Microsoft Entra 已驗證識別碼的簡介
在現今的世界裡,我們的數位和實體生活正變得愈來愈與我們使用的應用程式、服務和裝置密不可分。 這場數位革命開闢了一個可能性的世界,使我們能夠以曾經難以想像的方式與無數的公司和個人聯繫。
這種增強的連線能力導致更大的身分識別竊取和資料外洩的風險。 這些違規行為對我們的個人和職業生活可能是毀滅性的。 Microsoft積極與各種組織和標準機構共同作業,以建立分散式身分識別解決方案,讓個人能夠控制自己的數位身分識別。 分散式身分識別技術提供安全且私人的方式來管理身分識別數據,而不需要依賴集中式授權單位或媒介。
為什麼我們需要分散式身分識別
今天,我們會在公司、家中,以及我們所使用的每個應用程式、服務和裝置上使用數位身分識別。 這個身分是由我們生活中所說的、所做的和所體驗的事情組成,包括購買活動門票、辦理酒店入住,甚至訂購午餐。 目前,我們的身分識別和所有數字互動都取決於第三方,在某些情況下,即使沒有我們的知識。
使用者每天都會授與應用程式和裝置對其資料的存取權。 他們需要花費許多精力才能掌握哪些人可以存取哪些資訊。 在企業方面,與取用者和合作夥伴的共同作業需要高接觸協調流程,才能安全地交換資料,以維護所有參與者的隱私權和安全性。
我們認為,以標準為基礎的分散式身分識別系統可以解除鎖定一組新的體驗,讓使用者和組織能夠更充分掌控其資料,並針對應用程式、裝置和服務提供者提供更高程度的信任和安全性。
具有開放式標準的潛在客戶
Microsoft 正積極與分散式身分識別基金會 (DIF)、W3C 認證社群群組和更廣泛的身分識別社群成員共同作業。 下列標準會在我們的服務中實作。
什麼是 DID?
在我們了解 DID 之前,先將它們與其他身分識別系統進行比較會有所幫助。 電子郵件地址和社交網路識別碼是人類易記的別名,可用於共同作業,但現在已超載,無法在共同作業之外的許多案例中充當資料存取控制點。 這種情況會造成潛在的問題,因為可以隨時移除這些標識符的存取權。 分散式識別碼 (DID) 則不同。 分散式識別碼是使用者所產生且自行擁有的全域唯一識別碼,並以分散式信任系統為基礎。 其具有獨特的特性,例如更能保證不變性、抗審查性,以及篡改規避性。 這些屬性對於任何旨在提供自我擁有權和使用者控制的識別碼系統都至關重要。
Microsoft的可驗證憑證解決方案使用去中心化身份識別(DID)進行密碼學簽署,以證明驗證方正在確認持有人擁有該可驗證憑證的資訊。 建議根據 Microsoft 供應項目建立可驗認證解決方案的任何人都應該對 DID 有基本的了解。
什麼是可驗認證?
我們每天都在使用識別碼。 我們擁有駕照,作為汽車駕駛能力的證據。 大學頒發的文憑證明我們達到了一定的教育程度。 當我們到達外國目的地時,我們使用護照來證明我們向當局是誰。 資料模型描述了我們在透過網際網路作業時,如何以尊重使用者隱私權的安全方式處理這些類型的案例。 您可以在可驗認證資料模型 1.0 中取得其他資訊。
簡而言之,可驗認證是由簽發者的宣告 (證明主體相關資訊) 組成的資料物件。 架構會識別這些宣告。 聲明包括簽發者和主體的分散式識別碼(DID)。 簽發者的 DID 會產生數位簽名,作為其證明此信息的證據
分散式身分識別如何運作?
我們需要新身分識別形式。 我們需要能夠結合技術與標準的身分識別,以提供重要身份識別屬性,例如自我擁有權及抗審查性。 這些功能很難使用現有系統來達成。
為兌現這些承諾,我們需要由七項重要創新組成的技術基礎。 其中一項金鑰創新是使用者擁有的標識碼、用來管理與這類標識符相關聯的密鑰的使用者代理程式,以及加密的使用者控制數據存放區。
1.W3C 分散式識別碼 (DID)。 使用者在任何組織或政府之外獨立建立、擁有及控制的識別碼。 DID 是全域唯一識別碼,其連結至分散式公開金鑰基礎結構 (DPKI) 中繼資料,其由包含公開金鑰資料、驗證描述項和服務端點的 JSON 文件組成。
2.信任系統。 為能夠解析 DID 文件,DID 通常會記錄在代表信任系統的某種基礎網路。 Microsoft 目前支援 DID:Web 信任系統。 DID:Web 是一種權限型模型,允許信任使用 Web 網域的現有信譽。 DID:Web 處於支援狀態正式推出。
3.DID 使用者代理程式/錢包:Microsoft Authenticator 應用程式。 可讓真人使用分散式身分識別及可驗證認證。 Microsoft Authenticator 會建立 DID,協助發行可驗證憑證並處理展示要求,並透過加密的錢包檔案管理您的 DID 種子的備份。
4.Microsoft 解析程式。
API 會使用 did:web 方法來查閱和解析 DID,並傳回 DID 文件物件 (DDO)。 DDO 包含關聯 DID 的 DPKI 中繼資料,例如公開金鑰與服務端點。
5.Microsoft Entra 驗證識別碼服務。
Azure 中的核發和驗證服務,以及使用 方法所簽署的 did:web REST API。 他們可讓身分識別擁有者產生、出示和驗證宣告。 此服務會形成系統用戶之間的信任基礎。
範例案例
我們用來說明可驗證的憑證如何運作的情境為:
- Woodgrove Inc. 公司。
- Proseware,一家提供 Woodgrove 員工折扣的公司。
- Alice 是 Woodgrove,Inc. 的員工,想要從 Proseware 取得折扣
目前,Alice 提供使用者名稱和密碼來登入 Woodgrove 的網路環境。 Woodgrove 正在部署可驗證的憑證解決方案,為 Alice 提供更方便的方式,以證明她在 Woodgrove 的就業狀態。 ProseWare 接受 Woodgrove 核發的可驗認證作為僱用證明,以提供公司折扣作為其公司折扣方案的一部分。
Alice 要求 Woodgrove Inc 提供可驗認證雇用證明。 Woodgrove Inc 證明 Alice 的身分識別,並核發 Alice 可以接受並儲存在其數位電子錢包應用程式中的已簽署可驗認證。 Alice 現在可以在 Proseware 網站上展示此可驗認證作為僱用證明。 成功遞交資格證明後,Alice 獲得 Proseware 折扣的資格。 交易會記錄在 Alice 的錢包應用程式中。 記錄項目幫助 Alice 追蹤她在何時何地以及向誰出示了可驗證的就業憑證。
可驗認證解決方案中的角色
可驗認證解決方案中有三個主要執行者。 在下圖中:
- 步驟 1 中,使用者向簽發者要求可驗認證。
- 步驟 2 中,認證的簽發者會證明使用者提供的證明正確,並且會建立以其分散式識別碼簽署的可驗認證,而使用者的分散式識別碼則作為主旨。
- 在步驟 3中,使用者會使用其 DID 簽署可驗證的簡報 (VP),並將其傳送給驗證者。然後,驗證者會比對 DPKI 中放置的公開金鑰來驗證認證。
此案例中的角色如下:
Issuer
簽發者是一個組織,可建立向使用者要求資訊的簽發解決方案。 這項資訊是用來驗證使用者的身分識別。 例如,Woodgrove,Inc. 有一個簽發解決方案,可建立並散發可驗認證 (VC) 給所有員工。 員工使用 Authenticator 應用程式透過其使用者名稱和密碼登入,這會將識別碼權杖傳遞給簽發服務。 一旦 Woodgrove, Inc. 驗證提交的識別碼權杖,簽發解決方案就會建立包含員工相關宣告的 VC,並使用 Woodgrove, Inc. 進行簽署。DID. 該員工現在擁有由僱主簽署的可驗證憑證,其中包括員工的 DID 作為主體 DID。
User
使用者是要求 VC 的人員或實體。 例如,Alice 是 Woodgrove 的新員工,且先前已獲得她的就業證明可驗證憑證。 當Alice需要提供僱用證明才能在 Proseware 取得折扣時,她可以簽署可驗證的簡報,證明Alice是 DID 的擁有者,藉此授與她 Authenticator 應用程式中認證的存取權。 Proseware 能夠驗證 Woodgrove 發行的憑證及 Alice 的可驗證憑證擁有權。
驗證者
驗證者是一公司或實體,需要驗證其信任的一或多個簽發者宣告。 例如,Proseware 信任 Woodgrove,Inc. 會執行適當作業來驗證其員工的身分識別,並簽發真實且有效的 VC。 當 Alice 嘗試訂購她工作所需的設備時,Proseware 會使用開放標準,例如 Self-Issued OpenID Provider (SIOP) 和 Presentation Exchange,向使用者要求認證,證明他們是 Woodgrove, Inc 的員工。例如,Proseware 可能會提供 Alice 連結至網站,其中包含她使用手機相機掃描的 QR 代碼。 這會起始特定 VC 的要求,Authenticator 將分析並提供 Alice 核准要求的能力,以證明她任職於 Proseware。 Proseware 可以使用可驗認證服務 API 或 SDK 來驗證可驗證簡報的真實性。 根據 Alice 所提供的資訊,他們讓 Alice 享有折扣。 如果其他公司和組織知道 Woodgrove,Inc. 為其員工簽發 VC,他們也可以建立驗證者解決方案,並使用 Woodgrove,Inc. 可驗認證來提供針對 Woodgrove,Inc. 所保留的特殊優惠。
注意
驗證程式可以使用開放式標準來執行展示和驗證,或 設定自己的 Microsoft Entra 租使用者 來讓 Microsoft Entra 驗證 ID 服務執行大部分的工作。
下一步
現在您已瞭解分散式識別碼和可驗認證,請遵循我們的「開始使用」一文,或其他提供可驗認證概念詳細資料的文章,來自行嘗試。