Einführung in Nachweise für Azure Active Directory (Vorschauphase)

Hinweis

Microsoft Entra Verified ID, ein Feature der Microsoft Entra-Produktfamilie, ersetzt jetzt Azure Active Directory-Nachweise. Auf dem Weg zur allgemeinen Verfügbarkeit werden wir in den nächsten Monaten auch unsere Dokumentation entsprechend aktualisieren. Erfahren Sie mehr über die Microsoft Entra-Familie mit Lösungen für die Identitätsverwaltung, und beginnen Sie im einheitlichen Microsoft Entra Admin Center.

Wichtig

Überprüfbare Anmeldeinformationen für Azure Active Directory-befinden sich derzeit in der öffentlichen Vorschauphase. Diese Vorschauversion wird ohne Vereinbarung zum Servicelevel bereitgestellt und ist nicht für Produktionsworkloads vorgesehen. Manche Features werden möglicherweise nicht unterstützt oder sind nur eingeschränkt verwendbar. Weitere Informationen finden Sie unter Zusätzliche Nutzungsbestimmungen für Microsoft Azure-Vorschauen.

Unser digitales und körperliches Leben wird immer häufiger mit Apps, Diensten und Geräten verknüpft, über die wir auf einen umfangreichen Erfahrungsschatz zugreifen können. Diese digitale Transformation ermöglicht es uns, mit Hunderten von Unternehmen und Tausenden anderer Benutzer auf eine Weise zu interagieren, die bisher nicht vorstellbar war.

Jedoch wurden bei Sicherheitsverletzungen zu oft Identitätsdaten offengelegt. Diese Sicherheitsverletzungen beeinträchtigen unser soziales, berufliches und finanzielles Dasein. Microsoft ist der Überzeugung, dass es eine bessere Möglichkeit gibt. Jede Person hat das Recht auf eine Identität, die sie besitzt und kontrolliert, eine Identität, die die Elemente Ihrer digitalen Identität sicher speichert und den Datenschutz gewährleistet. Wir entwickeln eine offene, vertrauenswürdige, interoperable und auf Standards basierende dezentralisierte Identitätslösung (DID) für Einzelpersonen und Organisationen.

Weshalb wir eine dezentralisierte Identität benötigen

Wir nutzen unsere digitale Identität bei der Arbeit, zu Hause und in jeder App, jedem Dienst und jedem Gerät, das wir verwenden. Unsere digitale Identität setzt sich aus allem zusammen, was wir sagen, tun und in unserem Leben erleben. Hierzu zählen Aktivitäten wie der Kauf von Eintrittskarten für eine Veranstaltung, das Einchecken in ein Hotel oder sogar die Bestellung eines Mittagessens. Unsere Identität und die Informationen über unsere Onlineaktivitäten befinden sich in fremdem Besitz und werden von anderen kontrolliert. In einigen Fällen sogar ohne unser Wissen.

Im allgemeinen erteilen Benutzer ihre Zustimmung zu mehreren Apps und Geräten. Um zu verfolgen, wer Zugriff auf welche Informationen hat, erfordert dieser Ansatz ein hohes Maß an Wachsamkeit aufseiten der Benutzer. In Unternehmen erfordert die Zusammenarbeit mit Kunden und Partnern eine engmaschige Orchestrierung, damit Daten sicher und auf eine Weise ausgetauscht werden, die den Datenschutz und die Sicherheit für alle Beteiligten gewährleistet.

Wir sind der Überzeugung, dass ein auf Standards basierendes dezentralisiertes Identitätssystem neue Möglichkeiten eröffnet, die Benutzern und Organisationen nicht nur mehr Kontrolle über Ihre Daten sondern auch ein höheres Maß an Vertrauenswürdigkeit und Sicherheit für Apps, Geräte und Dienstanbieter ermöglichen

Führung mit offenen Standards

Wir arbeiten eng mit unseren Kunden, Partnern und der Community zusammen, um die nächste Generation dezentraler, identitätsbasierter Lösungen auf den Weg zu bringen. Wir freuen uns, mit Einzelpersonen und Organisationen zusammenzuarbeiten, die in diesem Bereich unglaubliche Beiträge leisten. Wenn das Ökosystem wachsen soll, müssen die Standards, die technischen Komponenten und die Arbeitsergebnisse in Form von Open Source-Code vorliegen und für alle zugänglich sein.

Microsoft arbeitet aktiv mit Mitgliedern der Decentralized Identity Foundation (DIF), der W3C-Credentials Community-Gruppe und der umfassenderen Identitäts-Community zusammen. Wir kooperieren mit diesen Gruppen, um wichtige Standards zu bestimmen und zu entwickeln. Die folgenden Standards wurden in unseren Diensten implementiert.

Was sind DIDs?

Um DIDs zu verstehen, ist es hilfreich, sie mit aktuellen Identitätssystemen zu vergleichen. E-Mail-Adressen und IDs von sozialen Netzwerken sind benutzerfreundliche Aliase für die Zusammenarbeit, sind aber nun überladen, da sie als Kontrollstelle für den Datenzugriff über viele Szenarien hinweg zu dienen. Dadurch entsteht ein mögliches Problem, da der Zugriff auf diese IDs von externen Parteien jederzeit unterbunden werden kann.

Dezentralisierte IDs (DIDs) unterscheiden sich davon. DIDs sind vom Benutzer generierte, eigenverantwortliche und global eindeutige Bezeichner, die auf dezentralisierten Systemen wie z. B. „Ion“ basieren. Sie verfügen über einzigartige Merkmale, wie z. B. eine bessere Sicherstellung der Unveränderlichkeit sowie Schutz vor Zensur und Manipulationen. Diese Attribute sind für jedes ID-System wichtig, das Eigenverantwortlichkeit und Benutzerkontrolle sicherstellen soll.

Die Microsoft-Lösung für überprüfbare Anmeldeinformationen setzt für das kryptografische Signieren dezentralisierte Anmeldeinformationen (DIDs) als Nachweis dafür ein, dass von einer vertrauenden Seite (Überprüfer) Informationen bestätigt werden, die nachweisen, dass sie Inhaber dieser überprüfbaren Anmeldeinformationen sind. Für alle, die eine Lösung für überprüfbare Anmeldeinformationen auf der Grundlage des Microsoft-Angebots erstellen, wird ein grundlegendes Verständnis von dezentralisierten IDs empfohlen.

Was sind Nachweise?

Wir verwenden IDs in unserem täglichen Leben. Wir besitzen einen Führerschein als Beleg dafür, dass wir Auto fahren können. Universitäten stellen Diplome aus, die nachweisen, dass wir eine bestimmte Bildungsstufe erreicht haben. Wir verwenden die Reisepässe, um gegenüber den Behörden im Reiseland nachzuweisen, wer wir sind. Das Datenmodell beschreibt, wie wir bei der Arbeit über das Internet mit Szenarien dieser Art ausschließlich auf eine sichere Weise umgehen können, die den Schutz der Benutzerdaten gewährleistet. Weitere Informationen finden Sie im Datenmodell für Nachweise 1.0.

Kurz gesagt: Nachweise sind Datenobjekte, die aus der Zusicherung der ausstellenden Stelle bestehen, dass die Informationen über eine Person richtig sind. Diese Zusicherungen werden anhand eines Schemas identifiziert und enthalten die DID, den Aussteller und die betroffene Person. Aus den DID des Ausstellers wird eine digitale Signatur als Nachweis dafür erstellt, dass er diese Informationen bestätigt.

Wie funktioniert eine dezentralisierte Identität?

Wir benötigen eine neue Form von Identität. Wir benötigen eine Identität, die Technologien und Standards zusammenführt, um wichtige Identitätsattribute wie Eigenverantwortung und Schutz vor Zensur zu bieten. Diese Funktionen sind mit vorhandenen Systemen schwer umzusetzen.

Um diese Versprechen zu erfüllen, benötigen wir eine technische Grundlage mit sieben Schlüsselinnovationen. Eine der Schlüsselinnovationen sind IDs, die der Verantwortung des Benutzers unterliegen, ein Benutzer-Agenten zum Verwalten von Schlüsseln, die mit solchen IDs verknüpft sind, und verschlüsselte, benutzergesteuerte Datenspeicher.

overview of Microsoft's verifiable credential environment

1. W3C-IDs (Dezentrale IDs) Die Benutzer erstellen, verantworten und kontrollieren diese IDs unabhängig von Organisationen oder Behörden. DIDs sind global eindeutige IDs, die mit den Metadaten der dezentralisierten Public Key-Infrastruktur (DPKI) verknüpft sind, die sich wiederum aus JSON-Dokumenten zusammensetzt, in denen Materialien zum Public Key, zu Authentifizierungsdeskriptoren und zu Dienstendpunkten enthalten sind.

2. Dezentrales System

  • ION (Identity Overlay Network) ist ein offenes, berechtigungsfreies Layer-2-Netzwerk, das auf dem rein deterministischen Sidetree-Protokoll basiert, für das keine speziellen Token, vertrauenswürdigen Validierungen oder andere Zustimmungsmechanismen erforderlich sind. Der lineare Verlauf der Bitcoin-Timechain ist alles, was für seinen Betrieb erforderlich ist. Wir haben ein offenes npm-Paket entwickelt, um die Arbeit mit dem ION-Netzwerk auf einfache Weise in Ihre Apps und Dienste zu integrieren. Zu den Bibliotheken gehören Elemente zum Erstellen einer neuen DID, zum Erstellen von Schlüsseln und zum Verankern ihrer DID in der Bitcoin-Blockchain.

  • did:web ist ein berechtigungsbasiertes Modell, das Vertrauensstellungen anhand der vorhandenen Reputation einer Webdomäne ermöglicht.

3. Benutzer-Agent/Wallet: Microsoft Authenticator-App Sie ermöglicht es echten Personen, dezentralisierte Identitäten und Nachweise zu nutzen. Der Authentifikator erstellt DIDs, unterstützt die Anfragen nach Ausstellung und Präsentation von Nachweisen und verwaltet die Sicherung Ihres DID-Seeds mittels einer verschlüsselten Wallet-Datei.

4. Microsoft Resolver Diese API stellt die Verbindung mit unserem ION-Knoten her, um DIDs mithilfe der -Methode zu suchen und aufzulösen und das DID-Dokumentobjekt (DDO) zurückzugeben. Das DDO umfasst DPKI-Metadaten, die den DID zugeordnet sind. Das sind z. B. öffentliche Schlüssel und Dienstendpunkte.

5. Azure Active Directory Verified Credentials Service: Ein Dienst in Azure und eine REST-API zur Ausstellung und Verifizierung von W3C-Nachweisen, die mit der Methode signiert wurden. Sie ermöglichen es den Besitzern einer Identität, Zusicherungen zu generieren, vorzulegen und zu überprüfen. Dies bildet die Grundlage der Vertrauensstellung zwischen den Benutzern der Systeme.

Ein Beispielszenario

Das Szenario, in dem wir erläutern, wie Nachweise funktionieren, umfasst Folgendes:

  • WoodGrove Inc., ein Unternehmen.
  • ProseWare, ein Unternehmen, das den WoodGrove-Mitarbeitern Rabatte anbietet.
  • Alice, eine Mitarbeiterin von WoodGrove Inc., die von ProseWare einen Rabatt erhalten möchte

Heute gibt Alice einen Benutzernamen und ein Kennwort an, um sich bei der Netzwerkumgebung von WoodGrove anzumelden. WoodGrove setzt eine Nachweislösung ein, mit der Alice auf einfachere Weise nachweisen kann, dass sie eine Mitarbeiterin von WoodGrove ist. ProseWare akzeptiert von WoodGrove ausgegebene Nachweise als Beschäftigungsbeleg, um Firmenrabatte im Rahmen ihres Rabattprogramms für Unternehmen anzubieten.

Alice fordert bei WoodGrove Inc. einen Nachweis an, um sich als WoodGrove-Mitarbeiterin ausweisen zu können. WoodGrove Inc. bestätigt Alices Identität und stellt einen signierten Nachweis aus, den Alice akzeptieren und in ihrem digitalen Wallet speichern kann. Alice kann diesen Nachweis jetzt als Beschäftigungsnachweis auf der ProseWare-Website nutzen. Nach erfolgreicher Vorlage des Nachweises bietet ProseWare Alice einen Rabatt an, und die Transaktion wird im digitalen Wallet von Alice protokolliert. So kann sie nachverfolgen, wo und wem sie Nachweise als Beschäftigungsnachweis vorgelegt hat.

microsoft-did-overview

Rollen in einer Lösung für Nachweise

In der Lösung für Nachweise gibt es drei Hauptakteure. Das Diagramm weiter unten zeigt Folgendes:

  • Schritt 1: Anforderung eines Nachweises durch den Benutzer.
  • Schritt 2: Der Aussteller der Anmeldeinformationen prüft, ob der vom Benutzer angegebene Nachweis korrekt ist, und erstellt einen Nachweis, der mit seinem Namen signiert wurde, und deren Gegenstand der Benutzer ist.
  • In Schritt 3signiert der Benutzer eine überprüfbare Präsentation (VP) mit seinem DID und sendet sie an die Überprüfung. Die Überprüfung prüft dann die Anmeldeinformationen, indem sie mit dem öffentlichen Schlüssel in der DPKI abgleicht.

Die Rollen in diesem Szenario sind:

roles in a verifiable credential environment

Aussteller: Der Aussteller ist eine Organisation, die eine Ausstellungslösung erstellt, mit der Informationen von einem Benutzer angefordert werden. Die Informationen werden verwendet, um die Identität des Benutzers zu verifizieren. Beispielsweise verfügt WoodGrove Inc. über eine Ausstellungslösung, die es ihnen ermöglicht, Nachweise für alle Mitarbeiter zu erstellen und zu verteilen. Die Mitarbeiter verwenden die Authentifikator-App, um sich mit ihrem Benutzernamen und ihrem Kennwort anzumelden, wodurch ein ID-Token an den ausstellenden Dienst übergeben wird. Sobald WoodGrove Inc. das übermittelte ID-Token überprüft hat, erstellt die Ausstellungslösung einen Nachweis, die Angaben zum Mitarbeiter enthält und mit der DID von WoodGrove Inc. signiert ist. Die Mitarbeiter verfügen nun über Nachweise, die von Ihrem Arbeitgeber signiert wurden. Dies schließt die Mitarbeiter-DID als DID des Gegenstands der Zusicherung ein.

Benutzer: Benutzer sind die Personen oder Entitäten, die eine VC anfordern. Alice ist z. B. eine neue Mitarbeiterin von WoodGrove Inc. und für sie wurde zuvor eine Beschäftigungsbestätigung als Nachweis ausgestellt. Wenn Alice einen Beschäftigungsnachweis bereitstellen muss, um bei ProseWare einen Rabatt zu erhalten, kann sie in ihrer Authentifikator-App Zugriff auf diesen Nachweis erteilen, indem sie eine verifizierbare Präsentation signiert, mit der nachgewiesen wird, dass Alice die Besitzerin der DID ist. ProseWare kann verifizieren, ob der Nachweis von WoodGrove Inc. ausgegeben wurde und ob Alice die Besitzerin dieses Nachweises ist.

Verifier: Der Verifier ist ein Unternehmen oder eine Entität, die Zusicherungen eines oder mehrerer Ausstellern überprüfen muss, denen er vertraut. ProseWare vertraut zum Beispiel darauf, dass WoodGrove Inc. seine Aufgaben zur Identitätsprüfung seiner Mitarbeiter in angemessener Weise erledigt und authentische und gültige Nachweise ausstellt. Wenn Alice versucht, die Ausrüstungen zu bestellen, die sie für Ihre Arbeit benötigt, verwendet ProseWare offene Standards wie z. B. SIOP und Presentation Exchange, um von ihr als Benutzerin Anmeldeinformationen anzufordern, die nachweisen, dass sie Mitarbeiterin von WoodGrove Inc. ist. Beispielsweise könnte ProseWare Alice einen Link zu einer Website mit einem QR-Code zur Verfügung stellen, den sie mit der Kamera ihres Telefons scannt. Dadurch wird die Anforderung eines bestimmten, vom Authentifikator analysierten Nachweises initiiert und Alice die Möglichkeit geboten, die Anforderung zum Nachweis ihrer Beschäftigung bei ProseWare zu genehmigen. ProseWare kann die Dienst-API oder das SDK für Nachweise verwenden, um die Authentizität der verifizierbaren Präsentation zu überprüfen. Basierend auf den von Alice bereitgestellten Informationen gestehen sie Alice den Rabatt zu. Wenn andere Unternehmen und Organisationen wissen, dass WoodGrove Inc. Nachweise an seine Mitarbeiter ausgibt, können sie ebenfalls eine Verifizierungslösung erstellen und die Nachweise von WoodGrove Inc. verwenden, um den Mitarbeitern von WoodGrove Inc. Sonderangebote bereitzustellen.

Nächste Schritte

Nachdem Sie sich nun mit DIDs und Nachweisen vertraut gemacht haben, können Sie sie selbst ausprobieren. Befolgen Sie hierzu die Anweisungen im Artikel „Erste Schritte“ oder einen unserer anderen Artikel mit weiteren Details zu den Konzepten von Nachweisen.