Partager via

Présentation de la vérification d’identité Microsoft Entra

  • Article

Dans le monde actuel, nos vies numériques et physiques sont de plus en plus entrelacées avec les applications, les services et les appareils que nous utilisons. Cette révolution numérique a ouvert un monde de possibilités, ce qui nous permet de nous connecter à d’innombrables entreprises et individus d’une manière qui étaient une fois inimaginables.

Cette connectivité accrue introduit un plus grand risque d’usurpation d’identité et de violations de données. Ces violations peuvent être dévastatrices pour notre vie personnelle et professionnelle. Microsoft collabore activement avec diverses organisations et organismes de normes pour créer une solution d’identité décentralisée qui place les individus dans le contrôle de leurs propres identités numériques. Les technologies d’identité décentralisées offrent un moyen sécurisé et privé de gérer les données d’identité sans compter sur les autorités centralisées ou les intermédiaires.

Pourquoi l’identité décentralisée est-elle nécessaire ?

Aujourd’hui, nous utilisons notre identité numérique au travail, chez nous, et dans chaque application, service et appareil dont nous nous servons. Cette identité est composée de tout ce que nous disons, faisons et expérimentons dans nos vies : acheter des billets pour un événement, s'enregistrer dans un hôtel, ou même commander le déjeuner. Actuellement, notre identité et toutes nos interactions numériques dépendent de tiers, dans certains cas, même sans notre connaissance.

Chaque jour, les utilisateurs accordent aux applications et aux appareils l’accès à leurs données. Beaucoup d’efforts seraient nécessaires pour qu’ils sachent qui a accès à quelle information. Au niveau de l’entreprise, la collaboration avec les consommateurs et les partenaires requiert une orchestration poussée pour échanger des données en toute sécurité de manière à préserver la confidentialité et la sécurité de toutes les parties impliquées.

Nous pensons qu’un système d’identité décentralisée basé sur des normes peut ouvrir la voie à de nouvelles expériences permettant aux utilisateurs et aux organisations de mieux contrôler leurs données, et offrir un degré plus élevé de confiance et de sécurité pour les applications, les appareils et les fournisseurs de services.

Prospect avec normes ouvertes

Microsoft collabore activement avec les membres de la DIF (Decentralized Identity Foundation), du W3C Credentials Community Group et de la communauté plus étendue en lien avec l’identité. Les normes suivantes sont implémentées dans nos services.

Que sont les DID ?

Avant de comprendre ce que sont les DID, il apparaît utile de les comparer aux autres systèmes d’identité. Les adresses e-mail et les identifiants de réseaux sociaux sont des pseudonymes conviviaux utilisés pour la collaboration, mais ils sont désormais surchargés et servent de points de contrôle pour l'accès aux données dans de nombreux scénarios au-delà de la collaboration. Cette situation crée un problème potentiel, car l’accès à ces ID peut être supprimé à tout moment. Les identificateurs décentralisés (DID) sont différents. Les DID sont des identificateurs globaux uniques générés par l’utilisateur et associés à une racine dans des systèmes de confiance décentralisés. Ils possèdent des caractéristiques uniques, telles qu’une meilleure garantie d’immuabilité, de résistance à la censure et d'inviolabilité. Ces attributs sont essentiels pour tout système d’identification destiné à offrir indépendance et contrôle à l’utilisateur.

La solution d’informations d’identification vérifiables de Microsoft utilise des informations d’identification décentralisées (DID) pour signer par chiffrement comme preuve qu’une partie de confiance (vérificateur) témoigne des informations montrant leur propriété d’un justificatif vérifiable. Il est recommandé de comprendre les bases des identificateurs décentralisés pour créer une solution de justificatifs vérifiables reposant sur l’offre Microsoft.

Que sont les justificatifs vérifiables ?

Nous utilisons des ID dans notre vie quotidienne. Nous avons des permis de conduire pour prouver que nous sommes capables de conduire une voiture. Les universités nous décernent des diplômes pour prouver que nous avons atteint un certain niveau d’étude. Nous utilisons des passeports pour prouver qui nous sommes aux autorités à mesure que nous arrivons à des destinations étrangères. Le modèle de données décrit la manière dont nous pourrions gérer ces types de scénarios lorsque nous utilisons Internet, mais de façon sécurisée tout en respectant la vie privée de l’utilisateur. Pour plus d’informations, consultez Modèle de données des justificatifs vérifiables 1.0.

En résumé, les justificatifs vérifiables sont des objets de données constitués de revendications formulées par l’émetteur attestant des informations sur un sujet. Le schéma identifie ces revendications. Les déclarations comprennent la DID de l’émetteur et du titulaire. Le DID de l’émetteur produit une signature numérique comme preuve de leur attestation à ces informations

Comment fonctionne l’identité décentralisée ?

Nous avons besoin d’une nouvelle forme d’identité. Nous avons besoin d’une identité capable de réunir des technologies et des normes pour fournir des attributs d’identité clés tels que l’indépendance et la résistance à la censure. Ces fonctionnalités sont difficiles à obtenir à l’aide des systèmes existants.

Pour y parvenir, il nous faut nous appuyer sur une base technique composée de sept innovations clés. L’une des principales innovations est les identificateurs appartenant à l’utilisateur, un agent utilisateur pour gérer les clés associées à ces identificateurs et les magasins de données chiffrés et contrôlés par l’utilisateur.

Diagramme d’un environnement de justificatifs vérifiables Microsoft.

1. Identificateurs décentralisés (DID) W3C. ID créés, détenus et contrôlés par les utilisateurs indépendamment de toute organisation ou de tout gouvernement. Les DID sont des identificateurs globaux uniques liés à des métadonnées DPKI (Decentralized Public Key Infrastructure) composés de documents JSON contenant des éléments de clé publique, des descripteurs d’authentification et des points de terminaison de service.

2. Système d’approbation. Pour pouvoir résoudre les documents DID, les DID sont généralement enregistrés sur un réseau sous-jacent d’un type qui représente un système d’approbation. Microsoft prend actuellement en charge le système d’approbation DID :Web. DID:Web est un modèle basé sur des autorisations qui autorise l’approbation à l’aide de la réputation existante d’un domaine web. DID:Web est dans l’état de pris en charge Disponibilité générale.

3. Agent utilisateur/Portefeuille DID : application Microsoft Authenticator. Permet aux personnes réelles d’utiliser des identités décentralisées et des justificatifs vérifiables. Microsoft Authenticator crée des DID, facilite l’émission et les demandes de présentation pour les justificatifs vérifiables et gère la sauvegarde de la valeur initiale de votre DID par le biais d’un fichier de portefeuille chiffré.

4. Outil de résolution Microsoft. API qui recherche et résout les DID à l’aide de la méthode did:web et retourne le DDO (DID Document Object). Le DDO comprend les métadonnées DPKI associées au DID telles que les clés publiques et les points de terminaison de service.

5. Service Vérification d’identité Microsoft Entra. Service d’émission et de vérification dans Azure et API REST pour Justificatifs vérifiables W3C signés avec la méthode did:web. Ils permettent aux propriétaires d’identité de générer, présenter et vérifier les revendications. Ce service constitue la base de la confiance entre les utilisateurs des systèmes.

Exemple de scénario

Le scénario que nous utilisons pour expliquer comment les justificatifs vérifiables fonctionnent :

  • Woodgrove Inc., une société.
  • Proseware, une société qui offre des remises aux employés de Woodgrove.
  • Alice, une employée de Woodgrove Inc., souhaite obtenir une remise de la part de Proseware

Actuellement, Alice fournit un nom d’utilisateur et un mot de passe pour se connecter à l’environnement réseau de Woodgrove. Woodgrove déploie une solution de crédentiel vérifiable pour offrir un moyen plus simple pour Alice de prouver son statut professionnel chez Woodgrove. Proseware accepte les justificatifs vérifiables émis par Woodgrove comme preuve d’emploi afin d’octroyer l’accès à des remises à l’entreprise dans le cadre de son programme de remises pour les entreprises.

Alice demande à Woodgrove Inc des justificatifs vérifiables de preuve d’emploi. Woodgrove Inc valide l’identité d’Alice et émet des justificatifs vérifiables signés qu’Alice peut accepter et stocker dans son application de portefeuille numérique. Alice peut maintenant présenter ces justificatifs vérifiables comme preuve d’emploi sur le site Proseware. Après une présentation réussie des informations d’identification, Alice se qualifie pour les remises Proseware. La transaction est enregistrée dans l’application de portefeuille d’Alice. Les entrées de journal aident Alice à suivre où et à qui elle a présenté sa preuve de justificatifs vérifiables d’emploi.

Diagramme d’un exemple de déploiement DID.

Rôles au sein d’une solution de justificatifs vérifiables

La solution de justificatifs vérifiables compte trois acteurs principaux. Dans le schéma suivant :

  • À l’étape 1, l’utilisateur demande des justificatifs vérifiables auprès d’un émetteur.
  • À l’étape 2, l’émetteur des justificatifs valide la preuve fournie par l’utilisateur et crée des justificatifs vérifiables signés avec le DID associé à l’utilisateur.
  • À l’étape 3, l’utilisateur signe une présentation vérifiable (VP) avec son DID et l’envoie au vérificateur. Le vérificateur valide ensuite les informations d’identification en les comparant avec la clé publique stockée dans le DPKI.

Dans ce scénario, les rôles sont les suivants :

Diagramme montrant les rôles dans un environnement de justificatifs vérifiables.

Émetteur

L’émetteur est une organisation qui crée une solution d’émission demandant des informations à un utilisateur. Ces informations sont utilisées pour vérifier l’identité de l’utilisateur. Par exemple, Woodgrove Inc. dispose d’une solution d’émission qui lui permet de créer et de distribuer des justificatifs vérifiables à l’ensemble de ses employés. L’employé utilise l’application Authenticator pour se connecter avec son nom d’utilisateur et son mot de passe, qui transmet un jeton d’ID au service émetteur. Une fois que Woodgrove Inc. valide le jeton d’ID soumis, la solution d’émission crée un justificatif vérifiable comprenant les revendications relatives à l’employé et signé à l’aide du DID Woodgrove Inc. L’employé a maintenant un justificatif vérifiable signé par l'employeur, qui inclut le DID de l’employé en tant que DID sujet.

Utilisateur

L’utilisateur est la personne ou l’entité qui demande un justificatif vérifiable (VC). Par exemple, Alice est une nouvelle employée de Woodgrove et a déjà reçu son attestation d'emploi vérifiable. Quand Alice doit fournir une preuve d’emploi pour obtenir une remise chez Proseware, elle peut accorder l’accès aux informations d’identification dans son application Authenticator en signant une présentation vérifiable qui prouve qu’Alice est le propriétaire de la DID. Proseware est en mesure de valider les justificatifs émis par Woodgrove et la possession des justificatifs vérifiables d’Alice.

Vérificateur

Le vérificateur est une société ou une entité chargée de vérifier les revendications émanant d’un ou de plusieurs émetteurs de confiance. Par exemple, Proseware fait confiance à Woodgrove Inc. pour vérifier l’identité de ses employés et émettre des justificatifs vérifiables authentiques et valides. Quand Alice tente de commander l’équipement dont elle a besoin pour son travail, Proseware utilise des normes ouvertes telles que Self-Issued fournisseur OpenID (SIOP) et Presentation Exchange pour demander des informations d’identification de l’utilisateur montrant qu’il s’agit d’un employé de Woodgrove, Inc. Par exemple, Proseware peut fournir à Alice un lien vers un site web avec un code QR qu’elle analyse avec sa caméra téléphonique. Cela initie une demande de justificatif vérifiable spécifique. Authenticator procède ensuite à l’analyse et permet à Alice d’approuver la demande prouvant son statut d’employé à Proseware. Proseware peut utiliser le kit de développement logiciel (SDK) ou l’API du service des justificatifs vérifiables pour s’assurer de l’authenticité de la présentation vérifiable. En fonction des informations fournies par Alice, elle se voit accorder une remise. Si d’autres sociétés et organisations savent que Woodgrove Inc. émet des justificatifs vérifiables à ses employés, ils peuvent également créer une solution de vérification et utiliser les justificatifs vérifiables de Woodgrove Inc. pour proposer des offres spéciales réservées à ces mêmes employés de Woodgrove Inc.

Remarque

Le vérificateur peut utiliser des normes ouvertes pour effectuer la présentation et la vérification, ou configurer son propre instance Microsoft Entra pour laisser le service Microsoft Entra Verified ID effectuer la majeure partie du travail.

Étapes suivantes

Maintenant que vous en savez plus sur les DID et les justificatifs vérifiables, expérimentez-les en suivant notre article de prise en main ou l’un des articles expliquant plus en détail les concepts liés aux justificatifs vérifiables.