Общие сведения о службе "Проверенный идентификатор Microsoft Entra"

В современном мире наши цифровые и физические жизни все чаще переплетаются с приложениями, службами и устройствами, которые мы используем. Эта цифровая революция открыла мир возможностей, позволяя нам связаться с бесчисленными компаниями и отдельными лицами таким образом, которые когда-то невообразимы.

Это повышает уровень подключения, что повышает риск кражи удостоверений и нарушений данных. Эти нарушения могут быть разрушительными для нашей личной и профессиональной жизни. Корпорация Майкрософт активно сотрудничает с различными организациями и организациями по разработке стандартов для создания решения по децентрализованной идентичности, которое дает людям контроль над их собственными цифровыми идентичностями. Децентрализованные технологии идентифицирования обеспечивают безопасный и частный способ управления данными удостоверений без использования централизованных органов или посредников.

Почему нам нужна децентрализованная идентификация

Мы пользуемся своим цифровым удостоверением на работе, дома и в каждом приложении, службе и устройстве, которое мы используем. Это идентичность состоит из всего, что мы говорим, делаем и переживаем в нашей жизни—приобретение билетов на мероприятие, заселение в отель или даже заказ обеда. В настоящее время наша идентичность и все наши цифровые взаимодействия зависят от третьих сторон, в некоторых случаях даже без нашего ведома.

Каждый день пользователи предоставляют приложениям и устройствам доступ к их данным. Для них потребуется много усилий для отслеживания того, кто имеет доступ к каким фрагментам информации. На корпоративном уровне для совместной работы с потребителями и партнерами требуется сложная оркестрация для безопасного обмена данными с сохранением конфиденциальности.

Мы считаем, что система децентрализованных удостоверений, основанная на стандартах, предоставит нам новые возможности, с помощью которых пользователи и организации смогут лучше контролировать свои данные, а также предоставлять более высокий уровень доверия и безопасности для приложений, устройств и поставщиков услуг.

Развитие с открытыми стандартами

Корпорация Майкрософт активно взаимодействует с членами организации Decentralized Identity Foundation (DIF), группой W3C Credentials Community Group и многими другими компаниями, работающими в этой сфере. В наших службах реализованы следующие стандарты.

• W3C Decentralized Identifiers
• W3C Verifiable Credentials
• DIF Sidetree
• DIF Well Known DID Configuration
• DIF DID-SIOP
• DIF Presentation Exchange

Что такое децентрализованные удостоверения?

Прежде чем мы сможем понять идентификаторы DID, он помогает сравнить их с другими системами удостоверений. Адреса электронной почты и идентификаторы социальных сетей — это понятные для совместной работы псевдонимы, но в настоящее время перегружены для использования в качестве контрольных точек доступа к данным во многих сценариях за пределами совместной работы. Эта ситуация создает потенциальную проблему, так как доступ к этим идентификаторам может быть удален в любое время. Децентрализованные идентификаторы (DID) работают иначе. Идентификаторы DID создаются пользователем, самостоятельно, глобально уникальными идентификаторами, корневыми в децентрализованных системах доверия. Они более надежные, не подвержены цензуре и стороннему вмешательству. Эти атрибуты критически важны для любой системы идентификаторов, предназначенной для обеспечения самостоятельного владения и управления пользователями.

Решение Microsoft по проверке учетных данных использует децентрализованные идентификаторы (DID) для криптографической подписи, как доказательства того, что доверяющая сторона (проверяющий) подтверждает сведения, доказывающие их владение проверяемыми учетными данными. Всем, кто хочет создать решение с использованием проверяемых удостоверений на основе предложения Майкрософт, рекомендуется ознакомиться с принципами работы децентрализованных удостоверений.

Что такое проверяемое удостоверение?

Мы используем документы, подтверждающие личность, каждый день. Водительские права подтверждают нашу способность водить автомобиль. Университеты выдают дипломы, которые подтверждают достижение уровня образования. Мы используем паспорта, чтобы доказать, кто мы властям, по прибытии в иностранные пункты назначения. Эта модель данных описывает, как выполнять эти действия через Интернет, обеспечивая конфиденциальность и безопасность данных пользователей. Дополнительные сведения см. в статье Модель данных проверяемых удостоверений 1.0.

Вкратце, проверяемые учетные данные — это объекты данных, состоящие из утверждений о каком-либо объекте, предоставленных издателем данных. Схема определяет эти утверждения. Утверждения содержат DID издателя и субъекта. ДИД издателя создает цифровую подпись в качестве доказательства их аттестации о этой информации.

Как работают децентрализованные удостоверения?

Нам нужна новая форма удостоверения. Форма удостоверения, которая объединяет в себе передовые технологии и стандарты и обеспечивает самостоятельность владения данными и сопротивление цензуре. Этого сложно добиться, используя существующие системы.

Чтобы превратить эту идею в реальность, нам нужна новая техническая база, состоящая из семи нововведений. Одним из ключевых инноваций является идентификаторы пользователей, агент пользователя для управления ключами, связанными с такими идентификаторами, и зашифрованными, управляемыми пользователем хранилищами данных.

1. Децентрализованные идентификаторы W3C (DID) Эти идентификаторы создаются и управляются пользователями. Пользователи владеют ими независимо от любых от организаций и правительств. DID — это глобально уникальные идентификаторы, связанные с метаданными децентрализованной инфраструктуры открытых ключей (DPKI), состоящие из документов JSON, которые содержат материал открытых ключей, дескрипторы аутентификации и конечные точки служб.

2. Система доверия. Чтобы обеспечить возможность разрешать документы DID, обычно они записываются в некоторую базовую сеть, которая выполняет роль системы доверия. Корпорация Майкрософт в настоящее время поддерживает систему доверия DID:Web. DID:Web — это модель на основе разрешений, которая позволяет доверять с помощью существующей репутации веб-домена. DID:Web находится в состоянии поддержки "Общий доступный".

3. Агент пользователя или кошелек DID: приложение Microsoft Authenticator. Позволяет людям использовать децентрализованные и проверяемые удостоверения. Microsoft Authenticator создает идентификаторы DID, обеспечивает выдачу и обработку запросов на презентацию для проверяемых учебных записей и управляет резервной копией семени вашего идентификатора с помощью зашифрованного файла кошелька.

4. Microsoft Resolver. API, который ищет и разрешает diD с помощью did:webметода и возвращает объект ДОКУМЕНТА DID (DDO). DDO включает метаданные DPKI, связанные с DID, в частности открытые ключи и конечные точки служб.

5. Служба Проверенные учетные данные Microsoft Entra. Это служба Azure и REST API, которые выдают и проверяют проверяемые удостоверения W3C, подписанные методом did:web. Они позволяют владельцам удостоверений создавать, представлять и проверять утверждения. Эта служба формирует основу доверия между пользователями систем.

Пример сценария

Сценарий, используемый для объяснения того, как работают проверяемые учетные данные:

• Компания Woodgrove Inc.
• Proseware, компания, которая предоставляет сотрудникам Woodgrove скидки.
• Алиса, сотрудница Woodgrove, Inc., которая хочет получить скидку от Proseware.

Сегодня Алиса предоставляет имя пользователя и пароль для входа в сетевую среду Woodgrove. Woodgrove развертывает решение с проверяемым удостоверением, чтобы предоставить Алисе более удобный способ доказать свой статус занятости в Woodgrove. Proseware принимает проверяемые учетные данные, выданные Woodgrove в качестве подтверждения занятости, которые могут предоставить доступ к корпоративным скидкам в рамках своей корпоративной программы скидки.

Алиса запрашивает у Woodgrove Inc проверяемое удостоверение в качестве доказательства трудоустройства. Woodgrove Inc подтверждает личность Алисы и выдает подписанное проверяемое удостоверение, которое Алиса может принять и хранить в своем приложении цифрового кошелька. Алиса теперь может представлять это проверяемое удостоверение в качестве доказательства трудоустройства на сайте Proseware. После успешного представления учетных данных Алиса получает право на скидки в Proseware. Транзакция регистрируется в приложении кошелька Алисы. Записи журнала помогают Алисе отслеживать, где и кому она показала свое проверяемое удостоверение занятости.

Роли в решении с проверяемыми удостоверениями

В решении проверяемых удостоверений участвуют три основных субъекта. Рассмотрим схему ниже.

• На шаге 1пользователь запрашивает проверяемое удостоверение от издателя.
• На шаге 2издатель учетных данных удостоверяет, что предоставленное пользователем подтверждение является точным, и создает проверяемое удостоверение, подписанное с помощью DID (для которого DID пользователя является субъектом).
• На шаге 3 пользователь подписывает проверяемую презентацию с помощью DID и отправляет ее подтверждающему. Затем подтверждающий проверяет учетные данные, сопоставляя их с открытым ключом, находящимся в DPKI.

Участники этого сценария:

Издатель

Издатель — это организация, которая создает решение выдачи, запрашивающее информацию от пользователя. Эта информация используется для проверки личности пользователя. Например, в Woodgrove, Inc. имеется решение для выдачи, которое позволяет им создавать проверяемые удостоверения (VC) для всех своих сотрудников. Сотрудник использует Authenticator для входа с использованием имени пользователя и пароля, которое передает маркер идентификации в службу выдачи. После того как Woodgrove, Inc. проверяет отправленный маркер идентификации, решение выдачи создает проверяемое удостоверение, включающее утверждения о сотруднике и подписанное Woodgrove, Inc. Теперь у сотрудника есть проверяемые учетные данные, подписанные работодателем, которые включают DID сотрудника в качестве субъекта DID.

User

Пользователь — пользователь или сущность, запрашивающие ПУ. Например, Алиса является новым сотрудником компании Woodgrove и ранее получила проверяемое удостоверение, подтверждающее ее занятость. Когда Алиса должна предоставить подтверждение занятости, чтобы получить скидку на Proseware, она может предоставить доступ к учетным данным в своем приложении Authenticator, подписав проверяемую презентацию, которая подтверждает, что Алиса является владельцем DID. Proseware может проверить учетные данные, выданные Woodgrove, и верифицируемое право собственности Алисы на учетные данные.

Проверяющая сторона

Подтверждающий — компания или сущность, которым необходимо проверять утверждения от одного или нескольких доверенных издателей. Например, Proseware доверяет Woodgrove, Inc. и считает, что компания добросовестно выполняет проверку личности своих сотрудников и выдает подлинные и допустимые VC. Когда Алиса пытается заказать оборудование, необходимое для ее работы, Proseware использует открытые стандарты, такие как Self-Issued поставщик OpenID (SIOP) и Presentation Exchange для запроса учетных данных у пользователя, подтверждающих, что он является сотрудником Woodgrove, Inc. Например, Proseware может предоставить Алисе ссылку на веб-сайт с QR-кодом, который она сканирует с помощью камеры ее телефона. При этом будет отправлен запрос для определенного проверяемого удостоверения. Authenticator проанализирует удостоверение и даст Алисе возможность одобрить или отклонить запрос на проверку ее места работы от Proseware. Proseware может использовать API-интерфейс службы проверяемых удостоверений или пакет SDK для проверки подлинности удостоверения. На основе информации, предоставляемой Алисой, Алисе предоставляют скидку. Если другие компании и организации знают, что Woodgrove, Inc. выдает своим сотрудникам проверяемые удостоверения, они также могут создать решения для проверки и использовать проверяемые удостоверения Woodgrove, Inc. для предоставления специальных предложений сотрудникам Woodgrove, Inc.

Примечание.

Средство проверки может использовать открытые стандарты для выполнения презентации и проверки или настроить собственный клиент Microsoft Entra, чтобы служба проверки идентификаторов Microsoft Entra выполняла большую часть работы.

Следующие шаги

Теперь вы знаете, что такое DID и проверяемые удостоверения. Вы можете начать работу с ними или ознакомиться с более подробными статьями о проверяемых удостоверениях.

• Начало работы с проверяемыми удостоверениями
• Настройка учетных данных
• Проверяемые удостоверения: вопросы и ответы