Partilhar via


Introdução ao Microsoft Entra Verified ID

No mundo de hoje, as nossas vidas digital e física estão cada vez mais interligadas com as aplicações, serviços e dispositivos que utilizamos. Esta revolução digital abriu um mundo de possibilidades, permitindo-nos conectar-nos com inúmeras empresas e indivíduos de formas que antes eram inimagináveis.

Esta maior conectividade introduz um maior risco de roubo de identidade e violações de dados. Estas violações podem ter um impacto devastador nas nossas vidas pessoais e profissionais. Mas há esperança. A Microsoft está trabalhando com uma comunidade diversificada para criar uma solução de identidade descentralizada que coloca os indivíduos no controle de suas próprias identidades digitais, fornecendo uma maneira segura e privada de gerenciar dados de identidade sem depender de autoridades ou intermediários centralizados.

Por que precisamos de identidade descentralizada

Hoje usamos nossa identidade digital no trabalho, em casa e em todos os aplicativos, serviços e dispositivos que usamos. É composto por tudo o que dizemos, fazemos e experimentamos em nossas vidas: comprar ingressos para um evento, fazer check-in em um hotel ou até mesmo pedir almoço. Atualmente, a nossa identidade e todas as nossas interações digitais são propriedade e controladas por outras partes, em alguns casos, mesmo sem o nosso conhecimento.

Todos os dias, os utilizadores concedem às aplicações e dispositivos acesso aos seus dados. Seria necessário um grande esforço para que controlassem quem tem acesso a que informações. Na frente empresarial, a colaboração com consumidores e parceiros requer orquestração de alto toque para trocar dados com segurança de forma segura de forma a manter a privacidade e a segurança para todos os envolvidos.

Acreditamos que um sistema de Identidade Descentralizada baseado em padrões pode desbloquear um novo conjunto de experiências que dão aos usuários e organizações maior controle sobre seus dados e oferecem um maior grau de confiança e segurança para aplicativos, dispositivos e provedores de serviços.

Liderar com padrões abertos

Estamos comprometidos em trabalhar em estreita colaboração com clientes, parceiros e a comunidade para desbloquear a próxima geração de experiências descentralizadas baseadas em identidade, e estamos entusiasmados com a parceria com os indivíduos e organizações que estão fazendo contribuições incríveis neste espaço.

Os identificadores descentralizados (DIDs) são um novo tipo de identificador que permite uma identidade digital verificável e descentralizada. Para que o ecossistema DID cresça, os padrões, componentes técnicos e produtos de código devem ser de código aberto e acessíveis a todos.

A Microsoft está colaborando ativamente com membros da Decentralized Identity Foundation (DIF), do W3C Credentials Community Group e da comunidade de identidade mais ampla. Trabalhamos com esses grupos para identificar e desenvolver padrões críticos, e os seguintes padrões foram implementados em nossos serviços.

O que são DIDs?

Antes de entendermos os DIDs, é útil compará-los com outros sistemas de identidade. Endereços de e-mail e IDs de redes sociais são aliases amigáveis para colaboração, mas agora estão sobrecarregados para servir como pontos de controle para acesso a dados em muitos cenários além da colaboração. Isso cria um problema potencial, porque o acesso a esses IDs pode ser removido a qualquer momento.

Os identificadores descentralizados (DIDs) são diferentes. Os DIDs são identificadores globalmente exclusivos gerados pelo usuário, de propriedade própria e enraizados em sistemas de confiança descentralizados. Eles possuem características únicas, como maior garantia de imutabilidade, resistência à censura e evasão de adulteração. Esses atributos são críticos para qualquer sistema de ID destinado a fornecer autopropriedade e controle do usuário.

A solução de credenciais verificáveis da Microsoft usa credenciais descentralizadas (DIDs) para assinar criptograficamente como prova de que uma terceira parte confiável (verificador) está atestando informações que provam que são os proprietários de uma credencial verificável. Uma compreensão básica de DIDs é recomendada para qualquer pessoa que crie uma solução de credenciais verificável com base na oferta da Microsoft.

O que são credenciais verificáveis?

Usamos IDs no nosso dia-a-dia. Temos cartas de condução que usamos como prova da nossa capacidade de operar um carro. As universidades emitem diplomas que provam que atingimos um nível de educação. Usamos passaportes para provar quem somos às autoridades quando chegamos a outros países/regiões. O modelo de dados descreve como podemos lidar com esses tipos de cenários ao trabalhar pela Internet, mas de uma maneira segura que respeite a privacidade dos usuários. Você pode obter informações adicionais em The Verifiable Credentials Data Model 1.0.

Em suma, as credenciais verificáveis são objetos de dados que consistem em declarações feitas pelo emitente que atestam informações sobre um assunto. Essas declarações são identificadas por esquema e incluem o emissor e o sujeito do DID. O DID do emissor cria uma assinatura digital como prova de que atesta essa informação.

Como funciona a Identidade Descentralizada?

Precisamos de uma nova forma de identidade. Precisamos de uma identidade que reúna tecnologias e padrões para fornecer atributos identitários fundamentais, como autopropriedade e resistência à censura. Estas capacidades são difíceis de alcançar utilizando os sistemas existentes.

Para cumprir estas promessas, precisamos de uma base técnica composta por sete inovações fundamentais. Uma inovação importante são os identificadores que pertencem ao usuário, um agente de usuário para gerenciar chaves associadas a esses identificadores e armazenamentos de dados criptografados e controlados pelo usuário.

Diagrama de um ambiente de credenciais verificáveis da Microsoft.

1. Identificadores Descentralizados (DIDs) W3C. IDs que os usuários criam, possuem e controlam independentemente de qualquer organização ou governo. Os DIDs são identificadores globalmente exclusivos vinculados a metadados da Infraestrutura de Chave Pública Descentralizada (DPKI) compostos por documentos JSON que contêm material de chave pública, descritores de autenticação e pontos de extremidade de serviço.

2. Sistema de confiança. Para poder resolver documentos DID, os DIDs são normalmente registrados em uma rede subjacente de algum tipo que representa um sistema de confiança. Atualmente, a Microsoft suporta o sistema de confiança DID:Web. DID:Web é um modelo baseado em permissão que permite confiança usando a reputação existente de um domínio da Web. DID:Web está no status de suporte Geral Disponível.

3. DID User Agent/Wallet: Aplicativo Microsoft Authenticator. Permite que pessoas reais usem identidades descentralizadas e credenciais verificáveis. O autenticador cria DIDs, facilita a emissão e apresentação de solicitações de credenciais verificáveis e gerencia o backup da semente do seu DID por meio de um arquivo de carteira criptografado.

4. Microsoft Resolver. Uma API que procura e resolve DIDs usando o did:webmétodo e retorna o DID Document Object (DDO). O DDO inclui metadados DPKI associados ao DID, como chaves públicas e pontos de extremidade de serviço.

5. Serviço de Identificação Verificada Microsoft Entra. Um serviço de emissão e verificação no Azure e uma API REST para credenciais verificáveis do W3C assinadas com o did:web método. Eles permitem que os proprietários de identidade gerem, apresentem e verifiquem declarações. Isto constitui a base da confiança entre os utilizadores dos sistemas.

Um cenário de exemplo

O cenário que usamos para explicar como os VCs funcionam envolve:

  • Woodgrove Inc., uma empresa.
  • Proseware, uma empresa que oferece descontos aos funcionários do Woodgrove.
  • Alice, uma funcionária da Woodgrove, Inc., que quer obter um desconto da Proseware

Hoje, Alice fornece um nome de usuário e senha para entrar no ambiente de rede do Woodgrove. O Woodgrove está implantando uma solução de credenciais verificáveis para fornecer uma maneira mais gerenciável para Alice provar que é uma funcionária do Woodgrove. A Proseware aceita credenciais verificáveis emitidas pela Woodgrove como prova de emprego que podem dar acesso a descontos corporativos como parte de seu programa de descontos corporativos.

Alice solicita à Woodgrove Inc uma prova de credencial verificável de emprego. A Woodgrove Inc atesta a identidade de Alice e emite uma credencial assinada e verificável que Alice pode aceitar e armazenar em seu aplicativo de carteira digital. Alice pode agora apresentar esta credencial verificável como prova de emprego no site Proseware. Após uma apresentação bem-sucedida da credencial, a Proseware oferece desconto para Alice e a transação é registrada no aplicativo de carteira de Alice para que ela possa rastrear onde e a quem ela apresentou sua credencial verificável de prova de emprego.

Diagrama de um exemplo de implantação DID.

Funções em uma solução de credenciais verificável

Há três atores principais na solução de credenciais verificáveis. No diagrama a seguir:

  • Na Etapa 1, o usuário solicita uma credencial verificável de um emissor.
  • Na Etapa 2, o emissor da credencial atesta que a prova fornecida pelo usuário é precisa e cria uma credencial verificável assinada com seu DID para o qual o DID do usuário é o assunto.
  • Na Etapa 3, o usuário assina uma apresentação verificável (VP) com seu DID e a envia para o verificador. Em seguida, o verificador valida a credencial comparando-a com a chave pública colocada no DPKI.

As funções neste cenário são:

Diagrama mostrando as funções em um ambiente de credenciais verificável.

Emissor

O emissor é uma organização que cria uma solução de emissão solicitando informações de um usuário. As informações são usadas para verificar a identidade do usuário. Por exemplo, a Woodgrove, Inc., tem uma solução de emissão que lhes permite criar e distribuir credenciais verificáveis (VCs) para todos os seus funcionários. O funcionário usa o aplicativo Authenticator para entrar com seu nome de usuário e senha, que passa um token de ID para o serviço emissor. Depois que a Woodgrove, Inc., valida o token de ID enviado, a solução de emissão cria um VC que inclui reivindicações sobre o funcionário e é assinado com a Woodgrove, Inc. O empregado agora tem uma credencial verificável que é assinada pelo seu empregador, que inclui os funcionários DID como o sujeito DID.

User

O utilizador é a pessoa ou entidade que está a solicitar um VC. Por exemplo, Alice é uma nova funcionária da Woodgrove, Inc., e recebeu anteriormente sua credencial verificável de prova de emprego. Quando Alice precisa fornecer prova de emprego para obter um desconto na Proseware, ela pode conceder acesso à credencial em seu aplicativo Authenticator assinando uma apresentação verificável que prova que Alice é a proprietária do DID. A Proseware é capaz de validar que a credencial foi emitida pela Woodgrove, Inc., e Alice é a proprietária da credencial.

Verificador

O verificador é uma empresa ou entidade que precisa de verificar as declarações de um ou mais emitentes em quem confia. Por exemplo, a Proseware confia que a Woodgrove, Inc., faz um trabalho adequado de verificação da identidade de seus funcionários e emissão de VCs autênticos e válidos. Quando Alice tenta encomendar o equipamento de que precisa para o seu trabalho, a Proseware utilizará padrões abertos, tais como SIOP e Presentation Exchange, para solicitar credenciais ao Utilizador, provando que é um funcionário da Woodgrove, Inc. Por exemplo, a Proseware pode fornecer a Alice um link para um site com um código QR que ela escaneia com a câmera do telefone. Isso inicia a solicitação de um VC específico, que o Autenticador analisará e dará a Alice a capacidade de aprovar a solicitação para provar seu emprego à Proseware. O Proseware pode usar a API ou SDK do serviço de credenciais verificáveis para verificar a autenticidade da apresentação verificável. Com base nas informações fornecidas por Alice, eles dão a Alice o desconto. Se outras empresas e organizações souberem que a Woodgrove, Inc., emite VCs para seus funcionários, elas também podem criar uma solução de verificação e usar a credencial verificável da Woodgrove, Inc., para fornecer ofertas especiais reservadas aos funcionários da Woodgrove, Inc.

Nota

O verificador pode usar padrões abertos para executar a apresentação e verificação, ou simplesmente configurar seu próprio locatário do Microsoft Entra para permitir que o serviço Microsoft Entra Verified ID execute a maior parte do trabalho.

Próximos passos

Agora que você já sabe sobre DIDs e credenciais verificáveis, experimente-as você mesmo seguindo nosso artigo de introdução ou um de nossos artigos que fornece mais detalhes sobre conceitos de credenciais verificáveis.