Kontrastuj zdecentralizowaną tożsamość z centralnymi systemami tożsamości

  • 3 min

Scentralizowana tożsamość

Scentralizowane zarządzanie tożsamościami lub system tożsamości centralnej to jedno narzędzie do obsługi tożsamości, w którym poświadczenia są przechowywane i zarządzane w celu zapewnienia możliwości uwierzytelniania i autoryzacji. Ten system może być oparty na środowisku lokalnym lub w chmurze. System jest centralnie zarządzany przez urząd tożsamości lub administrator. Centralny system tożsamości może następnie służyć do oferowania zweryfikowanego dostępu do narzędzi, danych i innych zasobów.

Diagram bazy danych przechowujące zweryfikowane tożsamości. Kilka ikon przedstawiających użytkowników, którym udzielono dostępu do zasobów, na podstawie ich tożsamości.

  • Poświadczenia są weryfikowane podczas przechowywania
  • Zarządzanie jest jednym urzędem
    • Administrator lub grupa administracyjna
  • Służy do zarządzania tożsamościami i dostępem
  • Przykład: Microsoft Entra ID

Bezpieczny dostęp adaptacyjny — ochrona dostępu do zasobów i danych przy użyciu silnego uwierzytelniania i zasad dostępu adaptacyjnego opartego na ryzyku bez naruszania środowiska użytkownika.

Bezproblemowe środowisko użytkownika — zapewnienie łatwego, szybkiego logowania w celu zapewnienia produktywności użytkowników, skrócenia czasu zarządzania hasłami i zwiększenia produktywności użytkowników końcowych.

Ujednolicone zarządzanie tożsamościami — zarządzaj wszystkimi tożsamościami i dostępem do wszystkich aplikacji w centralnej lokalizacji, zarówno w chmurze, jak i lokalnie, aby zwiększyć widoczność i kontrolę.

Uproszczony nadzór nad tożsamościami — kontroluj dostęp do aplikacji i danych dla wszystkich użytkowników i administratorów wydajnie dzięki zautomatyzowanemu ładowi tożsamości, aby zapewnić dostęp tylko autoryzowanym użytkownikom.

Tożsamość zdecentralizowana

Zdecentralizowane podejście do tożsamości pomaga osobom, organizacjom i elementom wchodzić ze sobą w przezroczysty i bezpieczny sposób w sieci szkieletowej zaufania tożsamości. Osoby kontrolują własną tożsamość cyfrową i poświadczenia. Identyfikatory zdecentralizowane (DID) różnią się. Identyfikatory DID są generowane przez użytkownika, należące do siebie, globalnie unikatowe identyfikatory zakorzenione w zdecentralizowanych systemach. Posiadają unikatowe cechy, takie jak większa pewność niezmienności, opór cenzury i unikanie manipulacji. Te atrybuty mają kluczowe znaczenie dla dowolnego systemu identyfikatorów, który ma zapewnić samowłasność i kontrolę użytkownika.

Aby uzyskać plik DID, należy użyć urządzenia pod kontrolą, aby pobrać aplikację DID User Agent. Podobnie jak przeglądarka internetowa jest zaufanym agentem użytkownika, który ułatwia nawigację w Internecie, agent did user pomaga zarządzać wszystkimi aspektami DID — tworzenie identyfikatorów, uwierzytelniania, szyfrowania danych i zarządzania kluczami i uprawnieniami. Typowym błędem w zakresie tożsamości zdecentralizowanej jest to, że wszystkie dane tożsamości są widoczne w systemach publicznych, takich jak łańcuchy bloków. Firma Microsoft uważa, że implementacje DID powinny używać zdecentralizowanych systemów ściśle do zakotwiczenia identyfikatorów i metadanych infrastruktury DPKI innych niż PII (jak wymieniono powyżej) w celu umożliwienia routingu i uwierzytelniania właściciela DID bez ryzyka cenzury. Rzeczywiste dane tożsamości użytkownika znajdują się zaszyfrowane "poza łańcuchem" w ramach wyłącznej kontroli użytkownika.

Diagram przepływu zdecentralizowanych poświadczeń od zewnętrznego dostawcy do systemu tożsamości firmy Microsoft.

Składniki zdecentralizowanej tożsamości

Identyfikatory zdecentralizowane W3C (DID) — identyfikatory tworzą, posiadają i kontrolują niezależnie od dowolnej organizacji lub instytucji rządowych. Identyfikatory DID są globalnie unikatowymi identyfikatorami połączonymi z metadanymi zdecentralizowanej infrastruktury kluczy publicznych (DPKI) składającymi się z dokumentów JSON zawierających materiały klucza publicznego, deskryptory uwierzytelniania i punkty końcowe usługi.

Systemy zdecentralizowane (na przykład łańcuchy bloków i rejestry) — diD są zakorzenione w zdecentralizowanych systemach, które zapewniają mechanizm i funkcje wymagane dla infrastruktury DPKI. Firma Microsoft uczestniczy w tworzeniu przez społeczność standardów i technologii dla implementacji DID. Standardy obsługują różne łańcuchy bloków i rejestry.

DID User Agents — aplikacje, które umożliwiają prawdziwym ludziom używanie zdecentralizowanych tożsamości. Aplikacje agenta użytkownika ułatwiają tworzenie identyfikatorów DID, zarządzanie danymi i uprawnieniami oraz podpisywanie/weryfikowanie oświadczeń połączonych z usługą DID. Firma Microsoft zaoferuje aplikację podobną do portfela, która może pełnić rolę agenta użytkownika do zarządzania identyfikatorami DID i skojarzonymi danymi.

DiF Universal Resolver — serwer, który wykorzystuje kolekcję sterowników DID w celu zapewnienia standardowych metod wyszukiwania i rozpoznawania diD we wszystkich implementacjach i zdecentralizowanych systemach oraz zwraca obiekt DID Document Object (DDO), który hermetyzuje metadane DPKI skojarzone z did.

DIF Identity Hubs — zreplikowana siatka zaszyfrowanych magazynów danych osobowych, składających się z wystąpień chmury i krawędzi (takich jak telefony komórkowe, komputery lub inteligentne głośniki), które ułatwiają interakcję z magazynem danych tożsamości i tożsamościami.

Zaświadczania DID — zaświadczania z podpisem DID są oparte na standardowych formatach i protokołach. Umożliwiają właścicielom tożsamości generowanie, prezentowanie i weryfikowanie oświadczeń. Początek zaufania między użytkownikami systemów.

Zdecentralizowane aplikacje i usługi — diD sparowane z osobistymi magazynami danych usługi Identity Hub umożliwiają tworzenie nowej klasy aplikacji i usług. Przechowują dane z centrum tożsamości użytkownika i działają w granicach przyznanych im uprawnień.