Microsoft Entra 驗證識別碼簡介

注意

Azure Active Directory 可驗認證現在是 Microsoft Entra 驗證識別碼,並且是 Microsoft Entra 系列產品的一部分。 深入了解 Microsoft Entra 系列身分識別解決方案,並開始使用統一的 Microsoft Entra 系統管理中心

我們的數位和實體生活,正逐漸與用來存取多種豐富體驗的應用程式、服務和裝置緊密相連。 此數位轉型可讓我們以先前無法想像的方式,與數百家公司和數千名其他使用者互動。

但是身分識別資料在安全性缺口中經常遭到洩漏。 這些缺口會影響我們的社交、專業和財務生活。 Microsoft 相信有更好的方法。 每個人都擁有自己的身分識別,並能安全地儲存數位身分識別元素,同時保留隱私。 本入門說明我們如何與不同的社區聯結,為個人和組織建立開放、可信、互通且標準的分散式身分識別解決方案。

為何需要分散式身分識別

今天,我們會在公司和家中使用數位身分識別,並在每個用到的應用程式、服務和裝置上使用。 這是由我們在生活中所說、所行,以及所體驗的一切所組成:購買活動門票、入住旅館,或甚至訂購午餐。 目前,我們的身分識別和所有數位互動都是由其他人所擁有並控制,我們甚至還不知道其中某些人的身分。

一般而言,使用者會將同意授與數個應用程式和裝置。 這種方法需要使用者本身確保高度警覺,以追蹤誰可以存取哪些資訊。 在企業前端,與取用者和合作夥伴共同作業需要高接觸協調流程,才能安全地交換資料,以維護所有相關的隱私權和安全性。

我們相信標準型分散式身分識別系統可以解鎖全新的體驗,讓使用者和組織能夠更有效地控制其資料,並為應用程式、裝置和服務提供者提供更高程度的信任和安全性。

具有開放式標準的潛在客戶

我們致力於與客戶、合作夥伴和團體密切合作,來解鎖新一代的分散式身分識別型體驗,同時也很高興能與在此空間中進行大量貢獻的個人和組織協力合作。 如果分散式識別碼生態系統的成長、標準、技術元件和程式碼交付專案都必須是開放原始碼,而且可供所有人員存取。

Microsoft 正積極地與分散式身分識別基礎 (DID)、W3C 認證社群群組,以及更廣泛的身分識別控管成員合作。 我們已使用這些群組識別並開發重要標準,並在我們的服務中實行下列標準。

什麼是分散式識別碼?

在瞭解分散式識別碼之前,您可以先將其與目前的身分識別系統進行比較。 電子郵件地址和社交網路識別碼是易於使用的協同作業別名,但現在做為在許多案例 (而不只是協同作業) 中進行資料存取的控制點,已超出負荷。 這會造成潛在問題,因為外部當事人可以隨時移除這些識別碼的存取權。

分散式識別碼 (DID) 不同。 分散式識別碼是使用者所產生且自行擁有的全域唯一識別碼,並以分散式系統 (例如ION) 為基礎。 其具有獨特的特性,例如更能保證永久性、審查阻力,以及避免篡改。 對於提供自我擁有權和使用者控制項的任何識別碼系統而言,這些屬性是不可或缺的。

Microsoft 的可驗證解決方案會使用分散式驗證 (DID),以密碼編譯方式簽署信賴憑證者 (驗證者) 證明的資訊,證明其是可驗認證的擁有者。 針對根據 Microsoft 供應專案建立可驗認證解決方案的任何人,建議其對分散式識別碼應有基本的瞭解。

什麼是可驗認證?

我們在日常生活中使用識別碼。 我們擁有駕照,作為汽車駕駛能力的證據。 大學頒發的文憑證明我們達到了一定的教育程度。 當我們到達其他國家/地區時,則使用護照向當局證明自己的身分。 此資料模型說明如何在透過網際網路運作時,以安全方式處理這些類型的案例,以尊重使用者的隱私權。 您可以在可驗認證資料模型 1.0 中取得其他資訊。

簡單地說,可驗認證是由簽發者證明有關主旨宣告所組成的資料物件。 這些宣告是依結構描述來識別,且包含 DID 簽發者和主體。 分散式識別碼簽發者建立數位簽章,以證明這些資訊。

分散式身分識別的運作方式為何?

我們需要新的身分識別形式。 我們需要一種可結合技術和標準的身分識別,以提供重要的身分識別屬性,例如自我擁有和審查阻力。 很難透過現有的系統達成這些功能。

為了提供這些承諾,我們需要由七項重要創新所組成的技術基礎。 其中一項重要創新便是由使用者所擁有的識別碼、使用者代理程式、用來管理與這類識別碼相關聯的金鑰,以及加密的使用者控制資料存放區。

Microsoft 的可驗認證環境概觀

1. W3C 分散式識別碼 (DID)。 識別碼使用者會在任何組織或政府之外獨立建立、擁有和控制。 DID 是全域唯一識別碼,其連結至分散式公開金鑰基礎結構 (DPKI) 中繼資料,其由包含公開金鑰資料、驗證描述項和服務端點的 JSON 文件組成。

2. 信任系統。 為了能夠解析 DID 文件,DID 通常會記錄在代表信任系統的某種基礎網路上。 Microsoft 目前支援兩個信任系統,包括:

  • ION (身分識別重疊網路) 是以純決定性 Sidetree 通訊協定為基礎的第 2 層開放無權限網路,且不需要特殊權杖、信任的驗證程式或其他的共識機制;比特幣時間鏈線性進展便是其運作所需的一切。 我們已建立 npm 套件 開放原始碼,可讓您輕鬆使用 ION 網路,以整合至您的應用程式和服務中。 程式庫包含建立新的分散式識別碼、產生金鑰,以及在比特幣區塊鏈上錨定您的分散式識別碼。

  • DID:Web 是一種權限型模型,允許信任使用 Web 網域的現有信譽。

3. DID 使用者代理程式/錢包:Microsoft Authenticator 應用程式。 可讓真實人員使用分散式身分識別和可驗認證。 Authenticator 會建立分散式識別碼、促進發行和展示要求以取得可驗認證,並透過加密錢包檔案來管理您的植入備份。

4. Microsoft 解析器。 API 會使用 did:webdid:ion 方法來查閱和解析 DID,並傳回 DID 文件物件 (DDO)。 DDO 包含與分散式識別碼相關聯的 DPKI 中繼資料,例如公開金鑰和服務端點。

5. Entra 已驗證識別碼服務。 Azure 中的核發和驗證服務,以及使用 did:webdid:ion 方法所簽署的 W3C 可驗認證 REST API。 其可讓身分識別擁有者產生、出示和驗證宣告。 這會形成系統使用者之間的信任基礎。

範例案例

我們用來說明 VC 工作的案例包括:

  • Woodgrove Inc. 公司。
  • Proseware,一家提供 Woodgrove 員工折扣的公司。
  • Alice 是 Woodgrove,Inc. 的員工,想要從 Proseware 取得折扣

目前,Alice 提供使用者名稱和密碼來登入 Woodgrove 的網路環境。 Woodgrove 正在部署可驗認證解決方案,以提供更容易管理的方法,讓 Alice 證明她是 Woodgrove 的員工。 Proseware 接受 Woodgrove 核發的可驗認證作為雇用證明,以在其公司折扣方案中提供公司折扣。

Alice 要求 Woodgrove Inc 提供可驗認證雇用證明。 Woodgrove Inc 證明 Alice 的身分識別,並核發 Alice 可以接受並儲存在其數位電子錢包應用程式中的已簽署可驗認證。 Alice 現在可以在 Proseware 網站上展示此可驗認證作為僱用證明。 在認證成功展示之後,Proseware 會將折扣提供給 Alice,而該交易會記錄在 Alice 的電子錢包應用程式中,以便能夠追蹤展示可驗認證雇用證明的位置和人員。

microsoft-did-overview

可驗認證解決方案中的角色

可驗認證解決方案中有三個主要執行者。 在下圖中:

  • 步驟 1 中,使用者向簽發者要求可驗認證。
  • 步驟 2 中,認證的簽發者會證明使用者提供的證明正確,並且會建立以其分散式識別碼簽署的可驗認證,而使用者的分散式識別碼則作為主旨。
  • 步驟 3 中,使用者簽署可驗證的簡報 (VP) 與其分散式識別碼進行驗證,然後傳送至 驗證者。 然後,驗證者會藉由比對 DPKI 中的公開金鑰來驗證認證。

此案例中的角色如下:

可驗認證環境中的角色

Issuer

簽發者是一個組織,可建立向使用者要求資訊的簽發解決方案。 這項資訊是用來驗證使用者的身分識別。 例如,Woodgrove,Inc. 有一個簽發解決方案,可建立並散發可驗認證 (VC) 給所有員工。 員工使用 Authenticator 應用程式透過其使用者名稱和密碼登入,這會將識別碼權杖傳遞給簽發服務。 一旦 Woodgrove,Inc. 驗證提交的識別碼權杖,簽發解決方案就會建立包含員工相關宣告的 VC,並使用 Woodgrove,Inc. 進行簽署。 員工現在擁有由其雇主簽署的可驗認證,其中包含員工依照主旨執行的操作。

User

使用者是要求 VC 的人員或實體。 例如,Alice 是 Woodgrove,Inc. 的新員工,先前曾簽發她的雇用可驗認證證明。 當 Alice 需要提供雇用證明,才能在 Proseware 取得折扣時,她可以簽署可驗證的簡報,證明 Alice 是其擁有者,以在她的 Authenticator 應用程式中授與認證存取權。 Proseware 可驗證由 Woodgrove, Inc. 發出的認證,而 Alice 是認證的擁有者。

驗證者

驗證者是一公司或實體,需要驗證其信任的一或多個簽發者宣告。 例如,Proseware 信任 Woodgrove,Inc. 會執行適當作業來驗證其員工的身分識別,並簽發真實且有效的 VC。 當 Alice 嘗試訂購她工作所需的設備時,Proseware 會使用開放標準 (例如 SIOP 和 Presentation Exchange) 向使用者要求認證,證明使用者是 Woodgrove,inc. 的員工。例如,Proseware 可能會提供 Alice 網站連結,並使用她掃描電話相機的 QR 代碼。 這會起始特定 VC 的要求,Authenticator 將分析並提供 Alice 核准要求的能力,以證明她任職於 Proseware。 Proseware 可以使用可驗認證服務 API 或 SDK 來驗證可驗證簡報的真實性。 根據 Alice 所提供的資訊,他們讓 Alice 享有折扣。 如果其他公司和組織知道 Woodgrove,Inc. 為其員工簽發 VC,他們也可以建立驗證者解決方案,並使用 Woodgrove,Inc. 可驗認證來提供針對 Woodgrove,Inc. 所保留的特殊優惠。

注意

驗證者可以使用開放標準來執行簡報和驗證,或只是設定自己的 Azure AD 租用戶,讓 Azure AD 可驗認證服務執行大部分的工作。

後續步驟

現在您已瞭解分散式識別碼和可驗認證,請遵循我們的「開始使用」一文,或其他提供可驗認證概念詳細資料的文章,來自行嘗試。