Introduktion till Azure Active Directory verifierbara autentiseringsuppgifter (förhandsversion)

Våra digitala och fysiska liv är allt mer kopplade till de appar, tjänster och enheter som vi använder för att få åtkomst till en omfattande uppsättning upplevelser. Med den här digitala omvandlingen kan vi interagera med hundratals företag och tusentals andra användare på sätt som tidigare var ofattbara.

Identitetsdata har dock alltför ofta exponerats i säkerhetsöverträdelser. Dessa överträdelser påverkar vårt sociala, professionella och ekonomiska liv. Microsoft anser att det finns ett bättre sätt. Varje person har rätt till en identitet som de äger och kontrollerar, en som på ett säkert sätt lagrar delar av sin digitala identitet och bevarar sekretess. Den här introduktionen förklarar hur vi går samman med en mångfaldig community för att skapa en öppen, tillförlitlig, samverkande och standardbaserad DID-lösning (Decentralized Identity) för individer och organisationer.

Varför vi behöver decentraliserad identitet

Idag använder vi vår digitala identitet på arbetet, hemma och i alla appar, tjänster och enheter som vi använder. Den består av allt vi säger, gör och upplever i vårt liv – att köpa biljetter för ett evenemang, checka in på ett hotell eller till och med beställa lunch. För närvarande ägs och kontrolleras vår identitet och alla våra digitala interaktioner av andra parter, varav vissa vi inte ens är medvetna om.

I allmänhet beviljar användare medgivande till flera appar och enheter. Den här metoden kräver en hög grad av härdning på användarens sida för att spåra vem som har åtkomst till vilken information. För att kunna samarbeta med konsumenter och partner på företagsnivå krävs en högnivåorkestrering för att på ett säkert sätt utbyta data på ett sätt som upprätthåller sekretess och säkerhet för alla inblandade.

Vi tror att ett standardbaserat decentraliserade identitetssystem kan låsa upp en ny uppsättning upplevelser som ger användare och organisationer större kontroll över sina data och ger högre förtroende och säkerhet för appar, enheter och tjänstleverantörer.

Lead med öppna standarder

Vi strävar efter att samarbeta med kunder, partner och communityn för att få tillgång till nästa generation av decentraliserade identitetsbaserade upplevelser, och vi är glada över att kunna samarbeta med de personer och organisationer som gör fantastiska bidrag i det här området. Om DID-ekosystemet ska växa måste standarder, tekniska komponenter och kodtillgänglighet vara öppen källkod och tillgänglig för alla.

Microsoft samarbetar aktivt med medlemmar i DIF (Decentralized Identity Foundation), W3C Credentials Community Group och den bredare identitets-communityn. Vi har arbetat med dessa grupper för att identifiera och utveckla kritiska standarder, och följande standarder har implementerats i våra tjänster.

• Decentraliserade W3C-identifierare
• W3C-verifierbara autentiseringsuppgifter
• DIF-sidoträd
• DIF-välkänd DID-konfiguration
• DIF DID-SIOP
• DIF-Exchange

Vad är DID:er?

Innan vi kan förstå DID:er hjälper det att jämföra dem med aktuella identitetssystem. E-postadresser och sociala nätverks-IP-adresser är användarvänliga alias för samarbete, men är nu överbelastade för att fungera som kontrollpunkter för dataåtkomst i många scenarier utöver samarbete. Detta skapar ett potentiellt problem eftersom externa parter när som helst kan ta bort åtkomsten till dessa ID:er.

Decentraliserade identifierare (DID: er) skiljer sig åt. DID:er är användargenererade, egenägda, globalt unika identifierare som är rotade i decentraliserade system som ION. De har unika egenskaper, t.ex. större säkerhet för oföränderlighet, manipulationsresistens och manipulering. Dessa attribut är kritiska för alla ID-system som är avsedda att ge självägarskap och användarkontroll.

Microsofts verifierbara autentiseringslösning använder decentraliserade autentiseringsuppgifter (DID: er) för att kryptografiskt signera som bevis på att en förlitande part (verifierare) attesterar information som visar att de är ägare till en verifierbar autentiseringsuppgifterna. En grundläggande förståelse av DID:er rekommenderas för alla som skapar en verifierbar lösning för autentiseringsuppgifter som baseras på Microsofts erbjudande.

Vad är verifierbara autentiseringsuppgifter?

Vi använder ID:er i vårt dagliga liv. Vi har drivrutiner som vi använder som bevis på vår förmåga att driva en bil. Universitet utfärdar intyg som bevisar att vi har uppnått en utbildningsnivå. Vi använder pass för att bevisa vem vi är för myndigheter när vi anländer till andra länder. Datamodellen beskriver hur vi kan hantera dessa typer av scenarier när vi arbetar via Internet, men på ett säkert sätt som respekterar användarnas integritet. Du kan få ytterligare information i Datamodell 1.0 för verifierbara autentiseringsuppgifter.

I korthet är verifierbara autentiseringsuppgifter dataobjekt som består av anspråk som görs av utfärdaren och som betecknar information om ett ämne. Dessa anspråk identifieras av schemat och inkluderar DID-utfärdaren och ämnet. Utfärdarens DID skapar en digital signatur som bevis på att de intygar den här informationen.

Hur fungerar decentraliserade identiteter?

Vi behöver en ny form av identitet. Vi behöver en identitet som för samman tekniker och standarder för att leverera viktiga identitetsattribut som självägarskap och motståndskraft mot ägande. Dessa funktioner är svåra att uppnå med befintliga system.

För att uppfylla dessa löften behöver vi en teknisk grund som består av sju viktiga innovationer. En viktig innovation är identifierare som ägs av användaren, en användaragent för att hantera nycklar som är associerade med sådana identifierare och krypterade, användarkontrollerade datalager.

1. W3C Decentraliserade identifierare (DIDs) ID:n som användare skapar, äger och kontrollerar oberoende av någon organisation eller myndighet. DID:er är globalt unika identifierare som är länkade till DPKI-metadata (Decentralized Public Key Infrastructure) som består av JSON-dokument som innehåller material för offentliga nycklar, autentiseringsbeskrivningar och tjänstslutpunkter.

2. Decentraliserade system: ION (Identity Overlay Network) ION är ett öppet layer 2-nätverk utan behörighet baserat på det rent deterministiska sidetree-protokollet, som inte kräver några särskilda token, betrodda validerare eller andra konsensusmekanismer. den linjära förloppet för Bitcoins tidskedja är allt som krävs för dess drift. Vi har ett npm-paket med öppen källkod som gör det enkelt att integrera ION-nätverket i dina appar och tjänster. Biblioteken omfattar att skapa en ny DID, generera nycklar och fäst DID på Bitcoin-blockkedjan.

3. DID User Agent/Wallet: Microsoft Authenticator-appen gör det möjligt för verkliga personer att använda decentraliserade identiteter och verifierbara autentiseringsuppgifter. Authenticator skapar DID:er, underlättar utfärdande- och presentationsbegäranden för verifierbara autentiseringsuppgifter och hanterar säkerhetskopieringen av DID-seed via en krypterad plånboksfil.

4. Microsoft Resolver Ett API som ansluter till vår ION-nod för att leta upp och lösa DID:er med hjälp av metoden och returnera did:ion DID Document Object (DDO). DDO innehåller DPKI-metadata som är associerade med DID, till exempel offentliga nycklar och tjänstslutpunkter.

5. Azure Active Directory Verified Credentials Service En utfärdande- och verifieringstjänst i Azure och en REST API för W3C Verifiable Credentials som signeras med metoden did:ion . De gör det möjligt för identitetsägare att generera, presentera och verifiera anspråk. Detta utgör grunden för förtroende mellan systemanvändarna.

Ett exempelscenario

Det scenario som vi använder för att förklara hur virtuella datorer fungerar omfattar:

• Woodgrove Inc. ett företag.
• Proseware, ett företag som erbjuder rabatter för Woodgrove-anställda.
• Alice är anställd på Woodgrove, Inc. som vill få rabatt från Proseware

Idag tillhandahåller Alice ett användarnamn och lösenord för att logga in på Woodgrove:s nätverksanslutna miljö. Woodgrove distribuerar en VC-lösning för att tillhandahålla ett mer hanterbart sätt för Alice att bevisa att hon är anställd hos Woodgrove. Proseware använder en VC-lösning som är kompatibel med Woodgrove-vc-lösningen och de godkänner autentiseringsuppgifter som utfärdats av Woodgrove som bevis på anställning.

Utfärdaren av autentiseringsnyckeln, Woodgrove Inc., skapar en offentlig nyckel och en privat nyckel. Den offentliga nyckeln lagras på ION. När nyckeln läggs till i infrastrukturen registreras posten i ett blockkedjebaserat decentraliserat redovisningsregister. Utfärdaren ger Alice den privata nyckeln som lagras i ett plånboksprogram. Varje gång Alice använder den privata nyckeln loggas transaktionen i plånboksprogrammet.

Roller i en verifierbar lösning för autentiseringsuppgifter

Det finns tre primära aktörer i den verifierbara autentiseringslösningen. I följande diagram:

• Steg 1: Användaren begär en verifierbar autentiseringsförfrågan från en utfärdare.
• Steg 2 , utfärdaren av de autentiseringsuppgifter som intygar att det bevis som användaren har angett är korrekt och skapar en verifierbar autentiseringsidentifiering som signerats med användarens DID och användarens DID är ämnet.
• I steg 3 signerar användaren en verifierbar presentation (VP) med sin DID och skickar till verifieraren. Verifieraren verifierar sedan autentiseringsnyckeln genom att matcha med den offentliga nyckeln som placerats i DPKI:n.

Rollerna i det här scenariot är:

issuer – Utfärdaren är en organisation som skapar en utfärdandelösning som begär information från en användare. Informationen används för att verifiera användarens identitet. Till exempel har Woodgrove, Inc. en utfärdandelösning som gör det möjligt för dem att skapa och distribuera verifierbara autentiseringsuppgifter (VM) till alla sina anställda. Medarbetaren använder Authenticator för att logga in med sitt användarnamn och lösenord, vilket skickar en ID-token till den utfärdande tjänsten. När Woodgrove, Inc. validerar den ID-token som skickats skapar utfärdandelösningen en VC som innehåller anspråk om den anställde och signeras med Woodgrove, Inc. DID. Medarbetaren har nu en verifierbar autentiseringsman som har signerats av sin arbetsgivare, vilket innefattar de anställda SOM GJORDE som ämnet GJORDE.

användare – Användaren är den person eller entitet som begär en VC. Alice är till exempel ny medarbetare på Woodgrove, Inc. och utfärdades tidigare sitt bevis på anställningsverifierbara autentiseringsuppgifter. När Alice behöver bevis på anställning för att få rabatt på Proseware kan hon bevilja åtkomst till autentiseringsvillkoren i sin Authenticator-app genom att signera en verifierbar presentation som bevisar att Alice är ägare till DID. Proseware kan verifiera att autentiseringssuppgifter har utfärdats av Woodgrove, Inc.och Alice är ägare till autentiseringssuppgifter.

verifier – Verifieraren är ett företag eller entitet som behöver verifiera anspråk från en eller flera utfärdare som de litar på. Proseware litar till exempel på Woodgrove, Inc. gör ett lämpligt jobb med att verifiera sina anställdas identitet och utfärda giltiga och giltiga virtuella datorer. När Alice försöker beställa den utrustning hon behöver för sitt jobb använder Proseware öppna standarder som SIOP och Presentation Exchange för att begära autentiseringsuppgifter från användaren som bevisar att de är anställda på Woodgrove, Inc. Proseware kan till exempel ge Alice en länk till en webbplats med en QR-kod som hon skannar med sin telefonkamera. Detta initierar begäran för en specifik VC, som Authenticator analyserar och ger Alice möjlighet att godkänna begäran för att bevisa sin anställning till Proseware. Proseware kan använda tjänst-API:et eller SDK:n för verifierbara autentiseringsuppgifter för att verifiera äktheten för den verifierbara presentationen. Baserat på informationen från Alice ger de Alice rabatten. Om andra företag och organisationer vet att Woodgrove, Inc. utfärdar virtuella datorer till sina anställda, kan de också skapa en verifieringslösning och använda woodgrove, Inc. verifierbara autentiseringsuppgifter för att tillhandahålla specialerbjudanden som är reserverade för Woodgrove, Inc. anställda.

Nästa steg

Nu när du känner till DID:er och verifierbara autentiseringsuppgifter kan du prova dem själv genom att följa vår kom igång-artikel eller i någon av våra artiklar med mer information om verifierbara begrepp för autentiseringsuppgifter.

• Kom igång med verifierbara autentiseringsuppgifter
• Anpassa dina autentiseringsuppgifter
• Vanliga frågor och svar om verifierbara autentiseringsuppgifter