Úvod k Ověřenému ID Microsoft Entra

V dnešním světě se naše digitální a fyzické životy stále více prolínají s aplikacemi, službami a zařízeními, které používáme. Tato digitální revoluce otevřela svět možností, což nám umožnilo spojit se s mnoha společnostmi a jednotlivci způsoby, které byly kdysi nepředstavitelné.

Toto zvýšené připojení přináší větší riziko krádeže identity a porušení zabezpečení dat. Tato porušení mohou být zničující naše osobní a profesionální životy. Microsoft aktivně spolupracuje s různými organizacemi a subjekty standardů a vytváří řešení decentralizované identity, které jednotlivcům dává kontrolu nad vlastními digitálními identitami. Decentralizované technologie identit poskytují zabezpečený a soukromý způsob správy dat identit bez nutnosti spoléhat se na centralizované orgány nebo zprostředkovatele.

Proč potřebujeme decentralizovanou identitu

V současné době používáme naši digitální identitu v práci, doma a ve všech aplikacích, službách a zařízeních, které používáme. Tato identita se skládá ze všeho, co říkáme, děláme a zkušenosti v našem životě – nákup vstupenek na akci, přihlášení do hotelu nebo dokonce objednání oběda. Naše identita a všechny naše digitální interakce jsou v současné době závislé na třetích stranách, v některých případech i bez našeho vědomí.

Každý den uživatelé udělují aplikacím a zařízením přístup ke svým datům. Pro ně by bylo potřeba hodně úsilí, aby sledovali, kdo má přístup k jakým informacím. Na podnikové straně spolupráce se spotřebiteli a partnery vyžaduje vysokou orchestraci, která bezpečně vyměňuje data způsobem, který udržuje ochranu osobních údajů a zabezpečení pro všechny zúčastněné strany.

Věříme, že systém decentralizovaných identit založený na standardech může odemknout novou sadu prostředí, která uživatelům a organizacím poskytují větší kontrolu nad jejich daty – a poskytuje vyšší stupeň důvěryhodnosti a zabezpečení pro aplikace, zařízení a poskytovatele služeb.

Vést s otevřenými standardy

Microsoft aktivně spolupracuje se členy Nadace pro decentralizovanou identitu (Decentralized Identity Foundation), W3C Credentials Community Group a širší komunitou identit. V našich službách jsou implementovány následující standardy.

• Decentralizované identifikátory W3C
• Ověřitelné přihlašovací údaje W3C
• Boční strom DIF
• Dobře známá konfigurace DIF DID
• DIF DID-SIOP
• Výměna prezentací DIF

Co jsou DID?

Než budeme moci rozumět DID, pomůže, když je porovnáme s jinými systémy identit. E-mailové adresy a ID sociálních sítí jsou uživatelsky přívětivé aliasy, které původně sloužily ke spolupráci, ale nyní mají rozšířenou úlohu jako kontrolní body pro přístup k datům v mnoha scénářích nad rámec spolupráce. Tato situace vytváří potenciální problém, protože přístup k těmto ID je možné kdykoli odebrat. Decentralizované identifikátory (DID) se liší. Identifikátory DID jsou uživatelem generované, uživatelem vlastněné, globálně jedinečné identifikátory zakotvené v decentralizovaných systémech důvěry. Mají jedinečné charakteristiky, jako je větší jistota neměnnosti, odolnost vůči cenzuře a odolnost proti manipulaci. Tyto atributy jsou důležité pro jakýkoli systém ID určený k poskytování vlastního vlastnictví a řízení uživatelů.

Ověřitelné řešení přihlašovacích údajů od Microsoftu používá k kryptografickému podepisování decentralizované přihlašovací údaje (DID) jako důkaz, že předávající strana (ověřovatel) ověřuje informace, které dokládají vlastnictví ověřitelných přihlašovacích údajů. Základní znalost identifikátorů DID se doporučuje pro každého, kdo vytváří ověřitelné řešení přihlašovacích údajů na základě nabídky Microsoftu.

Co jsou ověřitelné přihlašovací údaje?

V každodenním životě používáme ID. Máme řidičáky, které používáme jako důkaz naší schopnosti provozovat auto. Univerzity vydávají diplomy, které ukazují, že jsme dosáhli úrovně vzdělání. Pasy používáme k prokázání toho, kdo jsme na úřadech, když přijíždíme do zahraničních destinací. Datový model popisuje, jak bychom mohli tyto typy scénářů zpracovávat při práci přes internet, ale bezpečným způsobem, který respektuje ochranu osobních údajů uživatelů. Další informace najdete v datovém modelu Ověřitelné přihlašovací údaje 1.0.

Stručně řečeno, ověřitelné údaje jsou datové objekty sestávající z tvrzení učiněných vystavitelem, která potvrzují informace o subjektu. Schéma identifikuje tyto nároky. Tvrzení zahrnují DID vydavatele a subjekt. Vydavatelovo DID vytváří digitální podpis jako důkaz potvrzení těchto informací.

Jak funguje decentralizovaná identita?

Potřebujeme novou formu identity. Potřebujeme identitu, která spojuje technologie a standardy pro doručování klíčových atributů identity, jako je sebevlastnictví a cenzurová odolnost. Tyto funkce je obtížné dosáhnout pomocí stávajících systémů.

Abychom mohli tyto sliby splnit, potřebujeme technický základ tvořený sedmi klíčovými inovacemi. Jednou z klíčových inovací je identifikátory vlastněné uživatelem, uživatelský agent pro správu klíčů přidružených k těmto identifikátorům a šifrované úložiště dat řízené uživatelem.

1. Decentralizované identifikátory W3C (DID) ID uživatelé vytvářejí, vlastní a řídí nezávisle na jakékoli organizaci nebo státní správě. Identifikátory DID jsou globálně jedinečné identifikátory propojené s metadaty decentralizované infrastruktury veřejných klíčů (DPKI) složené z dokumentů JSON, které obsahují materiály veřejného klíče, popisovače ověřování a koncové body služby.

2. Systém důvěryhodnosti. Aby bylo možné přeložit dokumenty DID, identifikátory DID se obvykle zaznamenávají v podkladové síti určitého druhu, která představuje systém důvěryhodnosti. Microsoft v současné době podporuje systém důvěryhodnosti DID:Web. DID:Web je model založený na oprávněních, který umožňuje důvěryhodnost pomocí stávající reputace webové domény. DID:Web je ve fázi obecné dostupnosti.

3. DID Uživatelský Agent/Peněženka: Microsoft Authenticator App. Umožňuje skutečným lidem používat decentralizované identity a ověřitelné přihlašovací údaje. Microsoft Authenticator vytváří DID, usnadňuje vystavování a prezentační žádosti o ověřitelné přihlašovací údaje a spravuje zálohování počátečních hodnot vašeho DID prostřednictvím zašifrovaného souboru peněženky.

4. Microsoft Resolver. Rozhraní API, které vyhledá a vyřeší identifikátory DID pomocí metody did:web a vrátí objekt DID Document (DDO). DDO obsahuje metadata DPKI přidružená k DID, jako jsou veřejné klíče a koncové body služby.

5. Služba Microsoft Entra Verified ID. Služba vystavování a ověřování v Azure a rozhraní REST API pro ověřitelné přihlašovací údaje W3C podepsané metodou did:web . Umožňují vlastníkům identit generovat, prezentovat a ověřovat deklarace identity. Tato služba tvoří základ důvěry mezi uživateli systémů.

Ukázkový scénář

Scénář, který používáme k vysvětlení toho, jak ověřitelné přihlašovací údaje zahrnují:

• Společnost Woodgrove Inc.
• Proseware, společnost, která nabízí slevy zaměstnanců společnosti Woodgrove.
• Alice, zaměstnanec společnosti Woodgrove, Inc. který chce získat slevu z Proseware

Alice dnes poskytuje uživatelské jméno a heslo pro přihlášení k síťovému prostředí Woodgrove. Woodgrove nasazuje ověřitelné řešení přihlašovacích údajů, aby Alice mohla prokázat svůj pracovní stav ve společnosti Woodgrove. Proseware přijímá ověřitelné přihlašovací údaje vydané společností Woodgrove jako doklad o zaměstnání, které můžou poskytnout přístup k firemním slevám v rámci programu podnikové slevy.

Alice požádá společnost Woodgrove Inc o ověřitelný doklad o zaměstnání. Společnost Woodgrove Inc ověřuje identitu Alice a vydává podepsané ověřitelné přihlašovací údaje, které Alice může přijmout a uložit ve své aplikaci digitální peněženky. Alice teď může toto ověřitelné přihlašovací údaje prezentovat jako doklad o zaměstnání na webu Proseware. Po úspěšné prezentaci přihlašovacích údajů se Alice kvalifikuje na slevy za Proseware. Transakce se protokoluje v aplikaci peněženky Alice. Položky protokolu pomáhají Alice sledovat, kde a komu předložila svoje ověřitelné pověření o zaměstnání.

Role v ověřitelném řešení přihlašovacích údajů

V ověřitelném řešení přihlašovacích údajů existují tři primární aktéři. V následujícím diagramu:

• V kroku 1 uživatel požádá o ověřitelné přihlašovací údaje od vystavitele.
• V kroku 2 vystavitel těchto údajů potvrzuje, že důkaz, který uživatel poskytl, je přesný a vytvoří ověřitelné přihlašovací údaje podepsané jeho DID, který se týká uživatelova DID.
• V kroku 3 uživatel podepíše ověřitelnou prezentaci se svým DID a pošle ji ověřiteli. Ověřovatel pak ověří přihlašovací údaje tím, že je shoduje s veřejným klíčem umístěným v DPKI.

Role v tomto scénáři:

Vydavatel

Vystavitel je organizace, která vytvoří řešení vystavování vyžadující informace od uživatele. Informace slouží k ověření identity uživatele. Společnost Woodgrove, Inc. má například řešení pro vydávání, které jim umožňuje vytvářet a distribuovat ověřitelné přihlašovací údaje (VC) všem svým zaměstnancům. Zaměstnanec se pomocí aplikace Authenticator přihlašuje pomocí svého uživatelského jména a hesla, který předá token ID vydávající službě. Jakmile společnost Woodgrove, Inc. ověří odeslaný token ID, vytvoří řešení vystavování VC, které obsahuje deklarace identity o zaměstnanci a je podepsáno společností Woodgrove, Inc. DID. Zaměstnanec má nyní zaměstnavatelem podepsaný ověřitelný údaj, který zahrnuje DID zaměstnance jako subjektové DID.

Uživatel

Uživatel je osoba nebo entita, která žádá o VC. Alice je například novou zaměstnankyní společnosti Woodgrove a dříve jí byl vydán ověřitelný doklad o zaměstnání. Když Alice potřebuje poskytnout doklad o zaměstnání, aby získala slevu na Proseware, může udělit přístup k přihlašovacím údajům v aplikaci Authenticator podepsáním ověřitelné prezentace, která potvrzuje, že Alice je vlastníkem DID. Proseware dokáže ověřit přihlašovací údaje vydané Woodgroveem a vlastnictví ověřitelného přihlašovacího údaje Alice.

Ověřovatel

Ověřovatel je společnost nebo entita, která potřebuje ověřit nároky od jednoho nebo více vystavitelů, kterým důvěřují. Například společnost Proseware věří, že Woodgrove, Inc. odvádí odpovídající práci při ověřování identity svých zaměstnanců a vydávání autentických a platných ověřených pověření. Když se Alice pokusí objednat vybavení, které potřebuje pro svou práci, používá Proseware otevřené standardy, jako je Self-Issued OpenID Provider (SIOP) a Presentation Exchange, aby požádal o přihlašovací údaje od uživatele, který prokáže, že jsou zaměstnancem společnosti Woodgrove, Inc. Například Proseware může Alice poskytnout odkaz na web s kódem QR, který naskenuje pomocí své telefonní kamery. Tím se zahájí žádost o konkrétní VC, kterou Authenticator analyzuje a poskytne Alice možnost schválit žádost, aby prokázala svou práci pro Proseware. Proseware může k ověření pravosti ověřitelné prezentace použít ověřitelné rozhraní API služby přihlašovacích údajů nebo sadu SDK. Na základě informací poskytnutých Alice jí poskytnou slevu. Pokud ostatní společnosti a organizace vědí, že společnost Woodgrove, Inc. vydává ověřitelné přihlašovací údaje svým zaměstnancům, mohou také vytvořit ověřovací řešení a používat ověřitelné přihlašovací údaje společnosti Woodgrove, Inc. k nabízení speciálních nabídek vyhrazených pro zaměstnance společnosti Woodgrove, Inc.

Poznámka:

Ověřovatel může k provádění prezentace a ověřování použít otevřené standardy nebo nakonfigurovat vlastního tenanta Microsoft Entra, aby služba Microsoft Entra Verified ID většinu práce prováděla.

Další kroky

Teď, když víte o identifikátorech DID a ověřitelných přihlašovacích údajích, vyzkoušejte je sami, jak je popsáno v našem úvodním článku, nebo v některém z našich článků, které poskytují podrobnější informace o konceptech ověřitelných přihlašovacích údajů.

• Začínáme s ověřitelnými přihlašovacími údaji
• Přizpůsobení přihlašovacích údajů
• Nejčastější dotazy k ověřitelným přihlašovacím údajům