Сравнение систем децентрализованных и централизованных удостоверений

  • 3 мин

Централизованное удостоверение

Централизованное управление удостоверениями, или центральная система идентификации, — это единое средство идентификации, в котором хранятся и управляются учетные данные для обеспечения возможностей проверки подлинности и авторизации. Эта система может быть локальной или облачной. Система централизованно управляется центром удостоверений или администратором. Затем центральную систему удостоверений можно использовать для предоставления проверенного доступа к средствам, данным и другим ресурсам.

Схема базы данных, в которой хранятся проверенные удостоверения. Несколько значков обозначают доступ к ресурсам, предоставленный пользователям на основе их удостоверений.

  • Учетные данные проверяются при хранении
  • Управление осуществляется одним центром
    • Администратор или группа администраторов
  • Используется для управления удостоверениями и доступом
  • Пример: идентификатор Microsoft Entra

Защита адаптивного доступа. Защитите доступ к ресурсам и данным с помощью строгих политик проверки подлинности и адаптивного доступа на основе рисков, не усложняя взаимодействие с пользователем.

Удобный пользовательский опыт. Организуйте простой и быстрый вход в систему, чтобы сохранить эффективность работы пользователей, сократить время на управление паролями и повысить производительность пользователей.

Единое управление удостоверениями. Централизованно управляйте всеми удостоверениями и правами доступа к приложениям, размещенным в облаке и в локальной среде, чтобы улучшить прозрачность и возможности управления.

Упрощенный контроль удостоверений. Контролируйте доступ к приложениям и данным для всех пользователей и администраторов с помощью автоматического управления удостоверениями, чтобы обеспечить доступ только авторизованным пользователям.

Децентрализованные удостоверения

Децентрализованные удостоверения позволяют пользователям, организациям и вещам взаимодействовать друг с другом прозрачно и безопасно в структуре доверенных удостоверений. Пользователи управляют своими цифровыми удостоверениями и учетными данными. Децентрализованные идентификаторы (DID) работают иначе. DID — глобально уникальные идентификаторы, которые создаются пользователями и принадлежат им и основываются на децентрализованных системах. Они более надежные, не подвержены цензуре и стороннему вмешательству. Это чрезвычайно важные характеристики для любой системы идентификации, направленной на предоставление пользователям контроля над своими данными.

Чтобы получить DID, вы используете контролируемое вами устройство для загрузки приложения агента пользователя DID. Веб-браузер является доверенным агентом пользователя для работы в Интернете, а агент пользователя DID помогает управлять всеми аспектами DID — созданием идентификаторов, проверкой подлинности, шифрованием данных и управлением ключами и разрешениями. Существует распространенное заблуждение о децентрализованном удостоверении, которое заключается в том, что все данные удостоверений предоставляются в общедоступных системах, таких как блокчейны. Майкрософт считает, что реализации DID должны использовать децентрализованные системы строго для привязки идентификаторов и метаданных DPKI, кроме PII (как указано выше), чтобы обеспечить маршрутизацию и проверку подлинности для владельца DID без риска цензуры. Фактические данные удостоверений пользователя хранятся в незашифрованном виде "вне цепочке", под единоличным контролем пользователя.

Схема потока децентрализованных учетных данных из внешнего поставщика в систему удостоверений Майкрософт.

Компоненты децентрализованного удостоверения

Децентрализованные идентификаторы (DID) W3C. Идентификаторы, которые создаются и управляются пользователями и принадлежат им. Они не зависят от организаций и правительств. DID — это глобально уникальные идентификаторы, связанные с метаданными децентрализованной инфраструктуры открытых ключей (DPKI), состоящие из документов JSON, которые содержат материал открытых ключей, дескрипторы аутентификации и конечные точки служб.

Децентрализованные системы (например, блокчейны и реестры). DID основаны на децентрализованных системах, которые предоставляют механизм и функции, необходимые для DPKI. Майкрософт участвует в разработке стандартов и технологий сообществом для реализаций DID. Стандарты поддерживают различные блокчейны и реестры.

Агенты пользователей DID. Приложения, позволяющие реальным людям использовать децентрализованные удостоверения. Приложения агента пользователя помогают создавать DID, управлять данными и разрешениями, а также подписывать и проверять утверждения, связанные с DID. Майкрософт предлагает приложение в стиле Кошелька, которое можно использовать как агент пользователя для управления идентификаторами DID и связанными данными.

Универсальный сопоставитель DIF.Сервер, который использует коллекцию драйверов DID для предоставления стандартных средств поиска и разрешения DID в реализациях и децентрализованных системах, а также возвращает объект документа DID (DDO), который инкапсулирует метаданные DPKI, связанные с DID.

Центры удостоверений DIF. Реплицированная сетка зашифрованных персональных хранилищ данных, состоящая из облачных и пограничных экземпляров (например, мобильных телефонов, ПК или смарт-динамиков), которые упрощают хранение данных удостоверений и взаимодействие с удостоверениями.

Аттестации DID. Подписанные DID аттестации основаны на стандартных форматах и протоколах. Они позволяют владельцам удостоверений создавать, представлять и проверять утверждения. Начало доверия между пользователями систем.

Децентрализованные приложения и службы. DID вместе с персональными хранилищами данных Центра удостоверений позволяют создать новый класс приложений и служб. Они хранят данные с помощью Центра удостоверений пользователя и работают в пределах предоставленных им разрешений.