Dalle password alla prova: Come l'Autenticatore vLEI stabilisce ruoli organizzativi verificabili

Andre Kudra, CIO di esatus AG, illustra come il vLEI Authenticator, sviluppato in collaborazione con GLEIF, renda operativo l'uso del vLEI nei sistemi di gestione delle identità e degli accessi per consentire un processo di login che convalidi automaticamente il ruolo e l'autorità organizzativa di una persona.

---

---

Nella gestione delle identità digitali, l'autenticazione dipende ancora da ipotesi. Verifichiamo credenziali, password o token che ci dicono chi un utente dichiara di essere, ma raramente chi rappresenta o sotto quale autorità agisce. Andre Kudra, CIO di esatus AG, ha spiegato in precedenza a come il vLEI Authenticator, sviluppato in collaborazione con GLEIF, colma questa lacuna stabilendo un'identità organizzativa verificabile e ruoli delegati, basati su prove crittografiche piuttosto che su asserzioni di fiducia. In questo approfondimento, il Dr. Kudra approfondisce le basi tecniche del vLEI Authenticator.

Quando "chi" non è sufficiente

Nei sistemi aziendali, gli utenti accedono come individui. Ma molti processi, come le verifiche di conformità, l'onboarding dei fornitori, l'accesso ai dati e i rapporti normativi, richiedono la conoscenza dell'organizzazione che sta dietro alla persona e del suo ruolo formale all'interno di essa. Inoltre, i sistemi di identità tradizionali, anche quelli federati o basati su SSO, si basano su asserzioni come "l'utente X appartiene all'azienda Y" Queste affermazioni non sono verificabili crittograficamente e dipendono dalla manutenzione delle directory o dalla fiducia contrattuale.

L'Identificativo verificabile della persona giuridica (vLEI) risponde a queste limitazioni. Utilizzando la tecnologia Authentic Chained Data Container (ACDC) e il protocollo Key Event Receipt Infrastructure (KERI), è una credenziale digitale per le organizzazioni, emessa da Emittenti qualificati di vLEI (QVI) sotto la governance di GLEIF. Verifica che un'organizzazione esista ufficialmente e che determinati individui siano autorizzati ad agire per suo conto. Tutte le informazioni sono protette crittograficamente, leggibili a macchina e verificabili all'interno dell'ecosistema vLEI di GLEIF.

Se combinata con una credenziale OOR (Ruolo organizzativo ufficiale) o ECR (Engagement Context Role), una vLEI può esprimere non solo l'organizzazione a cui una persona appartiene, ma anche la funzione che svolge, ad esempio come CFO, responsabile della conformità o rappresentante autorizzato.

Il vLEI Authenticator rende operativo questo concetto nei sistemi IAM (Identity and Access Management) del mondo reale. Ecco come funziona.

Dall'identità alla verifica: Un'architettura pratica

Il vLEI Authenticator si integra con Keycloak, la soluzione IAM open-source, tramite la sua Service Provider Interface (SPI). Non modifica Keycloak stesso, ma estende il flusso di autenticazione con un'ulteriore fase di verifica.

Quando un utente sceglie "Login with vLEI", Keycloak delega il processo a SOWL, il livello di orchestrazione sviluppato da esatus. SOWL collega componenti di identità decentralizzate come portafogli, verificatori ed emittenti con infrastrutture IAM aziendali. Coordina la richiesta, la presentazione e la convalida delle credenziali verificabili, quindi restituisce un risultato di verifica firmato a Keycloak, che emette il solito token OpenID Connect (OIDC) o SAML.

In pratica, la maggior parte del processo viene eseguito automaticamente in background. Ciò significa che, dal punto di vista dell'utente, accedere con una vLEI è semplice come selezionare l'opzione e confermare la presentazione della credenziale nel proprio portafoglio.

La sequenza seguente descrive ciò che avviene dietro le quinte:

1. L'utente seleziona "Login con vLEI" in un'applicazione come Nextcloud.
2. Keycloak attiva il flusso di autenticazione SOWL.
3. SOWL interagisce con l'estensione del browser KERIAuth, che richiede la credenziale vLEI OOR o ECR dell'utente dal suo KERIa Cloud Wallet.
4. Il wallet crea una presentazione verificabile e le intestazioni della firma, in modo che la presentazione verificabile possa essere inviata al verificatore.
5. Quindi restituisce la presentazione verificabile e le intestazioni della firma tramite l'estensione KERIAuth a SOWL.
6. SOWL inoltra la presentazione al verificatore vLEI, che ne controlla l'autenticità e l'integrità attraverso la catena di fiducia KERI sotto la governance GLEIF.
7. Una volta convalidato, SOWL conferma il risultato a Keycloak, che completa l'autenticazione e rilascia il token di accesso.

Le password sono facoltative in questo flusso e la compatibilità con i login esistenti con nome utente e password è preservata. Il login riesce solo se sia la credenziale organizzativa (vLEI) che quella di ruolo (OOR o ECR) sono valide, firmate crittograficamente e riconducibili a un emittente autorizzato. GLEIF chiama questa catena di fiducia vLEI.

SOWL: rendere le credenziali verificabili efficaci su scala aziendale

Come accennato, SOWL è un livello di piattaforma sviluppato da esatus per la gestione di credenziali verificabili in diversi sistemi. Il suo design è in linea con l'Architecture Reference Framework (ARF) dell'UE e supporta standard come OpenID4VCI e OpenID4VP, nonché formati di credenziali come SD-JWT e mDoc.

Nel caso d'uso dell'Autenticatore vLEI, SOWL fornisce tre funzionalità fondamentali:

1. Orchestrazione: coordinamento del flusso tra wallet, verificatori e sistemi IAM, mantenendo separati i domini di fiducia.
2. Standardizzazione: esposizione di interfacce REST uniformi in modo che Keycloak, e potenzialmente altri sistemi IAM in futuro, possano consumare i risultati della verifica come decisioni di autenticazione.
3. Conformità e verificabilità: garantire che ogni evento di verifica sia registrato, riproducibile e allineato al modello di governance di GLEIF.

Disaccoppiando la logica di verifica dai sistemi IAM, SOWL consente alle infrastrutture esistenti di utilizzare credenziali verificabili senza doverle riprogettare. Estende i confini della fiducia al dominio dell'identità decentralizzata, mantenendo il controllo e la tracciabilità aziendale.

Combinare governance e crittografia

Nell'ecosistema vLEI, governance e crittografia lavorano fianco a fianco. Il GLEIF definisce le regole e le ancore di fiducia per le LEI e le vLEI, ma non le emette. Le QVI emettono, nell'ambito di una governance definita, le vLEI delle persone giuridiche e le credenziali OOR, mentre le persone giuridiche gestiscono le proprie credenziali ECR. Questo modello di fiducia a più livelli collega governance, emissione, verifica e controllo dell'accesso in un'unica catena:

• GLEIF fornisce una governance globale e ancore di fiducia.
• I QVI e le persone giuridiche rilasciano le credenziali.
• I verificatori indipendenti le convalidano crittograficamente.
• I sistemi IAM come Keycloak consumano i risultati tramite SOWL.

Il risultato è che l'autenticazione diventa un processo governato e verificabile, non solo una decisione di fiducia locale.

Cosa ci ha insegnato l'integrazione nel mondo reale

L'autenticazione basata su vLEI è stata testata e implementata in un ambiente aziendale produttivo, rivelando chiare lezioni chiave:

• Integrazione: L'approccio SPI di Keycloak ha permesso un'integrazione modulare e a basso costo.
• Esperienza utente: Il flusso di login è intuitivo e non si basa sulle password.
• Sicurezza: I portafogli di custodia semplificano le operazioni ma richiedono disponibilità; le passphrase rimangono essenziali per la protezione delle chiavi.
• Prestazioni: La verifica viene completata in pochi secondi.
• Stabilità: La presentazione basata su browser tramite KERIAuth si è dimostrata robusta e interoperabile.

Il risultato è un processo di login che convalida automaticamente il ruolo e l'autorità organizzativa di una persona attraverso credenziali verificabili. Le organizzazioni hanno utilizzato con successo il vLEI Authenticator per verificare sia l'identità aziendale sia l'autorizzazione dei dipendenti ad agire per loro conto. L'accesso ai dati è stato concesso solo dopo la verifica. Il processo è durato pochi secondi e ha sostituito le verifiche manuali che in genere richiedono ore o giorni.

Mentre l'implementazione all'interno dell'ecosistema GLEIF dimostra che l'autenticazione verificabile è pronta per l'uso nel mondo reale, la prossima sfida è l'interoperabilità. Il lavoro futuro si concentra sull'integrazione dell'Authenticator con strutture di identità basate su portafogli, come il portafoglio aziendale dell'identità digitale europea (EUDI). Sebbene KERI/ACDC e SD-JWT VC poggino su basi diverse, entrambi condividono un principio comune: la fiducia distribuita verificata dalla crittografia. Il collegamento di queste architetture collegherebbe l'IAM aziendale con l'infrastruttura di identità digitale comprovata dell'Europa, trasformando la "fiducia" in un livello operativo condiviso anziché in un presupposto.

Dal log-in alla costruzione della fiducia

Il vLEI Authenticator mostra come l'identità organizzativa e i ruoli delegati possano essere integrati nei sistemi aziendali senza stravolgere le architetture esistenti. Combinando la governance di GLEIF, le credenziali verificabili e l'orchestrazione di SOWL, l'autenticazione diventa verificabile dal punto di vista progettuale, crittograficamente dimostrabile, verificabile e guidata dalle politiche.

Tutto ciò punta verso un futuro in cui l'accesso all'impresa non si basa su segreti condivisi, ma su una verità condivisa e verificabile tra organizzazioni e settori.

---