Microsoft Entra 已驗證識別碼的簡介

  • 發行項

在現今的世界裡,我們的數位和實體生活正變得越來越與我們使用的應用程式、服務和裝置相互交織。 這場數位革命開闢了一個可能性的世界,讓我們能夠用曾經難以想像的方式與無數的公司和個人聯繫。

這種增加的連線能力會導致身分識別竊取和資料外泄的風險更大。 這些違規行為可能會對我們的個人和職業生活造成毀滅性的影響。 但有希望。 Microsoft 正與不同的社群合作,建立分散式身分識別解決方案,讓個人控制自己的數位身分識別,提供安全且私人的方式來管理身分識別資料,而不需要依賴集中式授權單位或媒介。

為什麼我們需要分散式身分識別

今天,我們會在公司、家中,以及我們所使用的每個應用程式、服務和裝置使用數位身分識別。 它是由我們生活中所說的、做和體驗所組成—購買活動門票、入住酒店,甚至訂購午餐。 目前,我們的身分識別和所有數位互動都由其他各方擁有和控制,在某些情況下,即使沒有我們的知識。

使用者每天授與應用程式和裝置對其資料的存取權。 他們需要付出大量努力,以追蹤誰可以存取哪些資訊。 在企業方面,與取用者和合作夥伴的共同作業需要高觸控協調流程,才能安全地交換資料,以維護所有相關專案的隱私權和安全性。

我們相信,以標準為基礎的分散式身分識別系統可以解除鎖定一組新的體驗,讓使用者和組織能夠更充分掌控其資料,並為應用程式、裝置和服務提供者提供更高的信任和安全性。

具有開放式標準的潛在客戶

我們致力於與客戶、合作夥伴和社區密切合作,以解鎖下一代分散式身分識別型體驗,我們很高興能與在這個空間中做出不可思議貢獻的個人和組織合作。 如果 DID 生態系統要成長、標準、技術元件和程式碼交付專案必須開放原始碼且可供所有人存取。

Microsoft 正積極與分散式身分識別基礎(DIF)、W3C 認證社群群組和更廣泛的身分識別社群成員共同作業。 我們已與這些群組合作,以識別及開發關鍵標準,並在我們的服務中實作下列標準。

什麼是 DID?

在我們瞭解 DID 之前,它有助於將它們與其他身分識別系統進行比較。 電子郵件地址和社交網路識別碼是人類易記的別名,可用於共同作業,但現在已超載為跨許多共同作業案例的資料存取控制點。 這會造成潛在的問題,因為可以隨時移除這些識別碼的存取權。

分散式識別碼 (DID) 則不同。 DID 是使用者產生的自我擁有、全域唯一識別碼,其根植于分散式系統信任系統。 其具有獨特的特性,例如更能保證不變性、抗審查性,以及篡改規避性。 這些屬性對於任何想要提供自我擁有權和使用者控制的識別碼系統而言都很重要。

Microsoft 的可驗證認證解決方案會使用分散式認證(DID)以密碼編譯方式簽署為信賴憑證者(驗證者)證明自己是可驗證認證的擁有者的資訊。 建議任何人根據 Microsoft 供應專案建立可驗證的認證解決方案,對 DID 有基本的瞭解。

什麼是可驗證的認證?

我們每天都在使用識別碼。 我們擁有駕照,作為汽車駕駛能力的證據。 大學頒發的文憑證明我們達到了一定的教育程度。 當我們到達其他國家/地區時,則使用護照向當局證明自己的身分。 資料模型描述了我們在透過網際網路作業時,如何以尊重使用者隱私權的安全方式處理這些類型的案例。 您可以在可驗證認證資料模型 1.0 取得其他資訊。

簡而言之,可驗認證是由簽發者的宣告 (證明主體相關資訊) 組成的資料物件。 這些宣告是依結構描述來識別,且包含 DID 簽發者和主體。 簽發者的 DID 會建立數位簽章,以證明相關資訊屬實。

分散式身分識別如何運作?

我們需要一種新的身分識別形式。 我們需要一個身份,將技術和標準結合在一起,以提供關鍵身份屬性,例如自我擁有權和審查抵抗。 這些功能很難使用現有的系統來達成。

為了兌現這些承諾,我們需要由七項關鍵創新組成的技術基礎。 其中一項金鑰創新是使用者所擁有的識別碼、用來管理與這類識別碼相關聯的金鑰的使用者代理程式,以及加密的使用者控制資料存放區。

overview of Microsoft's verifiable credential environment

1. W3C 分散式識別碼 (DID) 。 使用者會獨立于任何組織或政府建立、擁有和控制識別碼。 DID 是全域唯一識別碼,其連結至分散式公開金鑰基礎結構 (DPKI) 中繼資料,其由包含公開金鑰資料、驗證描述項和服務端點的 JSON 文件組成。

2.信任系統 。 為了能夠解析 DID 檔,DID 通常會記錄在代表信任系統的某種基礎網路上。 Microsoft 目前支援 DID:Web 信任系統。 DID:Web 是一種許可權型模型,允許使用 Web 網域的現有信譽進行信任。 DID:Web 處於支援狀態正式推出。

3. DID 使用者代理程式/錢包:Microsoft Authenticator 應用程式 。 可讓真實人員使用分散式身分識別和可驗證的認證。 驗證器會建立 DID,促進可驗證認證的發行和呈現要求,並透過加密的錢包檔案管理 DID 種子的備份。

4.Microsoft 解析程式 。 使用 did:webdid:ion 方法查閱和解析 DID 的 API,並傳回 DID 檔物件 (DDO)。 DDO 包含與 DID 相關聯的 DPKI 中繼資料,例如公開金鑰和服務端點。

5. Microsoft Entra 驗證識別碼服務 。 Azure 中的發行和驗證服務,以及使用 或 did:ion 方法簽署 did:web W3C 可 驗證認證的 REST API。 他們可讓身分識別擁有者產生、出示和驗證宣告。 這構成了系統使用者之間的信任基礎。

範例案例

我們用來說明 VCS 如何運作的案例:

  • Woodgrove Inc. 一家公司。
  • Proseware,一家提供 Woodgrove 員工折扣的公司。
  • Alice,伍德格羅夫公司的員工,他希望從散文軟體獲得折扣

目前,Alice 提供使用者名稱和密碼來登入 Woodgrove 的網路環境。 Woodgrove 正在部署可驗證的認證解決方案,以提供更管理的方式讓 Alice 證明她是 Woodgrove 的員工。 Proseware 接受 Woodgrove 核發的可驗證認證,作為可存取公司折扣計畫一部分的就業證明。

Alice 要求 Woodgrove Inc 取得可驗證的就業證明認證。 Woodgrove Inc 證明 Alice 的身分識別,併發出已簽署的可驗證認證,Alice 可以接受並儲存在她的數位錢包應用程式中。 Alice 現在可以將此可驗證的認證呈現為 Proseware 網站上的雇用證明。 在成功呈現認證之後,Proseware 會為 Alice 提供折扣,交易會記錄在 Alice 的錢包應用程式中,以便她能夠追蹤她向何處和誰出示了可驗證的就業證明認證。

microsoft-did-overview

可驗證認證解決方案中的角色

可驗證認證解決方案中有三個主要動作專案。 在下圖中:

  • 步驟 1 ,使用者 向簽發者要求可驗證的認證。
  • 步驟 2 ,認證簽發者 會證明使用者提供的證明正確無誤,並建立使用其 DID 簽署的可驗證認證,而該認證是使用者的 DID 主體。
  • 步驟 3 中,使用者會使用其 DID 簽署可驗證的簡報(VP),並將其傳送給 驗證者。 然後,驗證器會比對 DPKI 中放置的公開金鑰來驗證認證。

此案例中的角色如下:

roles in a verifiable credential environment

Issuer

簽發者是一個組織,會建立發行解決方案,要求使用者的資訊。 此資訊是用來驗證使用者的身分識別。 例如,Woodgrove, Inc. 有一個發行解決方案,可讓他們建立並散發可驗證的認證(VCS)給所有員工。 員工會使用 Authenticator 應用程式來登入其使用者名稱和密碼,其會將識別碼權杖傳遞至發行服務。 一旦 Woodgrove, Inc. 驗證提交的識別碼權杖之後,發行解決方案就會建立一個包含員工宣告的 VC,並與 Woodgrove, Inc. DID 簽署。 該員工現在擁有其雇主簽署的可驗證認證,其中包括員工 DID 作為主體 DID。

User

使用者是要求 VC 的人員或實體。 例如,Alice 是 Woodgrove, Inc. 的新員工,先前已頒發其就業證明可驗證認證。 當 Alice 需要提供雇用證明才能在 Proseware 取得折扣時,她可以簽署可驗證的簡報,證明 Alice 是 DID 的擁有者,以授與她 Authenticator 應用程式中認證的存取權。 Proseware 能夠驗證認證是由 Woodgrove, Inc. 發行,Alice 是認證的擁有者。

驗證

驗證程式是公司或實體,其需要驗證他們信任之一或多個簽發者的宣告。 例如,Proseware 信任 Woodgrove, Inc. 能夠充分驗證員工的身份,併發行真實且有效的 VCS。 當 Alice 嘗試訂購她工作所需的設備時,Proseware 會使用 SIOP 和 Presentation Exchange 等開放標準,向使用者要求認證,證明他們是 Woodgrove, Inc 的員工。例如,Proseware 可能會提供 Alice 連結至網站,其中包含她使用手機相機掃描的 QR 代碼。 這會起始特定 VC 的要求,Authenticator 將分析該要求,並讓 Alice 能夠核准向 Proseware 證明她雇用的要求。 Proseware 可以使用可驗證的認證服務 API 或 SDK 來驗證可驗證簡報的真實性。 根據 Alice 提供的資訊,他們給予 Alice 折扣。 如果其他公司和組織知道 Woodgrove, Inc. 向員工發出 VCS,他們也可以建立驗證器解決方案,並使用 Woodgrove, Inc. 可驗證認證來提供為 Woodgrove, Inc. 員工保留的特殊供應專案。

注意

驗證程式可以使用開放式標準來執行簡報和驗證,或只是 設定自己的 Microsoft Entra 租 使用者,讓Microsoft Entra 驗證識別碼服務執行大部分的工作。

下一步

既然您已瞭解 DID 和可驗證認證,請遵循我們的入門文章或其中一篇文章自行嘗試,以提供可驗證認證概念的更多詳細資料。