Introduktion till Microsoft Entra – verifierat ID

I dagens värld blir våra digitala och fysiska liv alltmer sammanflätade med de appar, tjänster och enheter som vi använder. Denna digitala revolution öppnade en värld av möjligheter, vilket gjorde det möjligt för oss att få kontakt med otaliga företag och individer på sätt som en gång var ofattbara.

Den här ökade anslutningen medför en större risk för identitetsstöld och dataintrång. Dessa överträdelser kan vara förödande för våra personliga och professionella liv. Microsoft samarbetar aktivt med olika organisationer och standardiseringsorgan för att skapa en decentraliserad identitetslösning som ger individer kontroll över sina egna digitala identiteter. Decentraliserade identy-tekniker ger ett säkert och privat sätt att hantera identitetsdata utan att förlita sig på centraliserade myndigheter eller mellanhänder.

Därför behöver vi decentraliserad identitet

Idag använder vi vår digitala identitet på jobbet, hemma och i alla appar, tjänster och enheter som vi använder. Den här identiteten består av allt vi säger, gör och upplever i våra liv – köpa biljetter till ett evenemang, checka in på ett hotell eller till och med beställa lunch. För närvarande är vår identitet och alla våra digitala interaktioner beroende av tredje part, i vissa fall även utan vår vetskap.

Varje dag beviljar användare appar och enheter åtkomst till sina data. Det skulle krävas mycket arbete för att de skulle kunna hålla reda på vem som har tillgång till vilken information. På företagsfronten kräver samarbete med konsumenter och partner hög touch-orkestrering för att på ett säkert sätt utbyta data på ett sätt som upprätthåller integritet och säkerhet för alla inblandade.

Vi tror att ett standardbaserat decentraliserat identitetssystem kan låsa upp en ny uppsättning funktioner som ger användare och organisationer större kontroll över sina data – och ger en högre grad av förtroende och säkerhet för appar, enheter och tjänsteleverantörer.

Lead med öppna standarder

Microsoft samarbetar aktivt med medlemmar i DIF (Decentralized Identity Foundation), W3C Credentials Community Group och den bredare identitetscommunityn. Följande standarder implementeras i våra tjänster.

• Decentraliserade W3C-identifierare
• Verifierbara autentiseringsuppgifter för W3C
• DIF-sidoträd
• DIF välkänd DID-konfiguration
• DIF DID-SIOP
• DIF-presentationsutbyte

Vad är DID: ar?

Innan vi kan förstå DID:er hjälper det till att jämföra dem med andra identitetssystem. E-postadresser och sociala nätverks-ID:n är människovänliga alias som för samarbete men nu är överbelastade för att fungera som kontrollpunkter för dataåtkomst i många scenarier utöver samarbete. Den här situationen skapar ett potentiellt problem eftersom åtkomsten till dessa ID:er kan tas bort när som helst. Decentraliserade identifierare (DID) skiljer sig åt. DID:er är användargenererade, självägda, globalt unika identifierare som är rotade i decentraliserade förtroendesystem. De har unika egenskaper, som större försäkran om oföränderlighet, censurmotstånd och manipuleringsundans. Dessa attribut är viktiga för alla ID-system som är avsedda att ge självägarskap och användarkontroll.

Microsofts verifierbara autentiseringslösning använder decentraliserade autentiseringsuppgifter (DID) för att kryptografiskt signera som bevis på att en förlitande part (kontrollant) intygar information som bevisar deras ägarskap för en verifierbar autentiseringsuppgift. En grundläggande förståelse av DID:er rekommenderas för alla som skapar en verifierbar lösning för autentiseringsuppgifter baserat på Microsoft-erbjudandet.

Vad är verifierbara autentiseringsuppgifter?

Vi använder ID:t i vårt dagliga liv. Vi har körkort som vi använder som bevis på vår förmåga att köra bil. Universitet utfärdar diplom som bevisar att vi har uppnått en utbildningsnivå. Vi använder pass för att bevisa vilka vi är för myndigheterna när vi anländer till utländska destinationer. Datamodellen beskriver hur vi kan hantera dessa typer av scenarier när vi arbetar via Internet, men på ett säkert sätt som respekterar användarnas integritet. Du kan få ytterligare information i Datamodell 1.0 för verifierbara autentiseringsuppgifter.

Kort och kort är verifierbara autentiseringsuppgifter dataobjekt som består av anspråk som görs av utfärdaren som intygar information om ett ämne. Schemat identifierar dessa anspråk. Anspråk inkluderar utfärdarens DID och subjektet. Utfärdarens DID producerar en digital signatur som bevis på deras attestering till denna information

Hur fungerar decentraliserad identitet?

Vi behöver en ny form av identitet. Vi behöver en identitet som sammanför tekniker och standarder för att leverera viktiga identitetsattribut som självägande och censurmotstånd. Dessa funktioner är svåra att uppnå med hjälp av befintliga system.

För att uppfylla dessa löften behöver vi en teknisk grund som består av sju viktiga innovationer. En viktig innovation är användarägda identifierare, en användaragent som hanterar nycklar som är associerade med sådana identifierare och krypterade, användarkontrollerade datalager.

1. W3C Decentraliserade identifierare (DID). ID:er som användare skapar, äger och kontrollerar oberoende av organisation eller myndigheter. DID:er är globalt unika identifierare som är länkade till DPKI-metadata (Decentralized Public Key Infrastructure) som består av JSON-dokument som innehåller offentligt nyckelmaterial, autentiseringsbeskrivningar och tjänstslutpunkter.

2. Förtroendesystem. För att kunna lösa DID-dokument registreras DID:er vanligtvis i ett underliggande nätverk av något slag som representerar ett förtroendesystem. Microsoft har för närvarande stöd för DID:Web Trust System. DID:Web är en behörighetsbaserad modell som tillåter förtroende med hjälp av en webbdomäns befintliga rykte. DID:Web har supportstatusen Allmänt tillgänglig.

3. DID User Agent/Wallet: Microsoft Authenticator App. Gör det möjligt för verkliga personer att använda decentraliserade identiteter och verifierbara autentiseringsuppgifter. Microsoft Authenticator skapar DID:er, underlättar utfärdande och presentationsbegäranden för verifierbara autentiseringsuppgifter och hanterar säkerhetskopieringen av DID:s seed via en krypterad plånboksfil.

4. Microsoft Resolver. Ett API som söker upp och löser DID:er med hjälp av did:webmetoden och returnerar DID-dokumentobjektet (DDO). DDO innehåller DPKI-metadata som är associerade med DID, till exempel offentliga nycklar och tjänstslutpunkter.

5. Microsoft Entra – verifierat ID Service. En utfärdande- och verifieringstjänst i Azure och ett REST API för W3C Verifierbara autentiseringsuppgifter som är signerade med did:web metoden. De gör det möjligt för identitetsägare att generera, presentera och verifiera anspråk. Den här tjänsten utgör grunden för förtroende mellan systemanvändare.

Ett exempelscenario

Scenariot som vi använder för att förklara hur verifierbara autentiseringsuppgifter fungerar omfattar:

• Woodgrove Inc. ett företag.
• Proseware, ett företag som erbjuder Woodgrove-anställda rabatter.
• Alice, anställd på Woodgrove, Inc. som vill få rabatt från Proseware

I dag tillhandahåller Alice ett användarnamn och lösenord för att logga in i Woodgroves nätverksmiljö. Woodgrove distribuerar en verifierbar lösning för autentiseringsuppgifter för att ge Alice ett mer hanterbart sätt att bevisa sin anställningsstatus på Woodgrove. Proseware accepterar verifierbara autentiseringsuppgifter utfärdade av Woodgrove som anställningsbevis som kan ge tillgång till företagsrabatter som en del av deras företagsrabattprogram.

Alice ber Woodgrove Inc om ett bevis på anställningsverifierbara autentiseringsuppgifter. Woodgrove Inc intygar Alice identitet och utfärdar en signerad verifierbar autentiseringsuppgift som Alice kan acceptera och lagra i sitt digitala plånboksprogram. Alice kan nu presentera denna verifierbara autentiseringsuppgift som ett anställningsbevis på Proseware-webbplatsen. Efter en lyckad presentation av autentiseringsuppgifter kvalificerar sig Alice för Proseware-rabatter. Transaktionen loggas i Alice plånboksprogram. Loggposter hjälper Alice att spåra var och till vem hon presenterade sitt arbetsbevis verifierbara autentiseringsuppgifter.

Roller i en verifierbar lösning för autentiseringsuppgifter

Det finns tre primära aktörer i den verifierbara autentiseringslösningen. I följande diagram:

• I steg 1 begär användaren en verifierbar autentiseringsuppgift från en utfärdare.
• I steg 2 intygar utfärdaren av autentiseringsuppgifterna att det bevis som användaren angav är korrekt och skapar en verifierbar autentiseringsuppgift signerad med sin DID som användarens DID är ämnet för.
• I steg 3 signerar användaren en verifierbar presentation (VP) med sin DID och skickar den till kontrollanten . Verifieraren verifierar sedan autentiseringsuppgifterna genom att matcha den mot den offentliga nyckeln som finns i DPKI:n.

Rollerna i det här scenariot är:

Utfärdare

Utfärdaren är en organisation som skapar en utfärdandelösning som begär information från en användare. Informationen används för att verifiera användarens identitet. Till exempel har Woodgrove, Inc. en utfärdandelösning som gör att de kan skapa och distribuera verifierbara autentiseringsuppgifter till alla sina anställda. Medarbetaren använder Authenticator-appen för att logga in med sitt användarnamn och lösenord, vilket skickar en ID-token till den utfärdande tjänsten. När Woodgrove, Inc. verifierar den skickade ID-token skapar utfärdandelösningen en VC som innehåller anspråk om medarbetaren och som är signerad med Woodgrove, Inc. DID. Den anställde har nu en arbetsgivare signerad verifierbar autentiseringsuppgift som inkluderar medarbetarens DID som ämne DID.

User

Användaren är den person eller entitet som begär en VC. Alice är till exempel en nyanställd på Woodgrove och har tidigare fått sitt verifierbara anställningsintyg. När Alice behöver tillhandahålla anställningsbevis för att få rabatt på Proseware kan hon ge åtkomst till autentiseringsuppgifterna i sin Authenticator-app genom att signera en verifierbar presentation som bevisar att Alice är ägare till DID. Proseware kan verifiera Woodgrove-utfärdade autentiseringsuppgifter och Alice's verifierbara ägarskap av autentiseringsuppgifter.

Bekräftat

Kontrollanten är ett företag eller en entitet som behöver verifiera anspråk från en eller flera utfärdare som de litar på. Proseware litar till exempel på Woodgrove, Inc. gör ett tillräckligt jobb med att verifiera sina anställdas identitet och utfärda autentiska och giltiga virtuella datorer. När Alice försöker beställa den utrustning hon behöver för sitt jobb använder Proseware öppna standarder som Self-Issued OpenID Provider (SIOP) och Presentation Exchange för att begära autentiseringsuppgifter från användaren som bevisar att de är anställda på Woodgrove, Inc. Proseware kan till exempel ge Alice en länk till en webbplats med en QR-kod som hon skannar med sin telefonkamera. Detta initierar begäran om en specifik VC, som Authenticator analyserar och ger Alice möjlighet att godkänna begäran för att bevisa sin anställning för Proseware. Proseware kan använda tjänsten API för verifierbara autentiseringsuppgifter eller SDK för att verifiera äktheten hos den verifierbara presentationen. Baserat på informationen från Alice ger de Alice rabatten. Om andra företag och organisationer vet att Woodgrove, Inc. utfärdar virtuella datorer till sina anställda, kan de också skapa en kontrollantlösning och använda Woodgrove, Inc. verifierbara autentiseringsuppgifter för att tillhandahålla specialerbjudanden reserverade för Woodgrove, Inc. anställda.

Kommentar

Kontrollanten kan använda öppna standarder för att utföra presentationen och verifieringen, eller konfigurera sin egen Microsoft Entra-klientorganisation för att låta Microsoft Entra-verifierade ID-tjänsten utföra det mesta av arbetet.

Nästa steg

Nu när du vet om DID:er och verifierbara autentiseringsuppgifter kan du prova dem själv genom att följa vår kom igång-artikel eller någon av våra artiklar med mer information om verifierbara autentiseringsuppgifter.

• Kom igång med verifierbara autentiseringsuppgifter
• Så här anpassar du dina autentiseringsuppgifter
• Vanliga frågor och svar om verifierbara autentiseringsuppgifter