Inleiding tot Azure Active Directory verifieerbare referenties (preview)

  • Artikel
  • 9 minuten om te lezen

Belangrijk

Azure Active Directory Verifieerbare referenties zijn momenteel beschikbaar als openbare preview. Deze preview-versie wordt aangeboden zonder service level agreement en wordt niet aanbevolen voor productieworkloads. Misschien worden bepaalde functies niet ondersteund of zijn de mogelijkheden ervan beperkt. Zie Supplemental Terms of Use for Microsoft Azure Previews (Aanvullende gebruiksvoorwaarden voor Microsoft Azure-previews) voor meer informatie.

Ons digitale en fysieke leven wordt steeds meer gekoppeld aan de apps, services en apparaten die we gebruiken om toegang te krijgen tot een uitgebreide set ervaringen. Dankzij deze digitale transformatie kunnen we met honderden bedrijven en duizenden andere gebruikers communiceren op een manier die voorheen onoptbaar was.

Maar identiteitsgegevens zijn te vaak blootgesteld aan beveiligingsschending. Deze schendingen zijn van invloed op ons sociale, professionele en financiële leven. Microsoft denkt dat er een betere manier is. Elke persoon heeft het recht op een identiteit die hij/zij bezit en controleert, een identiteit die elementen van hun digitale identiteit veilig op bewaart en privacy behoudt. In deze primer wordt uitgelegd hoe we samen met een diverse community een open, betrouwbare, interoperabele en op standaarden gebaseerde oplossing voor Gedecentraliseerde identiteit (DID) bouwen voor personen en organisaties.

Waarom we Gedecentraliseerde identiteit nodig hebben

Vandaag de dag gebruiken we onze digitale identiteit op het werk, thuis en in elke app, service en elk apparaat dat we gebruiken. Het bestaat uit alles wat we zeggen, doen en ervaren in ons leven: tickets kopen voor een evenement, inchecken bij een hotel of zelfs lunch bestellen. Op dit moment zijn onze identiteit en al onze digitale interacties eigendom van en worden ze beheerd door andere partijen, waarvan sommige waarvan we ons niet bewust zijn.

Over het algemeen verlenen gebruikers toestemming aan verschillende apps en apparaten. Deze aanpak vereist een hoge mate van alertheid van de gebruiker om bij te houden wie toegang heeft tot welke informatie. Aan het ondernemingsfront is voor samenwerking met consumenten en partners een hoge mate van communicatie vereist om veilig gegevens uit te wisselen op een manier die privacy en beveiliging voor alle betrokkenen behoudt.

We zijn van mening dat een op standaarden gebaseerd systeem voor gedecentraliseerde identiteiten een nieuwe set ervaringen kan ontgrendelen die gebruikers en organisaties meer controle geven over hun gegevens, en een hogere mate van vertrouwen en beveiliging bieden voor apps, apparaten en serviceproviders.

Lead met open standaarden

We doen er alles aan om nauw samen te werken met klanten, partners en de community om de volgende generatie op basis van gedecentraliseerde identiteiten te ontgrendelen en we zijn blij om samen te werken met de personen en organisaties die op dit vlak een enorme bijdrage leveren. Als het DID-ecosysteem moet groeien, moeten standaarden, technische onderdelen en codeleveringen worden open source toegankelijk zijn voor iedereen.

Microsoft werkt actief samen met leden van de Gedecentraliseerde identiteits foundation (DIF), de W3C Credentials Community Group en de bredere identiteits community. We hebben met deze groepen gewerkt om kritieke standaarden te identificeren en te ontwikkelen, en de volgende standaarden zijn geïmplementeerd in onze services.

Wat zijn dids?

Voordat we dids kunnen begrijpen, is het beter om ze te vergelijken met huidige identiteitssystemen. E-mailadressen en sociale netwerk-ID's zijn gebruikersvriendelijke aliassen voor samenwerking, maar zijn nu overbelast om te fungeren als controlepunten voor toegang tot gegevens in veel scenario's buiten samenwerking. Dit veroorzaakt een potentieel probleem, omdat de toegang tot deze ID's op elk moment kan worden verwijderd door externe partijen.

Gedecentraliseerde id's (DID's) verschillen. DID's zijn door de gebruiker gegenereerde, zelf-eigen, wereldwijd unieke id's die zijn geroot in gedecentraliseerde systemen zoals ION. Ze beschikken over unieke kenmerken, zoals meer zekerheid van onveranderlijkheid, onvermogensbeveiliging en manipulatie-verdamping. Deze kenmerken zijn essentieel voor elk id-systeem dat is bedoeld om zelf-eigendom en gebruikersbeheer te bieden.

De verifieerbare referentieoplossing van Microsoft maakt gebruik van gedecentraliseerde referenties (DID's) om cryptografisch te ondertekenen als bewijs dat een relying party (verifier) bevestigt dat ze de eigenaren van een verifieerbare referentie zijn. Een basiskennis van DID's wordt aanbevolen voor iedereen die een verifieerbare referentieoplossing maakt op basis van het Microsoft-aanbod.

Wat zijn verifieerbare referenties?

We gebruiken in ons dagelijkse leven de -ID's. We hebben rijlicenties die we gebruiken als bewijs van onze mogelijkheid om een auto te gebruiken. Universiteiten geven certificaten uit die bewijzen dat we een opleidingsniveau hebben behaald. We gebruiken passports om te bewijzen wie we zijn bij instanties wanneer we naar andere landen binnenkomen. In het gegevensmodel wordt beschreven hoe we dit soort scenario's kunnen afhandelen wanneer we via internet werken, maar op een veilige manier die de privacy van gebruikers respecteert. U kunt aanvullende informatie krijgen in Het verifieerbare referentiegegevensmodel 1.0.

Kortom, verifieerbare referenties zijn gegevensobjecten die bestaan uit claims die door de vergever zijn gemaakt en die informatie over een onderwerp bevestigen. Deze claims worden geïdentificeerd door het schema en bevatten de DID de vergever en het onderwerp. De DID van de vergever maakt een digitale handtekening als bewijs dat ze deze informatie bevestigen.

Hoe werkt gedecentraliseerde identiteit?

We hebben een nieuwe vorm van identiteit nodig. We hebben een identiteit nodig die technologieën en standaarden bij elkaar brengt om belangrijke identiteitskenmerken te leveren, zoals zelfeigendom en onvoorzienheid. Deze mogelijkheden zijn moeilijk te realiseren met behulp van bestaande systemen.

Om deze beloften te realiseren, hebben we een technische basis nodig die bestaat uit zeven belangrijke innovaties. Een belangrijke innovatie zijn id's die eigendom zijn van de gebruiker, een gebruikersagent voor het beheren van sleutels die zijn gekoppeld aan dergelijke id's en versleutelde, door de gebruiker beheerde gegevensstores.

overzicht van de verifieerbare referentieomgeving van Microsoft

1. W3C Gedecentraliseerde id's (DID's) id's die gebruikers onafhankelijk van elke organisatie of overheid maken, bezit en controleren. DID's zijn wereldwijd unieke id's die zijn gekoppeld aan DPKI-metagegevens (Decentralized Public Key Infrastructure) die bestaan uit JSON-documenten die openbaar sleutelmateriaal, verificatiedescriptors en service-eindpunten bevatten.

2. Gedecentraliseerd systeem: ION (Identity Overlay Network) ION is een open, machtigingsloos netwerk op basis van het uitsluitend deterministische Sidetree-protocol, waarvoor geen speciale tokens, vertrouwde validators of andere consensusmechanismen vereist zijn; de lineaire voortgang van de tijdketen van Bitcoin is alles wat nodig is voor de werking ervan. We hebben een npm-pakket open source gemaakt om het werken met het ION-netwerk eenvoudig te integreren in uw apps en services. Bibliotheken omvatten het maken van een nieuwe DID, het genereren van sleutels en het ankeren van uw DID in de Bitcoin-blockchain.

3. DID User Agent/Wallet: Microsoft Authenticator App Kunnen echte mensen gedecentraliseerde identiteiten en verifieerbare referenties gebruiken. Authenticator maakt DID's, faciliteert uitgifte- en presentatieaanvragen voor verifieerbare referenties en beheert de back-up van de seed van uw DID via een versleuteld wallet-bestand.

4. Microsoft Resolver Een API die verbinding maakt met ons ION-knooppunt om DD's op te zoeken en op te lossen met behulp van de methode en het did:ion DID Document Object (DDO) te retourneren. De DDO bevat DPKI-metagegevens die zijn gekoppeld aan de DID, zoals openbare sleutels en service-eindpunten.

5. Azure Active Directory Verified Credentials Service Een uitgifte- en verificatieservice in Azure en een REST API for W3C Verifiable Credentials die zijn ondertekend met de did:ion methode . Ze stellen eigenaren van identiteiten in staat claims te genereren, te presenteren en te verifiëren. Dit vormt de basis van vertrouwen tussen gebruikers van de systemen.

Een voorbeeldscenario

Het scenario dat we gebruiken om uit te leggen hoe VC's werken, omvat:

  • Woodgrove Inc. een bedrijf.
  • Proseware, een bedrijf dat kortingen voor Woodgrove-werknemers aanbiedt.
  • Alice, een werknemer bij Woodgrove, Inc. die korting wil krijgen van Proseware

Vandaag geeft Alice een gebruikersnaam en wachtwoord op om zich aan te melden bij de netwerkomgeving van Woodgrove. Woodgrove implementeert een VC-oplossing om een beter beheerbare manier te bieden voor Alice om te bewijzen dat ze een werknemer van Woodgrove is. Proseware maakt gebruik van een VC-oplossing die compatibel is met de VC-oplossing van Woodgrove en accepteert referenties die zijn uitgegeven door Woodgrove als bewijs van werk.

De vergever van de referentie, Woodgrove Inc., maakt een openbare sleutel en een persoonlijke sleutel. De openbare sleutel wordt opgeslagen op ION. Wanneer de sleutel wordt toegevoegd aan de infrastructuur, wordt de vermelding vastgelegd in een gedecentraliseerd grootboek op basis van blockchain. De vergever geeft Alice de persoonlijke sleutel die is opgeslagen in een wallet-toepassing. Telkens als Alice de persoonlijke sleutel gebruikt, wordt de transactie geregistreerd in de wallet-toepassing.

microsoft-did-overview

Rollen in een verifieerbare referentieoplossing

Er zijn drie primaire actoren in de verifieerbare referentieoplossing. In het volgende diagram:

  • Stap 1: de gebruiker vraagt een verifieerbare referentie aan bij een vergever.
  • Stap 2: de vergever van de referentie bevestigt dat het bewijs dat de gebruiker heeft opgegeven, juist is en maakt een verifieerbare referentie die is ondertekend met hun DID en de DID van de gebruiker is het onderwerp.
  • In stap 3 ondertekent de gebruiker een verifieerbare presentatie (VP) met de DID en verzendt deze naar de verifiator. De verifier valideert vervolgens de referentie door te matchen met de openbare sleutel die in de DPKI is geplaatst.

De rollen in dit scenario zijn:

rollen in een verifieerbare referentieomgeving

verlener: de verlener is een organisatie die een uitgifteoplossing maakt die informatie aanvraagt bij een gebruiker. De informatie wordt gebruikt om de identiteit van de gebruiker te verifiëren. Woodgrove, Inc. heeft bijvoorbeeld een uitgifteoplossing waarmee ze verifieerbare referenties (VC's) kunnen maken en distribueren naar alle werknemers. De werknemer gebruikt de Authenticator-app om zich aan te melden met zijn gebruikersnaam en wachtwoord, waardoor een id-token wordt door geven aan de verlenende service. Zodra Woodgrove, Inc. het verzonden id-token valideert, maakt de uitgifteoplossing een VC die claims over de werknemer bevat en is ondertekend met Woodgrove, Inc. DID. De werknemer heeft nu een verifieerbare referentie die is ondertekend door de werkgever, waaronder de werknemers hebben gedaan zoals het onderwerp DEED.

gebruiker : de gebruiker is de persoon of entiteit die een VC aanvraagt. Alice is bijvoorbeeld een nieuwe werknemer van Woodgrove, Inc. en heeft eerder haar verifieerbare referentie voor een bewijs van dienstbestelling uitgegeven. Als Alice bewijs van dienst moet leveren om korting te krijgen op Proseware, kan ze toegang verlenen tot de referenties in haar Authenticator-app door een verifieerbare presentatie te ondertekenen die aantoont dat Alice de eigenaar van de DID is. Proseware kan valideren dat de referentie is uitgegeven door Woodgrove, Inc. en Alice de eigenaar van de referentie is.

verifier: de verifieerster is een bedrijf of entiteit die claims moet verifiëren van een of meer vergevers die ze vertrouwen. Proseware vertrouwt bijvoorbeeld Woodgrove, Inc. doet een passende taak voor het verifiëren van de identiteit van hun werknemers en het uitgeven van geldige en geldige VC's. Wanneer Alice de apparatuur probeert te bestellen die ze nodig heeft voor haar taak, gebruikt Proseware open standaarden zoals SIOP en Presentation Exchange om referenties aan te vragen bij de gebruiker die aan bewijzen dat ze een werknemer zijn van Woodgrove, Inc. Proseware kan bijvoorbeeld Alice een koppeling geven naar een website met een QR-code die ze scant met haar telefooncamera. Hiermee wordt de aanvraag voor een specifieke VC geïnitieerd, die Authenticator analyseert en Alice de mogelijkheid geeft om de aanvraag goed te keuren om haar dienstverband bij Proseware te bewijzen. Proseware kan de verifieerbare referentieservice-API of SDK gebruiken om de echtheid van de verifieerbare presentatie te controleren. Op basis van de informatie van Alice geven ze Alice de korting. Als andere bedrijven en organisaties weten dat Woodgrove, Inc. VC's aan hun werknemers uitbesteedt, kunnen ze ook een verifieroplossing maken en de verifieerbare referentie van Woodgrove, Inc. gebruiken om speciale aanbiedingen te bieden die zijn gereserveerd voor werknemers van Woodgrove, Inc.

Volgende stappen

Nu u weet wat DID's en verifieerbare referenties zijn, kunt u ze zelf proberen door ons aan de slag-artikel of een van onze artikelen te volgen met meer informatie over verifieerbare referentieconcepten.