úvod do Azure Active Directory ověřitelných přihlašovacích údajů (preview)

Naše digitální a fyzické života jsou stále stále propojeny s aplikacemi, službami a zařízeními, které používáme pro přístup k bohatě se sadou prostředí. Tato digitální transformace nám umožňuje spolupracovat se stovkami společností a tisíci dalších uživatelů způsobem, který byl dřív neimaginární.

Data identity se ale často vystavila v rozporu se zabezpečením. Tato porušení mají vliv na naše sociální, profesionální a finanční život. Společnost Microsoft se domnívá, že existuje lepší způsob. Každá osoba má právo na identitu, kterou vlastní a řídí, a ta tak bezpečně ukládá prvky své digitální identity a zachovává ochranu osobních údajů. V tomto úvodu se dozvíte, jak se připojovat k různým komunitám a vytvářet otevřená, důvěryhodná, interoperabilní a standardizovaná řešení založená na standardech pro jednotlivce a organizace.

Proč musíme decentralizované identity

Dnes používáme naši digitální identitu v práci, doma i v každé aplikaci, službě a zařízení, které používáme. Sestavili jsme všechno, co říkáme, a máte zkušenosti, a to v rámci našich životních lístků pro událost, kontrolu hotelu nebo dokonce objednávání oběda. V současné době je naše identita a všechny naše digitální interakce vlastněné a ovládané dalšími stranami, přičemž některé z nich ještě neznáte.

Obecně platí, že uživatelé si můžou udělit souhlas s několika aplikacemi a zařízeními. Tento přístup vyžaduje vysoký stupeň bdělosti na straně uživatele, aby bylo možné sledovat, kdo má přístup k těmto informacím. V podnikovém frontě musí spolupráce se zákazníky a partnery zajistit vysokou orchestraci, aby bezpečně vyměnila data způsobem, který udržuje ochranu osobních údajů a zabezpečení pro všechny účastníky.

Věříme, že systém s decentralizovanými identitami založený na standardech může odemknout novou sadu prostředí, která uživatelům a organizacím poskytují větší kontrolu nad svými daty a poskytují vyšší úroveň důvěryhodnosti a zabezpečení pro aplikace, zařízení a poskytovatele služeb.

Vedoucí s otevřenými standardy

Zavázali jsme se spolupracovat se zákazníky, partnery a komunitou, abychom mohli odemknout novou generaci prostředí založeného na identitách, a s radostí se budeme zapojovat s osobami a organizacemi, které v tomto prostoru poskytují nedostupné příspěvky. Pokud by byl ekosystém růst, standardů, technických komponent a dodávek kódu, musí být otevřený zdroj a přístupný všem.

společnost Microsoft aktivně spolupracuje s členy decentralizované identity Foundation (DIF), s přihlašovacími údaji W3C Community skupinou a širší komunitou identit. S těmito skupinami jsme pracovali k identifikaci a vývoji kritických standardů a v našich službách jste implementovali následující standardy.

• Decentralizované identifikátory W3C
• Pověření s možností ověření W3C
• Sidetree DIF
• Dobře známá konfigurace DIF
• DIF – SIOP
• Exchange prezentace pro DIF

Co jsou DIDs?

Než budeme rozumět DIDs, pomůže vám to porovnat s aktuálními systémy identit. E-mailové adresy a ID sociálních sítí jsou uživatelsky přívětivé aliasy pro spolupráci, ale teď jsou přetížené, aby sloužily jako řídicí body pro přístup k datům napříč mnoha scénáři po spolupráci. Tím se vytvoří potenciální problém, protože přístup k těmto identifikátorům můžete kdykoli odebrat externími stranami.

Decentralizované identifikátory (DIDs) se liší. DIDs jsou uživatelsky vygenerované, globálně jedinečné identifikátory, které jsou rootem v decentralizovaných systémech, jako je například ION. Mají jedinečné charakteristiky, jako je větší záruka na neměnnosti, odolnost proti Censorship a manipulaci evasiveness. Tyto atributy jsou klíčové pro jakýkoli systém ID, který je určen k poskytnutí vlastní vlastnictví a uživatelského ovládacího prvku.

Řešení ověřitelných přihlašovacích údajů od Microsoftu používá decentralizované přihlašovací údaje (DIDs) k kryptografické podepisování jako důkaz, že předávající strana (Ověřovač) ověřuje informace, že se jedná o vlastníky ověřitelných přihlašovacích údajů. Základní porozumění DIDs se doporučuje pro kohokoli, kdo vytvoří ověřitelné řešení pověření na základě nabídky Microsoftu.

Co jsou ověřitelné přihlašovací údaje?

Identifikátory používáme v každodenním životě. Máme licence na ovladače, které používáme jako důkaz naší schopnosti provozovat automobil. Diplomy s vysokými školami potvrzují, že jsme dosáhli úrovně vzdělávání. Passports používáme k důkazu toho, kdo je k dismailu, jak dorazíme do jiných zemí. Datový model popisuje, jak můžeme zvládnout tyto typy scénářů při práci přes Internet, ale zabezpečeným způsobem, který respektuje ochranu osobních údajů uživatelů. Další informace můžete získat v datovém modelu s ověřitelnými přihlašovacími údaji 1,0.

V krátkých, ověřitelných přihlašovacích údajích jsou datové objekty, které se skládají z deklarací identity vystavitelů potvrzujících informace o předmětu. Tyto deklarace jsou označeny schématem a zahrnují vystavitele a předmět. Vystavitel vytvoří digitální podpis jako důkaz, že k těmto informacím potvrzují.

Jak decentralizovaná identita funguje?

Potřebujeme novou formu identity. Potřebujeme identitu, která dohromady přináší technologie a standardy, aby poskytovala klíčové atributy identity, jako je vlastní vlastnictví a odolnost proti Censorship. Tyto možnosti je obtížné dosáhnout pomocí stávajících systémů.

Abychom mohli doručovat tyto příslibů, potřebujeme technickou základnu, která se skládá ze sedmi důležitých inovací. Jedním z klíčových inovací jsou identifikátory, které vlastní uživatel, uživatelský agent pro správu klíčů přidružených k takovým identifikátorům a šifrované úložiště dat řízené uživatelem.

1. ID decentralizovaných identifikátorů W3C (DIDs) , které uživatelé vytvářejí, vlastní a ovládají, nezávisle na jakékoli organizaci nebo vládě. DIDs jsou globálně jedinečné identifikátory propojené s decentralizovanými metadaty infrastruktury veřejných klíčů (DPKI) složených z dokumentů JSON, které obsahují obsah veřejných klíčů, popisovačů ověřování a koncových bodů služby.

2. decentralizované rozhraní: iontová (překrytá síť identity) Ion je otevřená vrstva bez oprávnění založená na čistě deterministickém protokolu Sidetree, který nevyžaduje žádné speciální tokeny, důvěryhodné validátory nebo jiné mechanismy konsensu. lineární průběh časového řetězce Bitcoin je vše, co je vyžadováno pro jeho operaci. Otevřeli jsme balíček npm source , aby bylo možné pracovat s iontovou sítí snadno integrovat do vašich aplikací a služeb. Mezi knihovny patří vytvoření nového, generování klíčů a ukotvení vaší služby na Bitcoin blockchain.

3. měl uživatelský Agent/peněženku: Microsoft Authenticator aplikace umožňuje skutečným lidem používat decentralizované identity a ověřitelné přihlašovací údaje. Authenticator vytváří DIDs, usnadňuje vydávání a prezentační požadavky na ověřitelné přihlašovací údaje a spravuje zálohu vašeho předplatného prostřednictvím šifrovaného souboru peněženky.

4. překladač rozhraní API, který se připojuje k NAŠEmu iontu Ion pro vyhledání a vyřešení DIDs pomocí did:ion metody a vrácení objektu dokumentu (DDO). DDO zahrnuje DPKI Metadata přidružená k, jako jsou veřejné klíče a koncové body služby.

5. Azure Active Directory ověření přihlašovacích údajů služba vystavuje službu pro vystavování a ověření v Azure a REST API pro ověřitelné přihlašovací údaje W3C , které jsou podepsané did:ion metodou. Umožňují vlastníkům identity generovat, prezentovat a ověřovat deklarace identity. Tato forma je základem vztahu důvěryhodnosti mezi uživateli systémů.

Vzorový scénář

Scénář, který využijeme k vysvětlení fungování rozhraní VCs, zahrnuje:

• Woodgrove Inc. společnost.
• Proseware, což je společnost, která nabízí slevy za zaměstnance Woodgrove.
• Alice, zaměstnanec na Woodgrove, Inc., který chce získat slevu z proseware

V dnešní době Alice poskytuje uživatelské jméno a heslo pro přihlášení do síťového prostředí Woodgrove. Woodgrove nasazuje řešení VC, aby poskytovalější spravovatelnější způsob, jak Alice prokázala, že je zaměstnancem Woodgrove. Proseware používá řešení VC kompatibilní s řešením VC Woodgrove a přijímá přihlašovací údaje vydané Woodgrove jako kontrolu zaměstnanosti.

Vystavitel přihlašovacích údajů, Woodgrove Inc., vytvoří veřejný klíč a privátní klíč. Veřejný klíč je uložený na ION. Když se klíč přidá do infrastruktury, záznam se zaznamená do decentralizované hlavní knihy založené na blockchain. Vystavitel poskytuje Alici soukromý klíč, který je uložený v aplikaci peněženky. Pokaždé, když Alice úspěšně používá privátní klíč, se transakce zaznamená do aplikace Peněženka.

Role v řešení ověřitelných přihlašovacích údajů

Existují tři primární aktéry v řešení ověřitelných přihlašovacích údajů. V následujícím diagramu:

• Krok 1 uživatel požádá o ověřitelné přihlašovací údaje od vystavitele.
• V kroku 2 Vystavitel přihlašovacích údajů potvrzuje, že důkaz, který uživatel zadal, je přesný a vytvoří ověřitelné přihlašovací údaje podepsané s jeho pomocí a uživatel je jeho subjektem.
• V kroku 3 podepíše uživatel ověřitelnou prezentaci (náměstek) se svým výsledkem a pošle ověřovateli. Ověřovatel potom ověří přihlašovací údaje porovnáním s veřejným klíčem umístěným v DPKI.

Role v tomto scénáři jsou:

Vystavitel – Vystavitel je organizace, která vytvoří řešení pro vystavování požadující informace od uživatele. Tyto informace slouží k ověření identity uživatele. Například Woodgrove, Inc. má řešení pro vystavování, které umožňuje vytvořit a distribuovat ověřitelné přihlašovací údaje (VCs) všem jejich zaměstnancům. zaměstnanec používá aplikaci Authenticator k přihlášení pomocí uživatelského jména a hesla, které předá tokenu ID vydávající službě. Jakmile Woodgrove, Inc. ověří token ID, vytvoří řešení pro vystavování VC, který obsahuje deklarace identity zaměstnanců a je podepsaný Woodgrove, Inc.. Zaměstnanec teď má ověřitelné přihlašovací údaje, které je podepsáno jeho zaměstnavatelem, což zahrnuje zaměstnance DID jako předmět DID.

user – uživatel je osoba nebo entita, která žádá o virtuální počítač. Alice je například novým zaměstnancem společnosti Woodgrove, Inc. a byla dříve vydána její doklad o zaměstnání s ověřitelnými přihlašovacími údaje. Když Alice potřebuje poskytnout doklad o zaměstnání, aby mohla získat slevu na proseware, může jí udělit přístup k přihlašovacím údajům ve své aplikaci Authenticator podepsáním ověřitelné prezentace, která prokáže, že Alice je vlastníkem did. Proseware může ověřit, že přihlašovací údaje vydala společnosti Woodgrove, Inc. a Alice je vlastníkem přihlašovacích údajů.

ověřovatel – ověřovatel je společnost nebo entita, která potřebuje ověřit deklarace identity od jednoho nebo více vystavitelů, kterým důvěřují. Například proseware důvěřuje společnosti Woodgrove, Inc. a odpovídajícím způsobem ověřuje identitu svých zaměstnanců a vystavuje ověřující a platné virtuální počítače. Když se Alice pokusí objednat vybavení, které potřebuje pro svou práci, použije Proseware otevřené standardy, jako je SIOP a Presentation Exchange, k vyžádání přihlašovacích údajů od uživatele, který prokažuje, že je zaměstnancem společnosti Woodgrove, Inc. Například Proseware může Alici poskytnout odkaz na web pomocí kódu QR, který naskenuje pomocí fotoaparátu na telefonu. Tím se zahájí žádost o konkrétní virtuální počítač, Authenticator bude analyzovat a dát Alici možnost schválit žádost o prokázání jejího zaměstnání v prosewaru. Proseware může pomocí ověřitelného rozhraní API služby přihlašovacích údajů nebo sady SDK ověřit pravost ověřitelné prezentace. Na základě informací, které alice poskytla, dají Alici slevu. Pokud ostatní společnosti a organizace vědí, že společnost Woodgrove, Inc. vydává svým zaměstnancům virtuální počítače, mohou také vytvořit řešení ověřovatele a použít ověřitelné přihlašovací údaje společnosti Woodgrove, Inc. k poskytování speciálních nabídek vyhrazených zaměstnancům společnosti Woodgrove, Inc.

Další kroky

Teď, když znáte identifikátory DID a ověřitelné přihlašovací údaje, si je vyzkoušejte sami podle našeho článku Začínáme nebo jednoho z našich článků, kde najdete další podrobnosti o ověřitelných konceptech přihlašovacích údajů.

• Začínáme s ověřitelnými přihlašovacími údaji
• Jak přizpůsobit přihlašovací údaje
• Nejčastější dotazy k ověřitelným přihlašovacím údajům