Doğrulanabilir Azure Active Directory Bilgilerine Giriş (önizleme)

Dijital ve fiziksel yaşamlarımız, zengin bir deneyim kümesine erişmek için her geçen gün daha fazla uygulama, hizmet ve cihazla bağlantılı hale geldi. Bu dijital dönüşüm, yüzlerce şirket ve diğer binlerce kullanıcıyla önceden hayal edilemeyecek şekilde etkileşim kurmamızı sağlar.

Ancak kimlik verileri çok sık güvenlik ihlallerine maruz kaldı. Bu ihlaller sosyal, profesyonel ve finansal yaşamlarımızı etkiler. Microsoft daha iyi bir yol olduğuna inanıyor. Her kişinin sahip olduğu ve denetimine sahip olduğu, dijital kimlik öğelerini güvenli bir şekilde depolar ve gizliliği koruyan bir kimliğe hakkı vardır. Bu temel bilgide, bireyler ve kuruluşlar için açık, güvenilir, birlikte çalışabilir ve standartlara dayalı Merkezi Olmayan Kimlik (DID) çözümü oluşturmak için çeşitli topluluklarla nasıl el ele atıflarımız açıklanır.

Neden Merkezi Olmayan Kimliğe ihtiyacımız var?

Bugün dijital kimliğimizi iş yerinde, evde ve tüm uygulama, hizmet ve cihazlarda kullanıyoruz. Bu, hayatlarımız içinde yer alan, bir etkinlik için bilet satın alma, bir otel kontrol etmek, hatta öğle yemeği sipariş etmek gibi her şeyden meydana geliyor. Şu anda kimliğimiz ve tüm dijital etkileşimlerimiz, bazılarının farkında bile olmadığınız diğer taraflara ait ve denetlenmektedir.

Kullanıcılar genellikle çeşitli uygulamalara ve cihazlara onay verir. Bu yaklaşım, kullanıcının hangi bilgilere erişimi olduğunu izlemek için yüksek düzeyde imtiyaz gerektirir. Kurumsal alanda, tüketiciler ve iş ortakları ile işbirliği yapmak için, verileri tüm ilgililer için gizlilik ve güvenliği sürdürecek şekilde güvenli bir şekilde değişim yapmak için yüksek düzeyde düzenleme gerekir.

Standartlara dayalı Merkezi Olmayan Kimlik sisteminin, kullanıcılara ve kuruluşlara verileri üzerinde daha fazla denetime sahip olması ve uygulamalar, cihazlar ve hizmet sağlayıcıları için daha yüksek güven ve güvenlik sunan yeni bir deneyim kümesine sahip olduğunu inanıyoruz.

Açık standartlarla müşteri adayı

Yeni nesil Merkezi Olmayan Kimlik tabanlı deneyimlerin kilidini açmak için müşterilerle, iş ortaklarıyla ve toplulukla yakın bir çalışma içinde çalışıyoruz ve bu alanda inanılmaz katkılar yapan bireylerle ve kuruluşlarla iş ortaklarıyla çalışma heyecanı içindeyız. DID ekosisteminin büyümesi için standartlar, teknik bileşenler ve kod teslim edilebilir bileşenleri açık kaynak ve herkes tarafından erişilebilir olmalıdır.

Microsoft, Merkezi Olmayan Kimlik Temeli (DIF), W3C Kimlik Bilgileri Community Grubu ve daha geniş kimlik topluluğu üyeleriyle etkin bir şekilde işbirliği içindedir. Kritik standartları belirlemek ve geliştirmek için bu gruplarla birlikte çalıştık ve hizmetlerimizde aşağıdaki standartlar uygulanmıştır.

• W3C Merkezi Olmayan Tanımlayıcılar
• W3C Doğrulanabilir Kimlik Bilgileri
• DIF Kenar Ağacı
• DIF İyi Bilinen DID Yapılandırması
• DIF DID-SIOP
• DIF Sunu Exchange

DID nedir?

DD'leri anlamadan önce bunları geçerli kimlik sistemleriyle karşılaştırmak yardımcı olur. E-posta adresleri ve sosyal ağ kimlikleri, işbirliği için insan dostu diğer adlardır, ancak artık işbirliğinin ötesinde birçok senaryoda veri erişimi için denetim noktaları olarak görev yapacak şekilde aşırı yüklenmiştir. Bu kimliklere erişim, dış taraflar tarafından herhangi bir zamanda kaldırılalana kadar olası bir sorun oluşturur.

Merkezi Olmayan Tanımlayıcılar (DDD) farklıdır. DID'ler, ION gibi merkezi olmayan sistemlerde kök erişime sahip kullanıcı tarafından oluşturulan, kendi kendine ait, genel olarak benzersiz tanımlayıcılardır. Sabitlik, oyunluk dayanıklılığı ve kurcalama kaçışı gibi benzersiz özelliklere sahiptirler. Bu öznitelikler, kendi kendine sahiplik ve kullanıcı denetimi sağlamayı amaçlanan tüm kimlik sistemleri için kritik öneme sahiptir.

Microsoft'un doğrulanabilir kimlik bilgileri çözümü, bağlı olan bir taraf (doğrulayıcı) tarafından doğrulanabilir kimlik bilgilerinin sahibi olduğunu kanıtlayan bir kanıt olarak şifrelemeyle imzalamak için merkezi olmayan kimlik bilgilerini (DD) kullanır. DiD'ler hakkında temel bilgiler, Microsoft teklifine göre doğrulanabilir bir kimlik bilgisi çözümü oluşturmak isteyen herkes için önerilir.

Doğrulanabilir Kimlik Bilgileri nedir?

Kimlikleri günlük yaşamda kullanıyoruz. Araba kullanma becerimizin kanıtı olarak kullanabileceğimiz sürücü lisanslarımız var. Üniversiteler bir eğitim düzeyine sahip olduğunu kanıtlayacak üniversiteler çıkar. Diğer ülkelere varan yetkililerin kim olduğunu kanıtlamak için passport'ları kullanıyoruz. Veri modeli, internet üzerinden çalışırken ancak kullanıcıların gizliliğine uygun güvenli bir şekilde bu tür senaryoları nasıl işleyeceğiz? Doğrulanabilir Kimlik Bilgileri Veri Modeli 1.0'da ek bilgi edinebilirsiniz.

Kısaca, doğrulanabilir kimlik bilgileri, bir konu hakkında bilgi onay eden bir talepten oluşan veri nesneleridir. Bu talepler şemayla tanımlanır ve sorunu ya da konuyu IÇEREN DID'i içerir. Sertifikayı oluşturan DID, bu bilgilere kanıt olarak bir dijital imza oluşturur.

Merkezi Olmayan Kimlik nasıl çalışır?

Yeni bir kimlik biçimine ihtiyacımız var. Kendi kendine sahip olma ve direnç gibi temel kimlik özniteliklerini sunmak için teknolojileri ve standartları bir araya getiren bir kimliğe ihtiyacımız var. Bu özellikleri mevcut sistemleri kullanarak elde etmek zordur.

Bu vaatleri yerine getirmemiz için yedi önemli yenilikten yapılmış bir teknik temele ihtiyacımız var. Önemli yeniliklerden biri kullanıcının sahip olduğu tanımlayıcılar, bu tanımlayıcılarla ilişkili anahtarları yönetmek için bir kullanıcı aracısı ve şifrelenmiş, kullanıcı denetimli veri depolarıdır.

1. W3C Merkezi Olmayan Tanımlayıcılar (DDD) kimlikleri kullanıcıların herhangi bir kuruluş veya kamudan bağımsız olarak oluşturması, sahip olduğu ve denetlemesi. DID'ler, ortak anahtar malzemelerini, kimlik doğrulama tanımlayıcılarını ve hizmet uç noktalarını içeren JSON belgelerden oluşan Merkezi Olmayan Ortak Anahtar Altyapısı (DPKI) meta verilerine bağlı genel olarak benzersiz tanımlayıcılardır.

2. Merkezi olmayan sistem: ION (Kimlik Katmanı Ağı) ION özel belirteçler, güvenilir doğrulayıcılar veya diğer konsensüs mekanizmaları gerektirmeyecek, tamamen belirlenimci Sidetree protokolünü temel alan bir Katman 2 açık, izinsiz ağdır; Bitcoin'in zaman zincirinin doğrusal ilerlemesi, çalışması için gereken tek şeydir. ION ağıyla çalışmayı uygulamalarınız ve hizmetleriniz ile kolayca tümleştirin sağlamak için açık kaynaklı bir npm paketi kullandık. Kitaplıklar yeni bir DID oluşturmayı, anahtarları oluşturmayı ve DID'nizi Bitcoin blok zincirine sabitleyi içerir.

3. DID User Agent/Cüzdan: Microsoft Authenticator Uygulaması Gerçek kişilerin merkezi olmayan kimlikleri ve Doğrulanabilir Kimlik Bilgilerini kullanmalarını sağlar. Authenticator DD'ler oluşturur, doğrulanabilir kimlik bilgileri için verme ve sunum isteklerini kolaylaştırır ve DID'nizin çekirdeğinin yedeklemesini şifrelenmiş bir cüzdan dosyası aracılığıyla yönetir.

4. Microsoft Resolver Yöntemini kullanarak DID'leri kontrol etmek ve çözümlemek ve did:ion DID Belge Nesnesi'nin (DDO) dönüşünü yapmak için ION düğümüne bağlanan bir API. DDO, ORTAK anahtarlar ve hizmet uç noktaları gibi DID ile ilişkili DPKI meta verilerini içerir.

5. Azure Active Directory Kimlik Bilgileri Hizmeti'ne giriş Azure'da bir verme ve doğrulama hizmeti ile REST API W3C Doğrulanabilir Kimlik Bilgileri için yöntemiyle imzalanan bir kimlik did:ion bilgileri. Kimlik sahiplerinin talepleri oluşturmasına, sunarak ve doğrulamasına olanak sağlar. Bu, sistemlerin kullanıcıları arasındaki güven temelini oluşturur.

Örnek senaryo

VM'lerin nasıl işle ilgili olduğunu açıklamak için şu senaryoyu kullanıruz:

• Woodgrove Inc. bir şirket.
• Woodgrove çalışanlarına indirimler sunan proseware şirketi.
• Woodgrove, Inc. çalışanı olan Alice, Proseware'den indirim almak istiyor

Bugün Alice, Woodgrove'un ağa bağlı ortamında oturum açmak için bir kullanıcı adı ve parola sağlar. Woodgrove, Alice'in Woodgrove çalışanı olduğunu kanıtlamak için daha yönetilebilir bir yol sağlamak için bir VC çözümü dağıtıyor. Proseware, Woodgrove'un VC çözümüyle uyumlu bir VC çözümü kullanıyor ve Woodgrove tarafından verilen kimlik bilgilerini çalışma kanıtı olarak kabul ediyor.

Woodgrove Inc. kimlik bilgilerini alan kişi bir ortak anahtar ve özel anahtar oluşturur. Ortak anahtar ION'da depolanır. Anahtar altyapıya eklenmiştir ve giriş blok zinciri tabanlı merkezi olmayan bir kayıt defterine kaydedilir. Veren Alice'e bir cüzdan uygulamasında depolanan özel anahtarı sağlar. Alice özel anahtarı başarıyla her kullandığında, işlem cüzdan uygulamasında günlüğe kaydedilir.

Doğrulanabilir kimlik bilgisi çözümünde roller

Doğrulanabilir kimlik bilgisi çözümünde üç temel aktör vardır. Aşağıdaki diyagramda:

• 1. Adım: Kullanıcı, bir issuer'dan doğrulanabilir bir kimlik bilgisi talep ediyor.
• 2. Adım: Kimlik bilgilerinin issuer'i, kullanıcının sağladığı kanıtın doğru olduğunu doğrular ve DID ile imzalanmış doğrulanabilir bir kimlik bilgisi oluşturur ve konu kullanıcının DID'sini oluşturur.
• 3. Adımda, kullanıcı, DID ile doğrulanabilir bir sunu (VP) imzalar ve doğrulayıcıya gönderir. Ardından doğrulayıcı, DPKI'ye yerleştirilen ortak anahtarla eşleştirerek kimlik bilgilerini doğrular.

Bu senaryonun rolleri:

issuer – Issuer, bir kullanıcıdan bilgi istenen bir verme çözümü oluşturan bir kuruluştır. Bilgiler, kullanıcının kimliğini doğrulamak için kullanılır. Örneğin Woodgrove, Inc. şirketi, tüm çalışanlarına doğrulanabilir kimlik bilgileri (VM) oluşturmalarını ve dağıtmalarını sağlayan bir verme çözümüne sahip. Çalışan, Authenticator kullanıcı adı ve parolasıyla oturum açması için Authenticator uygulamasını kullanır ve bu kimlik belirteci, verme hizmetine geçer. Woodgrove, Inc. gönderilen kimlik belirteci doğrulandıktan sonra, verme çözümü çalışanla ilgili talepleri içeren bir VC oluşturur ve Woodgrove, Inc. DID ile imzalanır. Çalışan artık işvereni tarafından imzalanan doğrulanabilir bir kimlik bilgilerine sahip ve bu kimlik bilgileri, ilgiliNIN İŞ 7.000.000 ABD İşLerinden biri olarak kabul edildi.

user– Kullanıcı, VC isteğinde bulunan kişi veya varlıktır. Örneğin, Alice Woodgrove, Inc.'nin yeni bir çalışanıdır ve daha önce iş kanıtı doğrulanabilir kimlik bilgileri verildi. Alice'in Proseware'de indirim almak için iş kanıtı sağlaması gerekirken, Alice'in DID sahibi olduğunu kanıtlayan doğrulanabilir bir sunu imzalayarak Authenticator uygulamasındaki kimlik bilgilerine erişim izni velayabilir. Proseware, Woodgrove, Inc. tarafından verilen kimlik bilgilerini doğrular ve Alice kimlik bilgilerinin sahibidir.

verifier: Doğrulayıcı, güvenen bir veya daha fazla verenden gelen talepleri doğrulaması gereken bir şirket veya varlıktır. Örneğin Proseware, Woodgrove, Inc.'e güvenerek çalışanlarının kimliğini doğrulamak ve gerçek ve geçerli VM'ler vermek için yeterli bir iş yapar. Alice işi için ihtiyacı olan ekipmanları sipariş etmeye çalıştığında Proseware, Woodgrove, Inc. çalışanı olduğunu kanıtlayan Kullanıcıdan kimlik bilgilerini talep etmek için SIOP ve Presentation Exchange gibi açık standartları kullanır. Örneğin Proseware, Alice'e telefon kamerasıyla tarar olduğu QR kodunu içeren bir web sitesine bağlantı sağlar. Bu, belirli bir VC için isteği başlatarak Authenticator Ayla'ya Proseware'e iş bulma isteğini onaylama olanağı sağlayacaktır. Proseware, doğrulanabilir sunumun orijinalliğini doğrulamak için doğrulanabilir kimlik bilgileri hizmeti API'sini veya SDK'sını kullanabilir. Alice tarafından sağlanan bilgilere dayanarak Alice'e indirimi sağlar. Diğer şirketler ve kuruluşlar Woodgrove, Inc.'in çalışanlarına sanal ağ bağlantısında olduğunu biliyorsa, bir doğrulayıcı çözümü oluşturabilir ve Woodgrove, Inc. çalışanları için ayrılmış özel teklifler sağlamak üzere Woodgrove, Inc. doğrulanabilir kimlik bilgilerini kullanabilirler.

Sonraki adımlar

DiD'ler ve doğrulanabilir kimlik bilgileri hakkında bilgi edinebilirsiniz. Artık başlama makalemizi veya doğrulanabilir kimlik bilgisi kavramları hakkında daha fazla ayrıntı sağlayan makalelerimizi takip edin.

• Kullanmaya başlayın kimlik bilgileriyle oturum açma
• Kimlik bilgilerinizi özelleştirme
• Doğrulanabilir kimlik bilgileri hakkında SSS