Введение в проверяемые учетные данные Azure Active Directory (предварительная версия) | Документы Microsoft

Введение в проверяемые учетные данные Azure Active Directory (предварительная версия) Важные проверяемые учетные данные Azure Active Directory в настоящее время находятся в общедоступной предварительной версии.

Эта предварительная версия предоставляется без соглашения об уровне обслуживания и не рекомендуется для производственных рабочих нагрузок. Некоторые функции могут не поддерживаться или иметь ограниченные возможности. Дополнительные сведения см. В дополнительных условиях использования предварительных версий Microsoft Azure. Наша цифровая и физическая жизнь все больше связана с приложениями, услугами и устройствами, которые мы используем для доступа к разнообразным возможностям. Эта цифровая трансформация позволяет нам взаимодействовать с сотнями компаний и тысячами других пользователей способами, которые раньше невозможно было представить. Но идентификационные данные слишком часто оказывались уязвимыми. Эти нарушения влияют на жизнь людей, влияя на нашу социальную, профессиональную и финансовую жизнь. Microsoft считает, что есть способ лучше. Каждый человек имеет право на идентичность, которой он владеет и которая контролирует, которая надежно хранит элементы их цифровой идентичности и сохраняет конфиденциальность. В этом учебнике объясняется, как мы объединяем усилия с разнообразным сообществом для создания открытого, надежного, функционально совместимого и основанного на стандартах решения децентрализованной идентификации (DID) для отдельных лиц и организаций. Зачем нам нужна децентрализованная идентификация Сегодня мы используем нашу цифровую идентификацию на работе, дома и во всех приложениях, сервисах и устройствах, которые мы используем. Он состоит из всего, что мы говорим, делаем и переживаем в нашей жизни - покупаем билеты на мероприятие, регистрируемся в отеле или даже заказываем обед. В настоящее время наша личность и все наши цифровые взаимодействия принадлежат и контролируются другими сторонами, о некоторых из которых мы даже не подозреваем. Как правило, пользователи дают согласие на использование нескольких приложений и устройств. Такой подход требует от пользователя высокой степени бдительности, чтобы отслеживать, кто и к какой информации имеет доступ. На корпоративном уровне сотрудничество с потребителями и партнерами требует четкой оркестровки для безопасного обмена данными таким образом, чтобы обеспечить конфиденциальность и безопасность для всех участников. Мы считаем, что основанная на стандартах система децентрализованной идентификации может открыть новые возможности, которые дают пользователям и организациям больший контроль над своими данными, а также обеспечивают более высокий уровень доверия и безопасности для приложений, устройств и поставщиков услуг. Мы стремимся тесно сотрудничать с клиентами, партнерами и сообществом, чтобы открыть новое поколение возможностей децентрализованной идентификации, и мы рады сотрудничать с отдельными лицами и организациями, которые вносят невероятный вклад в эту сферу. Если экосистема DID должна расти, стандарты, технические компоненты и продукты должны быть открытыми и доступными для всех. Microsoft активно сотрудничает с членами Decentralized Identity Foundation (DIF), W3C Credentials Community Group и более широким сообществом по идентификации. Мы работали с этими группами над выявлением и разработкой важнейших стандартов, и следующие стандарты были внедрены в наши услуги. Что такое DID? Прежде чем мы сможем понять DID, полезно сравнить их с существующими системами идентификации. Адреса электронной почты и идентификаторы социальных сетей - это удобные для человека псевдонимы для совместной работы, но теперь они перегружены, чтобы служить точками управления для доступа к данным во многих сценариях, выходящих за рамки совместной работы. Это создает потенциальную проблему, потому что доступ к этим идентификаторам может быть закрыт в любое время внешними сторонами. Децентрализованные идентификаторы (DID) разные. DID - это генерируемые пользователями, собственные глобальные уникальные идентификаторы, внедренные в децентрализованные системы, такие как ION. Они обладают уникальными характеристиками, такими как повышенная гарантия неизменности, устойчивость к цензуре и уклонение от вмешательства. Эти атрибуты критически важны для любой системы идентификации, которая предназначена для обеспечения самостоятельного владения и контроля со стороны пользователя. Решение Microsoft с проверяемыми учетными данными использует децентрализованные учетные данные (DID) для криптографически подписать в качестве доказательства того, что проверяющая сторона (верификатор) подтверждает информацию, подтверждающую, что они являются владельцами проверяемых учетных данных. Поэтому всем, кто создает проверяемое решение для учетных данных на основе предложения Microsoft, рекомендуется базовое понимание децентрализованных идентификаторов. Что такое проверяемые учетные данные? Мы используем идентификаторы в повседневной жизни. У нас есть водительские права, которые мы используем в качестве доказательства нашей способности управлять автомобилем. Университеты выдают дипломы, подтверждающие, что мы достигли определенного уровня образования. Мы используем паспорта, чтобы доказать властям, кто мы такие, по прибытии в другие страны. Модель данных описывает, как мы могли бы обрабатывать эти типы сценариев при работе через Интернет, но безопасным способом, уважающим конфиденциальность пользователя. Вы можете получить дополнительную информацию в модели данных Verifiable Credentials Data Model 1.0 Короче говоря, проверяемые учетные данные - это объекты данных, состоящие из утверждений, сделанных издателем, подтверждающих информацию о субъекте. Эти утверждения идентифицируются схемой и включают DID издателя и субъекта. DID эмитента создает цифровую подпись в качестве доказательства того, что он подтверждает эту информацию. Как работает децентрализованная идентификация? Нам нужна новая форма идентичности. Нам нужна идентичность, которая объединяет технологии и стандарты, чтобы обеспечить ключевые атрибуты идентичности, такие как право собственности и сопротивление цензуре. Эти возможности сложно реализовать с помощью существующих систем. Чтобы выполнить эти обещания, нам нужна техническая база, состоящая из семи ключевых инноваций. Одним из ключевых нововведений являются идентификаторы, принадлежащие пользователю, пользовательский агент для управления ключами, связанными с такими идентификаторами, и зашифрованные, контролируемые пользователем хранилища данных. 1. Децентрализованные идентификаторы (DID) W3C. Идентификаторы, которые пользователи создают, владеют и контролируют независимо от какой-либо организации или правительства. DID - это глобальные уникальные идентификаторы, связанные с метаданными децентрализованной инфраструктуры открытых ключей (DPKI), состоящими из документов JSON, которые содержат материал открытого ключа, дескрипторы аутентификации и конечные точки служб. 2. Децентрализованная система: ION (Identity Overlay Network) ION - это открытая сеть уровня 2 без прав доступа, основанная на чисто детерминированном протоколе Sidetree, который не требует специальных токенов, доверенных валидаторов или других механизмов консенсуса; линейная прогрессия временной цепочки Биткойна - это все, что требуется для его работы. Мы создали пакет npm с открытым исходным кодом, чтобы упростить интеграцию работы с сетью ION в ваши приложения и сервисы. Библиотеки включают создание нового DID, генерацию ключей и привязку вашего DID к блокчейну Биткойн. 3. Пользовательский агент / кошелек DID: приложение Microsoft Authenticator позволяет реальным людям использовать децентрализованные удостоверения и проверяемые учетные данные. Authenticator создает идентификаторы DID, облегчает выдачу и представление запросов для проверяемых учетных данных и управляет резервным копированием исходных данных вашего DID через зашифрованный файл кошелька. 4. Microsoft Resolver. API, который подключается к нашему узлу ION для поиска и разрешения DID с помощью метода did: ion и возврата объекта документа DID (DDO). DDO включает метаданные DPKI, связанные с DID, такие как открытые ключи и конечные точки служб. 5. Служба проверенных учетных данных Azure Active Directory. API выдачи и проверки и SDK с открытым исходным кодом для проверяемых учетных данных W3C, подписанных с помощью метода did: ion. Они позволяют владельцам удостоверений создавать, представлять и проверять утверждения. Это формирует основу доверия между пользователями систем. Пример сценария Сценарий, который мы используем для объяснения работы венчурных капиталистов, включает: Сегодня Алиса предоставляет имя пользователя и пароль для входа в сетевую среду Woodgrove. Woodgrove развертывает решение VC, чтобы предоставить Алисе более управляемый способ доказать, что она является сотрудником Woodgrove. Proseware использует решение VC, совместимое с решением VC Woodgrove, и они принимают учетные данные, выданные Woodgrove, в качестве подтверждения занятости. Издатель учетных данных Woodgrove Inc. создает открытый и закрытый ключи. В открытый ключ хранится на ION. Когда ключ добавляется в инфраструктуру, запись записывается в децентрализованный реестр на основе блокчейна. Эмитент предоставляет Алисе закрытый ключ, который хранится в приложении кошелька. Каждый раз, когда Алиса успешно использует закрытый ключ, транзакция регистрируется в приложении кошелька. Роли в проверяемом решении для учетных данных В проверяемом решении для учетных данных есть три основных участника. На следующей диаграмме: Роли в этом сценарии: Издатель - Издатель - это организация, которая создает решение для выдачи, запрашивая информацию у пользователя. Информация используется для проверки личности пользователя. Например, у Woodgrove, Inc. есть решение для выдачи, которое позволяет им создавать и распространять проверяемые учетные данные (VC) среди всех своих сотрудников. Сотрудник использует приложение Authenticator для входа в систему со своим именем пользователя и паролем, которое передает токен идентификатора в службу выдачи. После того, как Woodgrove, Inc. проверит отправленный токен идентификатора, решение для выдачи создает виртуальный канал, который включает утверждения о сотруднике и подписывается DID Woodgrove, Inc. Теперь у сотрудника есть проверяемые учетные данные, подписанные его работодателем, которые включают DID сотрудников в качестве DID субъекта. user - пользователь - это физическое или юридическое лицо, запрашивающее VC. Например, Алиса является новым сотрудником Woodgrove, Inc., и ей ранее выдавали подтверждающие документы, подтверждающие трудоустройство. Когда Алисе необходимо предоставить подтверждение занятости, чтобы получить скидку в Proseware, она может предоставить доступ к учетным данным в своем приложении Authenticator, подписав поддающуюся проверке презентацию, подтверждающую, что Алиса является владельцем DID. Proseware может подтвердить, что учетные данные были выданы Woodgrove, Inc., и Алиса является владельцем учетных данных. верификатор - верификатор - это компания или организация, которой необходимо проверить утверждения одного или нескольких эмитентов, которым они доверяют. Например, Proseware полагается, что Woodgrove, Inc. выполняет надлежащую работу по проверке личности своих сотрудников и выдаче подлинных и действительных сертификатов VC. Когда Алиса пытается заказать оборудование, необходимое для ее работы, Proseware будет использовать открытые стандарты, такие как SIOP и Presentation Exchange, для запроса учетных данных у пользователя, подтверждающего, что он является сотрудником Woodgrove, Inc. Например, Proseware может предоставить Алисе ссылку на веб-сайт с QR-кодом, который она сканирует камерой своего телефона. Это инициирует запрос на конкретный виртуальный канал, который Authenticator проанализирует и даст Алисе возможность утвердить запрос на подтверждение своей занятости в Proseware. Proseware может использовать API или SDK службы проверяемых учетных данных для проверки подлинности проверяемой презентации. На основании информации, предоставленной Алисой, они предоставляют Алисе скидку. Если другие компании и организации знают, что Woodgrove, Inc. выдает VC своим сотрудникам, они также могут создать решение для проверки и использовать проверяемые учетные данные Woodgrove, Inc. для предоставления специальных предложений, предназначенных для сотрудников Woodgrove, Inc.. Дальнейшие действия Теперь, когда вы знаете о DID и проверяемых учетных данных, попробуйте их сами, прочитав нашу статью «Начало работы» или одну из наших статей, в которых подробно описаны концепции проверяемых учетных данных.
RELATED ARTICLES