensial yang dapat diverifikasi yang dikeluarkan oleh Woodgrove sebagai bukti pekerjaan yang dapat memberikan akses ke diskon perusahaan sebagai bagian dari program diskon perusahaan mereka.
Alice meminta bukti kredensial yang dapat diverifikasi kepada Woodgrove Inc. Woodgrove Inc mengesahkan identitas Alice dan menerbitkan kredensial yang dapat diverifikasi serta ditandatangani yang dapat diterima dan disimpan Alice dalam aplikasi dompet digitalnya. Alice kini dapat menunjukkan kredensial yang dapat diverifikasi ini sebagai bukti kepegawaian di situs Proseware. Setelah presentasi kredensial berhasil, Proseware menawarkan diskon kepada Alice dan transaksi dicatat dalam aplikasi dompet Alice sehingga dia dapat melacak di mana dan kepada siapa dia menunjukkan bukti kredensial yang dapat diverifikasi pekerjaannya.
Peran dalam solusi kredensial yang dapat diverifikasi
Ada tiga aktor utama dalam solusi kredensial yang dapat diverifikasi. Dalam diagram berikut:
- Di Langkah 1, pengguna meminta kredensial yang dapat diverifikasi dari pengeluar sertifikat.
- Di Langkah 2, pengeluar sertifikat kredensial membuktikan bahwa bukti yang diberikan pengguna akurat dan membuat kredensial yang dapat diverifikasi yang ditandatangani dengan DID mereka yang mana DID pengguna adalah subjeknya.
- Di Langkah 3, pengguna menandatangani presentasi yang dapat diverifikasi (VP) dengan DID mereka dan mengirimkan ke pemverifikasi. Kemudian pemverifikasi memvalidasi mandat dengan mencocokkannya dengan kunci publik yang ditempatkan di DPKI.
Peran dalam skenario ini adalah:
Penerbit
Pengeluar sertifikat adalah organisasi yang membuat solusi penerbitan yang meminta informasi dari pengguna. Informasi ini digunakan untuk memverifikasi identitas pengguna. Misalnya, Woodgrove, Inc. memiliki solusi penerbitan yang memungkinkan mereka untuk membuat dan mendistribusikan kredensial yang dapat diverifikasi (VC) kepada semua karyawan mereka. Karyawan menggunakan aplikasi Authenticator untuk masuk dengan nama pengguna dan kata sandi mereka, yang meneruskan token ID ke layanan penerbitan. Setelah Woodgrove, Inc. memvalidasi token ID yang diajukan, solusi penerbitan membuat VC yang mencakup klaim tentang karyawan dan ditandatangani dengan Woodgrove, Inc. DID. Karyawan sekarang memiliki kredensial yang dapat diverifikasi yang ditandatangani oleh pemberi kerja mereka, yang mencakup karyawan DID sebagai subjek DID.
Pengguna
Pengguna adalah orang atau entitas yang meminta VC. Misalnya, Alice adalah karyawan baru Woodgrove, Inc. dan bukti pekerjaan kredensial yang dapat diverifikasi sebelumnya sudah dikeluarkan oleh perusahaan. Ketika Alice perlu memberikan bukti pekerjaan untuk mendapatkan diskon di Proseware, dia dapat memberikan akses ke kredensial di aplikasi Authenticator-nya dengan menandatangani presentasi yang dapat diverifikasi dan membuktikan bahwa Alice adalah pemilik DID. Proseware dapat memvalidasi mandat yang dikeluarkan oleh Woodgrove, Inc. dan Alice adalah pemilik mandat.
Pemverifikasi
Pemverifikasi adalah perusahaan atau entitas yang perlu memverifikasi klaim dari satu atau beberapa pengeluar sertifikat yang mereka percayai. Misalnya, Proseware mempercayai Woodgrove, Inc. melakukan pekerjaan yang memadai untuk memverifikasi identitas karyawan mereka dan mengeluarkan VC yang autentik dan valid. Ketika Alice mencoba memesan peralatan yang dia butuhkan untuk pekerjaannya, Proseware akan menggunakan standar terbuka seperti SIOP dan Presentation Exchange untuk meminta kredensial dari Pengguna yang membuktikan bahwa mereka adalah karyawan Woodgrove, Inc. Misalnya, Proseware mungkin memberi Alice tautan ke situs web dengan kode QR yang dia pindai dengan kamera ponselnya. Proses ini memulai permintaan untuk VC tertentu, yang akan dianalisis oleh Authenticator dan Alice diberi kemampuan untuk menyetujui permintaan untuk membuktikan pekerjaannya kepada Proseware. Proseware dapat menggunakan API layanan kredensial yang dapat diverifikasi atau SDK, untuk memverifikasi keaslian presentasi yang dapat diverifikasi. Berdasarkan informasi yang diberikan oleh Alice mereka memberikan Alice diskon. Jika perusahaan dan organisasi lain tahu bahwa Woodgrove, Inc. mengeluarkan VC karyawan mereka, mereka juga dapat membuat solusi verifier dan menggunakan kredensial yang dapat diverifikasi milik Woodgrove, Inc. untuk memberikan penawaran khusus yang disediakan untuk karyawan Woodgrove, Inc.
Catatan
Pemverifikasi dapat menggunakan standar terbuka untuk melakukan presentasi dan verifikasi, atau cukup mengonfigurasi penyewa Microsoft Entra mereka sendiri untuk membiarkan layanan ID Terverifikasi Microsoft Entra melakukan sebagian besar pekerjaan.
Langkah berikutnya
Sekarang setelah Anda mengetahui tentang DID dan kredensial yang dapat diverifikasi, cobalah menggunakannya sendiri dengan mengikuti artikel memulai kami atau salah satu artikel kami yang memberikan detail lebih lanjut tentang konsep kredensial yang dapat diverifikasi.