Übersetzungen dieser Website in andere Sprachen als Englisch werden von KI unterstützt. Wir garantieren keine Genauigkeit und haften nicht für Fehler oder Schäden, die sich aus der Nutzung der übersetzten Inhalte ergeben. Im Falle von Unstimmigkeiten oder Unklarheiten gilt die englische Version als maßgebend.
Newsroom & Medien
GLEIF-Blogbeiträge
Übersetzungen dieser Website in andere Sprachen als Englisch werden von KI unterstützt. Wir garantieren keine Genauigkeit und haften nicht für Fehler oder Schäden, die sich aus der Nutzung der übersetzten Inhalte ergeben. Im Falle von Unstimmigkeiten oder Unklarheiten gilt die englische Version als maßgebend.
Von Passwörtern zu Beweisen: Wie der vLEI Authenticator überprüfbare organisatorische Rollen etabliert
Dr. Andre Kudra, CIO der esatus AG, gibt einen technischen Einblick, wie der vLEI Authenticator, der in Zusammenarbeit mit GLEIF entwickelt wurde, die Nutzung des vLEI in Identitäts- und Zugriffsmanagementsystemen operationalisiert, um einen Login-Prozess zu ermöglichen, der automatisch die Rolle einer Person und die organisatorische Autorität validiert.
Autor: Dr. Andre Kudra, CIO der esatus AG
Datum: 2026-02-24
Ansichten:
Im digitalen Identitätsmanagement hängt die Authentifizierung immer noch von Annahmen ab. Wir überprüfen Anmeldedaten, Passwörter oder Token, die uns sagen, wer ein Benutzer vorgibt zu sein, aber selten , wen er vertritt oder mit welcher Autorität er handelt. Dr. Andre Kudra, CIO der esatus AG, erläuterte zuvor, wie der vLEI Authenticator - entwickelt in Zusammenarbeit mit GLEIF - diese Lücke schließt, indem er eine überprüfbare organisatorische Identität und delegierte Rollen einführt, die auf kryptographischen Beweisen statt auf Vertrauenserklärungen basieren. In dieser Folge geht Dr. Kudra näher auf die technischen Grundlagen des vLEI Authenticator ein.
Wenn "wer" nicht genug ist
In Unternehmenssystemen melden sich die Benutzer als Einzelpersonen an. Doch viele Prozesse, wie Compliance-Audits, Onboarding von Lieferanten, Datenzugriff und aufsichtsrechtliche Berichterstattung, erfordern Kenntnisse über die Organisation, die hinter der Person steht, und ihre formale Rolle innerhalb dieser Organisation. Darüber hinaus stützen sich herkömmliche Identitätssysteme, selbst föderierte oder SSO-basierte Systeme, auf Aussagen wie "Benutzer X gehört zu Unternehmen Y" Diese Behauptungen sind nicht kryptografisch verifizierbar und hängen von der Pflege des Verzeichnisses oder von vertraglichem Vertrauen ab.
Der verifizierbare Legal Entity Identifier (vLEI) geht auf diese Einschränkungen ein. Unter Verwendung der Authentic Chained Data Container (ACDC)-Technologie und des Key Event Receipt Infrastructure (KERI)-Protokolls ist er ein digitaler Berechtigungsnachweis für Organisationen, der von Qualifizierten vLEI-Vergabestellen (QVIs) unter der Governance von GLEIF ausgestellt wird. Es verifiziert, dass eine Organisation offiziell existiert und dass bestimmte Personen befugt sind, in ihrem Namen zu handeln. Alle Informationen sind kryptografisch gesichert, maschinenlesbar und innerhalb des vLEI-Ökosystems von GLEIF überprüfbar.
In Kombination mit einer Offiziellen Organisationsrolle (OOR) oder einer Engagement Context Role (ECR) kann ein vLEI nicht nur ausdrücken, welcher Organisation eine Person angehört, sondern auch, welche Funktion sie ausübt, z. B. als CFO, Compliance-Beauftragter oder autorisierter Vertreter.
Der vLEI Authenticator setzt dieses Konzept in realen Identitäts- und Zugriffsmanagementsystemen (IAM) um. Und so funktioniert's.
Von der Identität zur Verifizierung: Eine praktische Architektur
Der vLEI Authenticator integriert sich über sein Service Provider Interface (SPI) in Keycloak, die Open-Source IAM-Lösung. Er modifiziert Keycloak selbst nicht, sondern erweitert den Authentifizierungsfluss um einen zusätzlichen Verifikationsschritt.
Wenn ein Benutzer "Login mit vLEI" wählt, delegiert Keycloak den Prozess an SOWL, die von esatus entwickelte Orchestrierungsschicht. SOWL verbindet dezentrale Identitätskomponenten wie Wallets, Verifizierer und Emittenten mit den IAM-Infrastrukturen von Unternehmen. Sie koordiniert die Anforderung, Präsentation und Validierung von verifizierbaren Berechtigungsnachweisen und gibt dann ein signiertes Verifizierungsergebnis an Keycloak zurück, das das übliche OpenID Connect (OIDC) oder SAML-Token ausgibt.
In der Praxis läuft der größte Teil des Prozesses automatisch im Hintergrund ab. Das bedeutet, dass aus der Sicht eines Benutzers die Anmeldung mit einem vLEI so einfach ist wie die Auswahl der Option und die Bestätigung der Präsentation der Anmeldeinformationen in seiner Brieftasche.
Die folgende Sequenz beschreibt, was hinter den Kulissen geschieht:
Der Benutzer wählt "Login mit vLEI" in einer Anwendung wie Nextcloud.
Keycloak stößt den SOWL-Authentifizierungsfluss an.
SOWL interagiert mit der KERIAuth-Browsererweiterung, die die OOR- oder ECR-vLEI-Anmeldedaten des Benutzers von seiner KERIa Cloud Wallet anfordert.
Die Wallet erstellt eine verifizierbare Präsentation und die Signatur-Header, so dass die verifizierbare Präsentation an den Verifizierer gesendet werden kann.
Anschließend sendet sie die prüfbare Präsentation und die Signatur-Header über die KERIAuth-Erweiterung zurück an SOWL.
SOWL leitet die Präsentation an den vLEI-Verifizierer weiter, der die Authentizität und Integrität über die KERI-Vertrauenskette unter GLEIF-Governance überprüft.
Nach der Überprüfung bestätigt SOWL das Ergebnis an Keycloak, das die Authentifizierung abschließt und das Zugriffstoken ausgibt.
Passwörter sind in diesem Ablauf optional, und die Kompatibilität mit bestehenden Benutzernamen-Passwort-Anmeldungen bleibt erhalten. Die Anmeldung ist nur dann erfolgreich, wenn sowohl der organisatorische Berechtigungsnachweis (vLEI) als auch der Rollenberechtigungsnachweis (OOR oder ECR) gültig, kryptographisch signiert und auf einen autorisierten Aussteller zurückführbar sind. GLEIF nennt dies die vLEI-Vertrauenskette.
SOWL: Überprüfbare Berechtigungsnachweise im Unternehmensmaßstab
Wie bereits erwähnt, ist SOWL eine von esatus entwickelte Plattform für die Verwaltung überprüfbarer Berechtigungsnachweise in verschiedenen Systemen. Das Design ist auf das EU Architecture Reference Framework (ARF) abgestimmt und unterstützt Standards wie OpenID4VCI und OpenID4VP sowie Berechtigungsformate wie SD-JWT und mDoc.
Für den Anwendungsfall vLEI Authenticator bietet SOWL drei Kernfunktionen:
Orchestrierung: Koordinierung des Datenflusses zwischen Wallets, Verifizierern und IAM-Systemen bei gleichzeitiger Trennung der Vertrauensdomänen.
Standardisierung: Bereitstellung einheitlicher REST-Schnittstellen, so dass Keycloak und möglicherweise andere IAM-Systeme in Zukunft Verifizierungsergebnisse als Authentifizierungsentscheidungen verwenden können.
Compliance und Auditierbarkeit: Sicherstellung, dass jedes Verifizierungsereignis protokolliert wird, reproduzierbar ist und mit dem Governance-Modell von GLEIF übereinstimmt.
Durch die Entkopplung der Verifizierungslogik von IAM-Systemen ermöglicht SOWL bestehenden Infrastrukturen die Verwendung von überprüfbaren Berechtigungsnachweisen ohne Umgestaltung. Es erweitert die Grenzen des Vertrauens in den Bereich der dezentralen Identität, während die Kontrolle und Rückverfolgbarkeit im Unternehmen erhalten bleibt.
Kombination von Governance und Kryptographie
Im vLEI-Ökosystem arbeiten Governance und Kryptografie Hand in Hand. GLEIF definiert die Regeln und Vertrauensanker für LEIs und vLEIs, gibt sie aber nicht aus. QVIs stellen unter definierter Governance für vLEIs von Rechtsträgern sowie OOR-Berechtigungsnachweise aus, und Rechtsträger verwalten ihre eigenen ECR-Berechtigungsnachweise. Dieses mehrschichtige Vertrauensmodell verbindet Governance, Ausstellung, Überprüfung und Zugriffskontrolle in einer einzigen Kette:
GLEIF bietet globale Governance und Vertrauensanker.
QVIs und Rechtsträger stellen Berechtigungsnachweise aus.
Unabhängige Prüfer validieren sie kryptografisch.
IAM-Systeme wie Keycloak verbrauchen die Ergebnisse über SOWL.
Das Ergebnis ist, dass die Authentifizierung zu einem geregelten und überprüfbaren Prozess wird und nicht nur eine lokale Vertrauensentscheidung ist.
Was uns die Integration in die Praxis gelehrt hat
Die vLEI-basierte Authentifizierung wurde in einer produktiven Unternehmensumgebung getestet und eingesetzt, wobei die wichtigsten Erkenntnisse zutage traten:
Integration: Der SPI-Ansatz in Keycloak ermöglichte eine modulare, mühelose Integration.
Benutzererfahrung: Der Login-Flow ist intuitiv und verlässt sich nicht auf Passwörter.
Sicherheit: Custodial Wallets vereinfachen den Betrieb, erfordern aber Verfügbarkeit; Passphrasen bleiben für den Schlüsselschutz unerlässlich.
Leistung: Die Verifizierung wird innerhalb von Sekunden abgeschlossen.
Stabilität: Die browserbasierte Präsentation über KERIAuth hat sich als robust und interoperabel erwiesen.
Das Ergebnis ist ein Anmeldeprozess, der automatisch die Rolle einer Person und ihre organisatorische Autorität durch überprüfbare Anmeldedaten validiert. Organisationen nutzten den vLEI Authenticator erfolgreich, um sowohl ihre Unternehmensidentität als auch die Berechtigung ihrer Mitarbeiter, in ihrem Namen zu handeln, zu verifizieren. Der Zugriff auf Daten wurde erst nach der Verifizierung gewährt. Der Prozess dauerte nur Sekunden und ersetzte manuelle Überprüfungen, die normalerweise Stunden oder Tage dauern.
Während der Einsatz innerhalb des GLEIF-Ökosystems zeigt, dass die überprüfbare Authentifizierung für den realen Einsatz bereit ist, besteht die nächste Herausforderung in der Interoperabilität. Die künftige Arbeit konzentriert sich auf die Integration des Authenticators in wallet-basierte Identitätssysteme wie die European Digital Identity (EUDI) Business Wallet. Obwohl KERI/ACDC und SD-JWT VC auf unterschiedlichen Grundlagen beruhen, haben beide ein gemeinsames Prinzip: verteiltes Vertrauen, das durch Kryptographie verifiziert wird. Eine Überbrückung dieser Architekturen würde das IAM von Unternehmen mit der europäischen Infrastruktur für digitale Identität verbinden und "Vertrauen" zu einer gemeinsamen operativen Ebene machen, statt zu einer Annahme.
Vom Einloggen zum Aufbau von Vertrauen
Der vLEI Authenticator zeigt, wie organisatorische Identität und delegierte Rollen in Unternehmenssysteme eingebettet werden können, ohne die bestehenden Architekturen zu stören. Durch die Kombination von GLEIFs Governance, überprüfbaren Berechtigungsnachweisen und SOWLs Orchestrierung wird Authentifizierung durch Design überprüfbar, kryptographisch nachweisbar, auditierbar und richtliniengesteuert.
Dies weist auf eine Zukunft hin, in der der Unternehmenszugang nicht auf gemeinsamen Geheimnissen, sondern auf einer gemeinsamen, überprüfbaren Wahrheit über Organisationen und Sektoren hinweg beruht.
Falls Sie einen Blogbeitrag kommentieren möchten, besuchen Sie zum Posten Ihres Kommentars bitte die Blog-Funktion auf der englischsprachigen GLEIF-Website. Bitte identifizieren Sie sich mit Ihrem Vor- und Nachnamen. Ihr Name erscheint neben Ihrem Kommentar. Die E-Mail-Adresse wird nicht veröffentlicht. Bitte beachten Sie, dass Sie sich durch Zugriff auf oder Beiträge zum Diskussionsforum verpflichten, die Bedingungen der GLEIF-Blogging-Richtlinie einzuhalten. Lesen Sie sich diese daher sorgfältig durch.
Dr. Andre Kudra ist CIO der esatus AG. Er ist international als eine der führenden Persönlichkeiten im Bereich der Selbstbestimmten digitalen Identität anerkannt. Er gestaltet aktiv Standardisierungs- und Governance-Gremien, darunter IDunion, Trust over IP und globale Initiativen wie vLEI. Er verbindet fundiertes technisches Fachwissen mit einem strategischen Verständnis der rechtlichen Rahmenbedingungen. Als Unternehmer und Technologieführer treibt er seit Jahren die Entwicklung von Ökosystemen für vertrauenswürdige digitale Identitäten voran.
