Úvod do Ověřené ID Microsoft Entra

V dnešním světě se naše digitální a fyzické životy stále více prolínají s aplikacemi, službami a zařízeními, které používáme. Tato digitální revoluce otevřela svět možností, což nám umožnilo spojit se s mnoha společnostmi a jednotlivci způsoby, které byly kdysi nepředstavitelné.

Toto zvýšené připojení přináší větší riziko krádeže identity a porušení zabezpečení dat. Tato porušení mohou být zničující naše osobní a profesionální životy. Microsoft aktivně spolupracuje s různými organizacemi a subjekty standardů a vytváří řešení decentralizované identity, které jednotlivcům dává kontrolu nad vlastními digitálními identitami. Decentralizované technologie identy poskytují zabezpečený a privátní způsob správy dat identit bez nutnosti spoléhat se na centralizované orgány nebo zprostředkovatele.

Proč potřebujeme decentralizovanou identitu

V současné době používáme naši digitální identitu v práci, doma a ve všech aplikacích, službách a zařízeních, které používáme. Tato identita se skládá ze všeho, co říkáme, děláme a zkušenosti v našem životě – nákup vstupenek na akci, přihlášení do hotelu nebo dokonce objednání oběda. Naše identita a všechny naše digitální interakce jsou v současné době závislé na třetích stranách, v některých případech i bez našeho vědomí.

Každý den uživatelé udělují aplikacím a zařízením přístup ke svým datům. Pro ně by bylo potřeba hodně úsilí, aby sledovali, kdo má přístup k jakým informacím. Na podnikové straně spolupráce se spotřebiteli a partnery vyžaduje vysokou orchestraci, která bezpečně vyměňuje data způsobem, který udržuje ochranu osobních údajů a zabezpečení pro všechny zúčastněné strany.

Věříme, že systém decentralizovaných identit založený na standardech může odemknout novou sadu prostředí, která uživatelům a organizacím poskytují větší kontrolu nad jejich daty – a poskytuje vyšší stupeň důvěryhodnosti a zabezpečení pro aplikace, zařízení a poskytovatele služeb.

Zájemce s otevřenými standardy

Microsoft aktivně spolupracuje se členy organizace DIF (Decentralizovaná identita Foundation), skupina komunity přihlašovacích údajů W3C a širší komunitou identit. V našich službách jsou implementovány následující standardy.

• Decentralizované identifikátory W3C
• Ověřitelné přihlašovací údaje W3C
• Boční strom DIF
• Dobře známá konfigurace DIF DID
• DIF DID-SIOP
• Výměna prezentací DIF

Co jsou DID?

Než budeme rozumět didům, pomůže vám to porovnat je s jinými systémy identit. E-mailové adresy a ID sociálních sítí jsou lidské aliasy, které jsou pro spolupráci přetížené, ale teď jsou přetížené tak, aby sloužily jako řídicí body pro přístup k datům v mnoha scénářích mimo spolupráci. Tato situace vytváří potenciální problém, protože přístup k těmto ID je možné kdykoli odebrat. Decentralizované identifikátory (DID) se liší. Identifikátory DID jsou uživatelem generované, vlastní vlastní, globálně jedinečné identifikátory rootované v decentralizovaných systémech důvěryhodnosti. Mají jedinečné charakteristiky, jako je větší jistota neměnnosti, cenzurní odolnost a manipulace s evasivností. Tyto atributy jsou důležité pro jakýkoli systém ID určený k poskytování vlastního vlastnictví a řízení uživatelů.

Ověřitelné řešení přihlašovacích údajů od Microsoftu používá k kryptografickému podepisování decentralizované přihlašovací údaje (DID) jako důkaz, že předávající strana (ověřovatel) ověřuje informace, které dokládají vlastnictví ověřitelných přihlašovacích údajů. Základní znalost identifikátorů DID se doporučuje pro každého, kdo vytváří ověřitelné řešení přihlašovacích údajů na základě nabídky Microsoftu.

Co jsou ověřitelné přihlašovací údaje?

V každodenním životě používáme ID. Máme řidičáky, které používáme jako důkaz naší schopnosti provozovat auto. Univerzity vydávají diplomy, které ukazují, že jsme dosáhli úrovně vzdělání. Pasy používáme k prokázání toho, kdo jsme na úřadech, když přijíždíme do zahraničních destinací. Datový model popisuje, jak bychom mohli tyto typy scénářů zpracovávat při práci přes internet, ale bezpečným způsobem, který respektuje ochranu osobních údajů uživatelů. Další informace najdete v datovém modelu Ověřitelné přihlašovací údaje 1.0.

Stručně řečeno, ověřitelné přihlašovací údaje jsou datové objekty, které se skládají z deklarací identity provedené vystavitelem, který ověřuje informace o subjektu. Schéma identifikuje tyto nároky. Deklarace zahrnují DID vystavitele a předmět. Vydavatelovo DID vytváří digitální podpis jako důkaz potvrzení těchto informací.

Jak funguje decentralizovaná identita?

Potřebujeme novou formu identity. Potřebujeme identitu, která spojuje technologie a standardy pro doručování klíčových atributů identity, jako je sebevlastnictví a cenzurová odolnost. Tyto funkce je obtížné dosáhnout pomocí stávajících systémů.

Abychom mohli tyto sliby splnit, potřebujeme technický základ tvořený sedmi klíčovými inovacemi. Jednou z klíčových inovací je identifikátory vlastněné uživatelem, uživatelský agent pro správu klíčů přidružených k těmto identifikátorům a šifrované úložiště dat řízené uživatelem.

1. Decentralizované identifikátory W3C (DID) ID uživatelé vytvářejí, vlastní a řídí nezávisle na jakékoli organizaci nebo státní správě. Identifikátory DID jsou globálně jedinečné identifikátory propojené s metadaty decentralizované infrastruktury veřejných klíčů (DPKI) složené z dokumentů JSON, které obsahují materiály veřejného klíče, popisovače ověřování a koncové body služby.

2. Systém důvěryhodnosti. Aby bylo možné přeložit dokumenty DID, identifikátory DID se obvykle zaznamenávají v podkladové síti určitého druhu, která představuje systém důvěryhodnosti. Microsoft v současné době podporuje systém důvěryhodnosti DID:Web. DID:Web je model založený na oprávněních, který umožňuje důvěryhodnost pomocí stávající reputace webové domény. DID:Web je ve stavu podpory Obecné dostupné.

3. DID User Agent /Peněženka: Aplikace Microsoft Authenticator. Umožňuje skutečným lidem používat decentralizované identity a ověřitelné přihlašovací údaje. Microsoft Authenticator vytváří DID, usnadňuje vystavování a prezentační žádosti o ověřitelné přihlašovací údaje a spravuje zálohování počátečních hodnot vašeho DID prostřednictvím zašifrovaného souboru peněženky.

4. Microsoft Resolver. Rozhraní API, které vyhledá a přeloží identifikátory DID pomocí did:webmetody a vrátí objekt DDO (DID Document Object). DDO obsahuje metadata DPKI přidružená k DID, jako jsou veřejné klíče a koncové body služby.

5. Ověřené ID Microsoft Entra Služba. Služba vystavování a ověřování v Azure a rozhraní REST API pro ověřitelné přihlašovací údaje W3C podepsané metodou did:web . Umožňují vlastníkům identit generovat, prezentovat a ověřovat deklarace identity. Tato služba tvoří základ důvěry mezi uživateli systémů.

Ukázkový scénář

Scénář, který používáme k vysvětlení toho, jak ověřitelné přihlašovací údaje zahrnují:

• Společnost Woodgrove Inc.
• Proseware, společnost, která nabízí slevy zaměstnanců společnosti Woodgrove.
• Alice, zaměstnanec společnosti Woodgrove, Inc. který chce získat slevu z Proseware

Alice dnes poskytuje uživatelské jméno a heslo pro přihlášení k síťovému prostředí Woodgrove. Woodgrove nasazuje ověřitelné řešení přihlašovacích údajů, aby Alice mohla prokázat svůj pracovní stav ve společnosti Woodgrove. Proseware přijímá ověřitelné přihlašovací údaje vydané společností Woodgrove jako doklad o zaměstnání, které můžou poskytnout přístup k firemním slevám v rámci programu podnikové slevy.

Alice požádá společnost Woodgrove Inc o doklad o ověřitelných přihlašovacích údajích o zaměstnání. Společnost Woodgrove Inc ověřuje identitu Alice a vydává podepsané ověřitelné přihlašovací údaje, které Alice může přijmout a uložit ve své aplikaci digitální peněženky. Alice teď může toto ověřitelné přihlašovací údaje prezentovat jako doklad o zaměstnání na webu Proseware. Po úspěšné prezentaci přihlašovacích údajů se Alice kvalifikuje na slevy za Proseware. Transakce se protokoluje v aplikaci peněženky Alice. Položky protokolu pomáhají Alice sledovat, kde a komu předložila svoje ověřitelné pověření o zaměstnání.

Role v ověřitelném řešení přihlašovacích údajů

V ověřitelném řešení přihlašovacích údajů existují tři primární aktéři. V následujícím diagramu:

• V kroku 1 uživatel požádá o ověřitelné přihlašovací údaje od vystavitele.
• V kroku 2 vystavitel přihlašovacích údajů ověřuje, že zadaný uživatel je přesný a vytvoří ověřitelné přihlašovací údaje podepsané pomocí svého DID, pro který je předmětem UŽIVATELE DID.
• V kroku 3 uživatel podepíše ověřitelnou prezentaci se svým DID a pošle ji ověřiteli. Ověřovatel pak ověří přihlašovací údaje tím, že je shoduje s veřejným klíčem umístěným v DPKI.

Role v tomto scénáři:

Issuer

Vystavitel je organizace, která vytvoří řešení vystavování vyžadující informace od uživatele. Informace slouží k ověření identity uživatele. Společnost Woodgrove, Inc. má například řešení vystavování, které jim umožňuje vytvářet a distribuovat ověřitelné přihlašovací údaje (VCS) všem zaměstnancům. Zaměstnanec se pomocí aplikace Authenticator přihlašuje pomocí svého uživatelského jména a hesla, který předá token ID vydávající službě. Jakmile společnost Woodgrove, Inc. ověří odeslaný token ID, vytvoří řešení vystavování VC, které obsahuje deklarace identity o zaměstnanci a je podepsáno společností Woodgrove, Inc. DID. Zaměstnanec má nyní podepsaný ověřitelný údaj, který zahrnuje DID zaměstnance ve funkci subjektového DID.

Uživatelská

Uživatel je osoba nebo entita, která žádá o VC. Alice je například novou zaměstnankyní společnosti Woodgrove a dříve jí byl vydán ověřitelný doklad o zaměstnání. Když Alice potřebuje poskytnout doklad o zaměstnání, aby získala slevu na Proseware, může udělit přístup k přihlašovacím údajům v aplikaci Authenticator podepsáním ověřitelné prezentace, která potvrzuje, že Alice je vlastníkem DID. Proseware dokáže ověřit přihlašovací údaje vydané Woodgroveem a vlastnictví ověřitelného přihlašovacího údaje Alice.

Ověřovatel

Ověřovatel je společnost nebo entita, která potřebuje ověřit deklarace identity od jednoho nebo více vystavitelů, kterým důvěřují. Společnost Proseware trusts Woodgrove, Inc. například dělá odpovídající práci na ověření identity svých zaměstnanců a vydávání autentických a platných virtuálních počítačů. Když se Alice pokusí objednat vybavení, které potřebuje pro svou práci, používá Proseware otevřené standardy, jako je Self-Issued OpenID Provider (SIOP) a Presentation Exchange, aby požádal o přihlašovací údaje od uživatele, který prokáže, že jsou zaměstnancem společnosti Woodgrove, Inc. Například Proseware může Alice poskytnout odkaz na web s kódem QR, který naskenuje pomocí své telefonní kamery. Tím se zahájí žádost o konkrétní VC, kterou Authenticator analyzuje a poskytne Alice možnost schválit žádost, aby prokázala svou práci pro Proseware. Proseware může k ověření pravosti ověřitelné prezentace použít ověřitelné rozhraní API služby přihlašovacích údajů nebo sadu SDK. Na základě informací poskytnutých Alice poskytne Alice slevu. Pokud ostatní společnosti a organizace vědí, že společnost Woodgrove, Inc. vydává virtuální počítače svým zaměstnancům, můžou také vytvořit ověřitelní řešení a používat ověřitelné přihlašovací údaje společnosti Woodgrove, Inc. k poskytování speciálních nabídek vyhrazených pro zaměstnance společnosti Woodgrove, Inc.

Poznámka:

Ověřovatel může k provádění prezentace a ověřování použít otevřené standardy nebo nakonfigurovat vlastního tenanta Microsoft Entra, aby služba Microsoft Entra Verified ID většinu práce prováděla.

Další kroky

Teď, když víte o identifikátorech DID a ověřitelných přihlašovacích údajích je vyzkoušejte sami podle našeho článku začínáme nebo některého z našich článků s podrobnějšími informacemi o ověřitelných konceptech přihlašovacích údajů.

• Začínáme s ověřitelnými přihlašovacími údaji
• Přizpůsobení přihlašovacích údajů
• Nejčastější dotazy k ověřitelným přihlašovacím údajům