Общие сведения о службе "Проверенный идентификатор Microsoft Entra"
В современном мире наши цифровые и физические жизни все чаще переплетаются с приложениями, службами и устройствами, которые мы используем. Эта цифровая революция открыла мир возможностей, позволяя нам связаться с бесчисленными компаниями и отдельными лицами, которые когда-то невообразимы.
Это повышает уровень подключения, что повышает риск кражи удостоверений и нарушений данных. Эти нарушения могут иметь разрушительное воздействие на нашу личную и профессиональную жизнь. Но есть надежда. Корпорация Майкрософт работает с различным сообществом, чтобы создать решение децентрализованного удостоверения, которое позволяет отдельным лицам контролировать свои цифровые удостоверения, предоставляя безопасный и частный способ управления данными удостоверений без использования централизованных органов или посредников.
Почему нам нужна децентрализованная идентификация
Мы пользуемся своим цифровым удостоверением на работе, дома и в каждом приложении, службе и устройстве, которое мы используем. Наша цифровая личность состоит из всего, что мы делаем каждый день: покупки билетов на мероприятие, заезда в отель и даже заказа обеда. В настоящее время наша личность и все наши цифровые взаимодействия принадлежат и контролируются другими сторонами, в некоторых случаях даже без наших знаний.
Каждый день пользователи предоставляют приложениям и устройствам доступ к их данным. Для них потребуется много усилий для отслеживания того, кто имеет доступ к каким фрагментам информации. На корпоративном уровне для совместной работы с потребителями и партнерами требуется сложная оркестрация для безопасного обмена данными с сохранением конфиденциальности.
Мы считаем, что система децентрализованных удостоверений, основанная на стандартах, предоставит нам новые возможности, с помощью которых пользователи и организации смогут лучше контролировать свои данные, а также предоставлять более высокий уровень доверия и безопасности для приложений, устройств и поставщиков услуг.
Развитие с открытыми стандартами
Мы стремимся тесно сотрудничать с клиентами, партнерами и сообществом, чтобы разблокировать следующее поколение децентрализованных удостоверений на основе опыта, и мы рады сотрудничать с отдельными лицами и организациями, которые вносят невероятный вклад в это пространство.
Децентрализованные идентификаторы (DID) — это новый тип идентификатора, который позволяет проверять, децентрализованное цифровое удостоверение. Для развития системы децентрализованных удостоверений необходимо, чтобы стандарты, технические компоненты и их открытый код были доступны всем.
Корпорация Майкрософт активно взаимодействует с членами организации Decentralized Identity Foundation (DIF), группой W3C Credentials Community Group и многими другими компаниями, работающими в этой сфере. Вместе мы определяем и разрабатываем наиболее важные стандарты. В наших службах реализованы приведенные стандарты.
- W3C Decentralized Identifiers
- W3C Verifiable Credentials
- DIF Sidetree
- DIF Well Known DID Configuration
- DIF DID-SIOP
- DIF Presentation Exchange
Что такое децентрализованные удостоверения?
Прежде чем мы сможем понять идентификаторы DID, он помогает сравнить их с другими системами удостоверений. Адреса электронной почты и идентификаторы социальных сетей — это понятные для совместной работы псевдонимы, но в настоящее время перегружены для использования в качестве контрольных точек доступа к данным во многих сценариях за пределами совместной работы. Это создает потенциальную проблему, так как доступ к этим идентификаторам может быть удален в любое время.
Децентрализованные идентификаторы (DID) работают иначе. Идентификаторы DID создаются пользователем, самостоятельно, глобально уникальными идентификаторами, корневыми в децентрализованных системах доверия. Они более надежные, не подвержены цензуре и стороннему вмешательству. Эти атрибуты критически важны для любой системы идентификаторов, предназначенной для обеспечения самостоятельного владения и управления пользователями.
Решение корпорации Майкрософт для проверяемых удостоверений использует децентрализованные удостоверения (DID) для создания криптографических подписей, с помощью которых проверяющая сторона доказывает свое владение проверяемым удостоверением. Всем, кто хочет создать решение с использованием проверяемых удостоверений на основе предложения Майкрософт, рекомендуется ознакомиться с принципами работы децентрализованных удостоверений.
Что такое проверяемое удостоверение?
Мы используем документы, подтверждающие личность, каждый день. Водительские права подтверждают нашу способность водить автомобиль. Университеты выдают дипломы, которые подтверждают достижение уровня образования. Мы используем паспорта, чтобы доказать, кто мы в власти, как мы прибываем в другие страны или регионы. Эта модель данных описывает, как выполнять эти действия через Интернет, обеспечивая конфиденциальность и безопасность данных пользователей. Дополнительные сведения см. в статье Модель данных проверяемых удостоверений 1.0.
Вкратце, проверяемые учетные данные — это объекты данных, состоящие из утверждений о каком-либо объекте, предоставленных издателем данных. Эти утверждения идентифицируются схемой и включают в себя DID издателя и объекта. DID издателя создает цифровую подпись в качестве доказательства того, что издатель подтверждает эту информацию.
Как работают децентрализованные удостоверения?
Нам нужна новая форма удостоверения. Форма удостоверения, которая объединяет в себе передовые технологии и стандарты и обеспечивает самостоятельность владения данными и сопротивление цензуре. Этого сложно добиться, используя существующие системы.
Чтобы превратить эту идею в реальность, нам нужна новая техническая база, состоящая из семи нововведений. Одно из главных нововведений — система, состоящая из идентификаторов, которые принадлежат пользователю, пользовательского агента для управления ключами, связанными с этими идентификаторами, и зашифрованных хранилищ данных под управлением пользователя.
1. Децентрализованные идентификаторы W3C (DID) Эти идентификаторы создаются и управляются пользователями. Пользователи владеют ими независимо от любых от организаций и правительств. DID — это глобально уникальные идентификаторы, связанные с метаданными децентрализованной инфраструктуры открытых ключей (DPKI), состоящие из документов JSON, которые содержат материал открытых ключей, дескрипторы аутентификации и конечные точки служб.
2. Система доверия. Чтобы обеспечить возможность разрешать документы DID, обычно они записываются в некоторую базовую сеть, которая выполняет роль системы доверия. Корпорация Майкрософт в настоящее время поддерживает систему доверия DID:Web. DID:Web — это модель на основе разрешений, которая позволяет доверять с помощью существующей репутации веб-домена. DID:Web находится в состоянии поддержки "Общий доступный".
3. Агент пользователя или кошелек DID: приложение Microsoft Authenticator. Позволяет людям использовать децентрализованные и проверяемые удостоверения. Authenticator создает DID, обеспечивает выпуск и запросы предоставления проверяемых удостоверений и управляет резервным копированием начального значения DID через зашифрованный файл-кошелек.
4. Microsoft Resolver.
API, который ищет и разрешает diD с помощью did:web
метода и возвращает объект ДОКУМЕНТА DID (DDO). DDO включает метаданные DPKI, связанные с DID, в частности открытые ключи и конечные точки служб.
5. Служба Проверенные учетные данные Microsoft Entra.
Это служба Azure и REST API, которые выдают и проверяют проверяемые удостоверения W3C, подписанные методом did:web
. Они позволяют владельцам удостоверений создавать, представлять и проверять утверждения. Это — основа доверия между пользователями систем.
Пример сценария
Участники сценария, с помощью которого мы объясняем принцип работы проверяемых удостоверений:
- Компания Woodgrove Inc.
- Proseware, компания, которая предоставляет сотрудникам Woodgrove скидки.
- Алиса, сотрудница Woodgrove, Inc., которая хочет получить скидку от Proseware.
Сегодня Алиса предоставляет имя пользователя и пароль для входа в сетевую среду Woodgrove. Woodgrove развертывает решение с использованием проверяемых удостоверений, чтобы Алисе было легче доказать, что она сотрудница Woodgrove. Proseware принимает проверяемые учетные данные, выданные Woodgrove в качестве подтверждения занятости, которые могут предоставить доступ к корпоративным скидкам в рамках своей корпоративной программы скидки.
Алиса запрашивает у Woodgrove Inc проверяемое удостоверение в качестве доказательства трудоустройства. Woodgrove Inc подтверждает личность Алисы и выдает подписанное проверяемое удостоверение, которое Алиса может принять и хранить в своем приложении цифрового кошелька. Алиса теперь может представлять это проверяемое удостоверение в качестве доказательства трудоустройства на сайте Proseware. После успешной презентации учетных данных Proseware предлагает скидку Алисе, и транзакция регистрируется в приложении кошелька Алисы, чтобы она могли отслеживать, где и кому она предоставила ей подтверждение занятости проверяемых учетных данных.
Роли в решении с проверяемыми удостоверениями
В решении проверяемых удостоверений участвуют три основных субъекта. Рассмотрим схему ниже.
- На шаге 1 пользователь запрашивает проверяемое удостоверение от издателя.
- На шаге 2 издатель учетных данных удостоверяет, что предоставленное пользователем подтверждение является точным, и создает проверяемое удостоверение, подписанное с помощью DID (для которого DID пользователя является субъектом).
- На шаге 3 пользователь подписывает проверяемую презентацию с помощью DID и отправляет ее подтверждающему. Затем подтверждающий проверяет учетные данные, сопоставляя их с открытым ключом, находящимся в DPKI.
Участники этого сценария:
Издатель
Издатель — это организация, которая создает решение выдачи, запрашивающее информацию от пользователя. Эта информация используется для проверки личности пользователя. Например, в Woodgrove, Inc. имеется решение для выдачи, которое позволяет им создавать проверяемые удостоверения (VC) для всех своих сотрудников. Сотрудник использует Authenticator для входа с использованием имени пользователя и пароля, которое передает маркер идентификации в службу выдачи. После того как Woodgrove, Inc. проверяет отправленный маркер идентификации, решение выдачи создает проверяемое удостоверение, включающее утверждения о сотруднике и подписанное Woodgrove, Inc. Теперь у сотрудника есть проверяемое удостоверение, подписанное их работодателем. DID субъекта — DID сотрудника.
User
Пользователь — пользователь или сущность, запрашивающие ПУ. Например, Алиса является новой сотрудницей Woodgrove, Inc. и ранее получила проверяемое удостоверение для подтверждения ее места работы. Чтобы подтвердить свою личность и место работы для получения скидки в Proseware, Алиса предоставляет доступ к свои учетным данным через приложение Authenticator. Для этого она подписывает проверяемое удостоверение, которое доказывает, что Алиса владеет DID. Proseware проверяет и удостоверяется, что издателем является Woodgrove, Inc., а Алиса выступает владельцем учетных данных.
Проверяющая сторона
Подтверждающий — компания или сущность, которым необходимо проверять утверждения от одного или нескольких доверенных издателей. Например, Proseware доверяет Woodgrove, Inc. и считает, что компания добросовестно выполняет проверку личности своих сотрудников и выдает подлинные и допустимые VC. Алиса хочет заказать оборудование для работы в Proseware. Proseware запрашивает учетные данные пользователя с помощью открытых стандартов, например SIOP и Presentation Exchange, чтобы убедиться, что Алиса — действительно сотрудница Woodgrove, Inc. Например, Proseware может отправить Алисе ссылку на сайт с QR-кодом, который ей нужно будет просканировать. При этом будет отправлен запрос для определенного проверяемого удостоверения. Authenticator проанализирует удостоверение и даст Алисе возможность одобрить или отклонить запрос на проверку ее места работы от Proseware. Proseware может использовать API-интерфейс службы проверяемых удостоверений или пакет SDK для проверки подлинности удостоверения. На основе информации, предоставляемой Алисой, Алисе предоставляют скидку. Если другие компании и организации знают, что Woodgrove, Inc. выдает своим сотрудникам проверяемые удостоверения, они также могут создать решения для проверки и использовать проверяемые удостоверения Woodgrove, Inc. для предоставления специальных предложений сотрудникам Woodgrove, Inc.
Примечание.
Средство проверки может использовать открытые стандарты для выполнения презентации и проверки или просто настроить собственный клиент Microsoft Entra, чтобы служба Проверенные учетные данные Microsoft Entra выполняла большую часть работы.
Следующие шаги
Теперь вы знаете, что такое DID и проверяемые удостоверения. Вы можете начать работу с ними или ознакомиться с более подробными статьями о проверяемых удостоверениях.