分享方式:


Microsoft Entra 已驗證識別碼的簡介

在現今的世界裡,我們的數位和實體生活正變得愈來愈與我們使用的應用程式、服務和裝置密不可分。 這場數位革命開啟了一個充滿可能性的世界,讓我們能夠用曾經難以想像的方式與無數的公司和個人聯繫。

這種增強的連線能力導致更大的身分識別竊取和資料外洩的風險。 這些外洩事件可能會對我們的個人和職業生活造成毀滅性的影響。 但仍存在希望。 Microsoft 正與多元化社群合作以建立分散式身分識別解決方案,讓個人控制自己的數位身分識別,提供安全且私人的方式來管理身分識別資料,而不需要依賴集中式授權單位或媒介。

為什麼我們需要分散式身分識別

今天,我們會在公司、家中,以及我們所使用的每個應用程式、服務和裝置上使用數位身分識別。 它是由我們生活中一言一行以及體驗所組成,包含購買活動門票、入住酒店,甚至訂購午餐。 目前,我們的身分識別和所有數位互動都由其他各方所擁有和控制,在某些情況下,我們甚至並不知情。

使用者每天都會授與應用程式和裝置對其資料的存取權。 他們需要花費許多精力才能掌握哪些人可以存取哪些資訊。 在企業方面,與取用者和合作夥伴的共同作業需要高接觸協調流程,才能安全地交換資料,以維護所有參與者的隱私權和安全性。

我們認為,以標準為基礎的分散式身分識別系統可以解除鎖定一組新的體驗,讓使用者和組織能夠更充分掌控其資料,並針對應用程式、裝置和服務提供者提供更高程度的信任和安全性。

具有開放式標準的潛在客戶

我們致力於與客戶、合作夥伴和團體密切合作,來解鎖新一代的分散式身分識別型體驗,同時也很高興能與在此空間中進行大量貢獻的個人和組織協力合作。

分散式識別碼 (DID) 是一種新型識別碼,可啟用可驗證的分散式身分識別。 如果 DID 生態系統要成長,則必須開放標準、技術元件和程式碼交付項目原始碼供所有人存取。

Microsoft 正積極與分散式身分識別基金會 (DIF)、W3C 認證社群群組和更廣泛的身分識別社群成員共同作業。 我們已與這些群組合作,以識別及開發關鍵標準,並在我們的服務中實作下列標準。

什麼是 DID?

在我們了解 DID 之前,先將它們與其他身分識別系統進行比較會有所幫助。 電子郵件地址和社交網路識別碼是人類易記的別名,可用於共同作業,但現在已超載,無法在共同作業之外的許多案例中充當資料存取控制點。 這會造成潛在的問題,因為對這些識別碼的存取權可能隨時會遭到移除。

分散式識別碼 (DID) 則不同。 分散式識別碼是使用者所產生且自行擁有的全域唯一識別碼,並以分散式信任系統為基礎。 其具有獨特的特性,例如更能保證不變性、抗審查性,以及篡改規避性。 這些屬性對於任何旨在提供自我擁有權和使用者控制的識別碼系統都至關重要。

Microsoft 的可驗認證解決方案會使用分散式認證 (DID),以密碼編譯方式簽署為信賴憑證者 (驗證者),證明自己是可驗認證擁有者的資訊。 建議根據 Microsoft 供應項目建立可驗認證解決方案的任何人都應該對 DID 有基本的了解。

什麼是可驗認證?

我們每天都在使用識別碼。 我們擁有駕照,作為汽車駕駛能力的證據。 大學頒發的文憑證明我們達到了一定的教育程度。 當我們到達其他國家/地區時,則使用護照向當局證明自己的身分。 資料模型描述了我們在透過網際網路作業時,如何以尊重使用者隱私權的安全方式處理這些類型的案例。 您可以在可驗認證資料模型 1.0 中取得其他資訊。

簡而言之,可驗認證是由簽發者的宣告 (證明主體相關資訊) 組成的資料物件。 這些宣告是依結構描述來識別,且包含 DID 簽發者和主體。 簽發者的 DID 會建立數位簽章,以證明相關資訊屬實。

分散式身分識別如何運作?

我們需要新身分識別形式。 我們需要能夠結合技術與標準的身分識別,以提供重要身份識別屬性,例如自我擁有權及抗審查性。 這些功能很難使用現有系統來達成。

為兌現這些承諾,我們需要由七項重要創新組成的技術基礎。 其中一項重要創新是使用者所擁有的識別碼、使用者代理程式 (以便用來管理關聯此類識別碼的金鑰),以及加密且由使用者控制的資料存放區。

Microsoft 可驗認證環境概觀的圖表。

1.W3C 分散式識別碼 (DID)。 使用者在任何組織或政府之外獨立建立、擁有及控制的識別碼。 DID 是全域唯一識別碼,其連結至分散式公開金鑰基礎結構 (DPKI) 中繼資料,其由包含公開金鑰資料、驗證描述項和服務端點的 JSON 文件組成。

2.信任系統。 為能夠解析 DID 文件,DID 通常會記錄在代表信任系統的某種基礎網路。 Microsoft 目前支援 DID:Web 信任系統。 DID:Web 是一種權限型模型,允許信任使用 Web 網域的現有信譽。 DID:Web 處於支援狀態正式推出。

3.DID 使用者代理程式/錢包:Microsoft Authenticator 應用程式。 可讓真人使用分散式身分識別及可驗證認證。 Authenticator 會建立 DID,促進可驗證認證的發佈及展示要求,並透過加密錢包檔案管理 DID 種子的備份。

4.Microsoft 解析程式。 API 會使用 did:web 方法來查閱和解析 DID,並傳回 DID 文件物件 (DDO)。 DDO 包含關聯 DID 的 DPKI 中繼資料,例如公開金鑰與服務端點。

5.Microsoft Entra 驗證識別碼服務。 Azure 中的核發和驗證服務,以及使用 did:web 方法所簽署的 W3C 可驗認證 REST API。 他們可讓身分識別擁有者產生、出示和驗證宣告。 這構成了系統使用者之間的信任基礎。

範例案例

我們用來說明 VC 工作的案例包括:

  • Woodgrove Inc. 公司。
  • Proseware,一家提供 Woodgrove 員工折扣的公司。
  • Alice 是 Woodgrove,Inc. 的員工,想要從 Proseware 取得折扣

目前,Alice 提供使用者名稱和密碼來登入 Woodgrove 的網路環境。 Woodgrove 正在部署可驗認證解決方案,以提供更容易管理的方法,讓 Alice 證明她是 Woodgrove 的員工。 ProseWare 接受 Woodgrove 核發的可驗認證作為僱用證明,以提供公司折扣作為其公司折扣方案的一部分。

Alice 要求 Woodgrove Inc 提供可驗認證雇用證明。 Woodgrove Inc 證明 Alice 的身分識別,並核發 Alice 可以接受並儲存在其數位電子錢包應用程式中的已簽署可驗認證。 Alice 現在可以在 Proseware 網站上展示此可驗認證作為僱用證明。 在認證成功展示之後,Proseware 會將折扣提供給 Alice,而該交易會記錄在 Alice 的電子錢包應用程式中,以便能夠追蹤展示可驗認證雇用證明的位置和人員。

DID 部署範例的圖表。

可驗認證解決方案中的角色

可驗認證解決方案中有三個主要執行者。 在下圖中:

  • 步驟 1 中,使用者向簽發者要求可驗認證。
  • 步驟 2 中,認證的簽發者會證明使用者提供的證明正確,並且會建立以其分散式識別碼簽署的可驗認證,而使用者的分散式識別碼則作為主旨。
  • 步驟 3中,使用者會使用其 DID 簽署可驗證的簡報 (VP),並將其傳送給驗證者。然後,驗證者會比對 DPKI 中放置的公開金鑰來驗證認證。

此案例中的角色如下:

顯示可驗認證環境中角色的圖表。

Issuer

簽發者是一個組織,可建立向使用者要求資訊的簽發解決方案。 這項資訊是用來驗證使用者的身分識別。 例如,Woodgrove,Inc. 有一個簽發解決方案,可建立並散發可驗認證 (VC) 給所有員工。 員工使用 Authenticator 應用程式透過其使用者名稱和密碼登入,這會將識別碼權杖傳遞給簽發服務。 一旦 Woodgrove, Inc. 驗證提交的識別碼權杖,簽發解決方案就會建立包含員工相關宣告的 VC,並使用 Woodgrove, Inc. 進行簽署。DID. 員工現在擁有由其雇主簽署的可驗認證,其中包含員工依照主旨執行的操作。

User

使用者是要求 VC 的人員或實體。 例如,Alice 是 Woodgrove,Inc. 的新員工,先前曾簽發她的雇用可驗認證證明。 當 Alice 需要提供雇用證明,才能在 Proseware 取得折扣時,她可以簽署可驗證的簡報,證明 Alice 是其擁有者,以在她的 Authenticator 應用程式中授與認證存取權。 Proseware 可驗證由 Woodgrove, Inc. 發出的認證,而 Alice 是認證的擁有者。

驗證者

驗證者是一公司或實體,需要驗證其信任的一或多個簽發者宣告。 例如,Proseware 信任 Woodgrove,Inc. 會執行適當作業來驗證其員工的身分識別,並簽發真實且有效的 VC。 當 Alice 嘗試訂購她工作所需的設備時,Proseware 會使用開放標準 (例如 SIOP 和 Presentation Exchange) 向使用者要求認證,證明使用者是 Woodgrove, Inc. 的員工。例如,Proseware 可能會提供 Alice 網站連結,其中附有她能使用手機相機掃描的 QR 代碼。 這會起始特定 VC 的要求,Authenticator 將分析並提供 Alice 核准要求的能力,以證明她任職於 Proseware。 Proseware 可以使用可驗認證服務 API 或 SDK 來驗證可驗證簡報的真實性。 根據 Alice 所提供的資訊,他們讓 Alice 享有折扣。 如果其他公司和組織知道 Woodgrove,Inc. 為其員工簽發 VC,他們也可以建立驗證者解決方案,並使用 Woodgrove,Inc. 可驗認證來提供針對 Woodgrove,Inc. 所保留的特殊優惠。

注意

驗證者可以使用開放標準來執行簡報和驗證,或只是設定自己的 Microsoft Entra租用戶 (部分機器翻譯),讓 Microsoft Entra 驗證識別碼執行大部分的工作。

下一步

現在您已瞭解分散式識別碼和可驗認證,請遵循我們的「開始使用」一文,或其他提供可驗認證概念詳細資料的文章,來自行嘗試。