对比分散式身份识别与中央身份识别系统
集中式身份识别
集中式身份识别管理或中央身份识别系统是一种可在其中存储和管理凭据的身份工具,以提供身份验证和授权功能。 此系统可以是本地或基于云的。 系统由身份机构或管理员集中管理。 中央身份管理系统随后可以用于提供对工具、数据和其他资源的经验证访问权限。
- 存储时验证凭据
- 管理由单一机构进行
- 管理员或管理员组
- 用于身份和访问管理
- 示例:Microsoft Entra ID
安全的自适应访问 - 使用强身份验证和基于风险的自适应访问策略保护对资源和数据的访问,而不影响用户体验。
无缝的用户体验 - 提供轻松且快速的登录体验,让用户保持工作效率、缩短密码管理时间,并提高最终用户工作效率。
统一标识管理 - 在一个中心位置管理所有标识以及对所有应用的访问权限(无论它们位于云中还是本地),以提高可见性和控制。
简化的标识治理 - 使用自动化标识治理高效地控制所有用户和管理员对应用和数据的访问,以确保只有授权用户才拥有访问权限。
分散式身份识别
分散式身份识别方法可帮助人员、组织和事物在标识信任结构中以透明、安全的方式相互交互。 人员控制自己的数字身份和凭据。 分散标式身份识别方法 (DID) 不同。 DID 是植于去中心化系统上的用户生成、自拥有的全局唯一身份识别方法。 它们具有独特的特征,比如更好的防篡改保障、删减对抗和改动规避。 这些特征对于旨在提供自行所有权和用户控制的任何 ID 系统至关重要。
若要获取 DID,请使用受你控制的设备下载 DID 用户代理应用。 正如 Web 浏览器是可帮助导航 Web 的受信任用户代理,DID 用户代理可帮助你管理 DID 的所有方面 — 标识符的创建、身份验证、数据加密以及密钥和权限的管理。 分散式身份识别的常见误解是,所有身份识别数据都等公共系统上(如区块链)。 Microsoft 认为,DID 实现应严格使用分散式系统来锚定标识符和非 PII DPKI 元数据(如上面所列),以便在没有审查风险的情况下为 DID 所有者启用路由和身份验证。 用户的实际身份数据驻留在用户进行独有控制的加密“链外”。
分散式身份识别的组件
W3C 分散式身份识别 (DID) — 用户独立于任何组织或政府创建、所有和控制的 ID。 DID 是全局唯一的标识符,链接到分散式公钥基础结构 (DPKI),其元数据由 JSON 文档组成,包含公钥材料、身份验证描述符和服务终结点。
分散式系统(例如区块链和账本)— DID 根植于提供 DPKI 所需的机制和功能的分散式系统中。 Microsoft 在参与适用于 DID 实现的标准和技术的社区开发。 相关标准支持各种区块链和账本。
DID 用户代理 — 使真实用户可以使用分散式身份识别的应用程序。 用户代理应用可帮助创建 DID、管理数据和权限以及对 DID 链接的声明进行签名/验证。 Microsoft 会提供一个类似于电子钱包的应用,该应用可以充当用户代理来管理 DID 和关联数据。
DIF 通用解析程序 — 一种服务器,它利用 DID 驱动程序的集合,跨实现和分散式系统为 DID 提供一种标准查找和解析方法,并返回用于封装与 DID 关联的 DPKI 元数据的 DID 文档对象 (DDO)。
DIF 身份中心 — 一个复制的加密个人数据存储网格,由云和边缘实例(如移动电话、电脑或智能扬声器)组成,可促进身份数据存储和身份交互。
DID 证明 — DID 签名的证明基于标准格式和协议。 允许身份所有者生成、提供和验证声明。 系统用户之间信任的开始。
分散式应用和服务 — 通过与身份中心个人数据存储配对的 DID 可创建新的应用和服务类。 它们使用用户身份中心存储数据,并在授予的权限范围内进行操作。