デジタル ID 管理では、認証は依然として仮定に依存している。認証情報、パスワード、トークンを検証することで、ユーザが誰であるかを知ることができますが、そのユーザが誰を代表しているのか、あるいはどのような権限に基づいて行動しているのかを知ることはほとんどありません。esatus AGのCIOであるアンドレ・クドラ博士(Dr. Andre Kudra)、GLEIFと共同で開発されたvLEI Authenticatorが、信頼性の主張ではなく、暗号的な証明に基づいて、検証可能な組織アイデンティティと委任された役割を確立することによって、このギャップをどのように埋めるかについて、 。このフォローアップでは、クドラ博士がvLEI Authenticatorを支える技術的基盤について深く掘り下げます。
誰が」だけでは不十分な場合
企業システムでは、ユーザーは個人としてログインする。しかし、コンプライアンス監査、サプライヤーのオンボーディング、データ・アクセス、規制当局への報告など、多くのプロセスでは、その人の背後にある組織やその中での正式な役割に関する知識が必要となります。 さらに、従来の ID システムは、たとえフェデレーテッドや SSO ベースのものであっても、「ユーザー X は Y 社に所属している」というようなアサーションに依存している。これらの主張は暗号的に検証可能ではなく、ディレクトリの保守または契約上の信頼に依存する。
検証可能な取引主体識別子(vLEI)は、これらの制限に対処する。Authentic Chained Data Container(ACDC)技術とKey Event Receipt Infrastructure(KERI)プロトコルを利用するvLEIは、GLEIFガバナンスの下、vLEI発行者(QVI)によって発行される組織のデジタル・クレデンシャルである。これは、ある組織が正式に存在し、特定の個人がその組織を代表して行動する権限があることを検証する。すべての情報は暗号的に保護され、機械可読であり、GLEIFのvLEIエコシステム内で検証可能である。
vLEI を組織における公式の役割(OOR)または関与コンテキスト役割(ECR)クレデンシャルと組み合わせると、その人がどの組織に所属しているかだけでなく、CFO、コンプライアンス・オフィサー、公認代理人など、その人が果たす機能も表現できる。
vLEI Authenticator は、実際のアイデンティティ・アクセス管理(IAM)システムでこの概念を運用する。その仕組みは以下の通りです。
アイデンティティから検証まで実用的なアーキテクチャ
vLEI Authenticatorは、サービス・プロバイダー・インターフェース(SPI)を介して、オープンソースのIAMソリューションであるKeycloakと統合します。Keycloak自体は変更しませんが、認証フローに検証ステップを追加して拡張します。
ユーザーが「vLEIでログイン」を選択すると、Keycloakはesatusが開発したオーケストレーションレイヤーであるSOWLにプロセスを委譲する。SOWLは、ウォレット、検証者、発行者のような分散型IDコンポーネントと企業のIAMインフラを橋渡しする。検証可能なクレデンシャルのリクエスト、提示、検証を調整し、署名された検証結果をKeycloakに返し、Keycloakは通常のOpenID Connect(OIDC)またはSAMLトークンを発行する。
実際には、ほとんどのプロセスはバックグラウンドで自動的に実行される。つまり、ユーザーから見れば、vLEIを使ったログインは、オプションを選択してウォレット内のクレデンシャルの提示を確認するだけの簡単なことである。
次のシーケンスは、舞台裏で何が起こるかを説明するものである:
このフローではパスワードは任意であり、既存のユーザー名-パスワードによるログインとの互換性は維持される。ログインが成功するのは、組織クレデンシャル(vLEI)と役割クレデンシャル(OOR または ECR)の両方が有効で、暗号的に署名され、認可された発行者に追跡可能な場合のみである。GLEIF はこれを vLEI トラスト・チェーンと呼ぶ。
SOWL:エンタープライズ・スケールで検証可能なクレデンシャルを機能させる
参照したように、SOWL は、多様なシステム間で検証可能なクレデンシャルを管理するために esatus が開発したプラットフォーム・レイヤーである。SOWL の設計は EU Architecture Reference Framework (ARF)に準拠しており、OpenID4VCI や OpenID4VP などの標準や、SD-JWT や mDoc などのクレデンシャル形式をサポートしている。
vLEI Authenticatorのユースケースにおいて、SOWLは3つのコア機能を提供する:
1.オーケストレーション:信頼ドメインを分離しながら、ウォレット、検証者、IAMシステム間のフローを調整する。
2.標準化:統一されたRESTインターフェイスを公開することで、Keycloakや将来的には他のIAMシステムも検証結果を認証決定として利用できるようにする。
3.コンプライアンスと監査可能性: 各検証イベントがログに記録され、再現可能で、GLEIFのガバナンス・モデルに沿ったものであることを保証する。
検証ロジックを IAM システムから切り離すことにより、SOWL は既存のインフラストラクチャが再設計することなく検証可能なクレデンシャルを使用できるようにする。SOWL は、企業の管理とトレーサビリティを維持しながら、信頼の境界を分散型 ID の領域まで拡張する。
ガバナンスと暗号の組み合わせ
vLEI エコシステムでは、ガバナンスと暗号は手を取り合って機能する。GLEIF は LEI 及び vLEI のルールとトラスト・アンカーを定義するが、発行は行わない。QVI は OOR クレデンシャルと同様、取引主体 vLEI 用に定義されたガバナンスの下で発行し、取引主体は自らの ECR クレデンシャルを管理する。このレイヤード・トラスト・モデルは、ガバナンス、発行、検証、およびアクセス制御を単一 チェーンで接続する:
その結果、認証は単なるローカルな信頼の決定ではなく、ガバナンスされ検証可能なプロセスとなる。
実際の統合が教えてくれたこと
vLEIベースの認証は、生産性の高い企業環境でテストされ、展開された:
その結果、検証可能な認証情報によって、個人の役割と組織の権限を自動的に検証するログイン・プロセスが実現しました。組織は、vLEI Authenticator を使用して、企業 ID と従業員の代理行動権限の両方を検証することに成功しました。データへのアクセスは、検証後にのみ許可されました。このプロセスは数秒で完了し、通常数時間から数日かかる手動レビューに取って代わりました。
GLEIFのエコシステム内での展開は、検証可能な認証が実世界で使用する準備ができていることを示しているが、次のチャレンジは相互運用性である。今後の課題は、Authenticator を、European Digital Identity (EUDI) Business Wallet などのウォレットベースの ID フレームワークと統合することである。KERI/ACDC と SD-JWT VC は異なる基盤に依存しているが、暗号化によって検証される分散 信頼という共通の原理を共有している。これらのアーキテクチャーを橋渡しすることで、企業の IAM をヨーロッパのデジタル ID インフラストラクチャーと結びつけ、「信頼」を思い込みではなく共有の運用レイヤーに変えることができる。
ログインから信頼の構築へ
vLEI Authenticator は、既存のアーキテクチャーを破壊することなく、組織のアイデンティティと委譲された役割を企業システムに組み込む方法を示している。GLEIF のガバナンス、検証可能なクレデンシャル、および SOWL のオーケストレーショ ンを組み合わせることで、認証は設計によって検証可能になり、暗号学的に証明可能で、監査可能で、 ポリシー駆動型になる。
これは、企業アクセスが共有された秘密ではなく、組織や部門を超えた共有された検証可能な真実に基づく未来を指し示している。
ブログにコメントされる場合は、識別用にご自分の氏名をご入力ください。コメントの隣にお名前が表示されます。電子メールアドレスは公開されません。掲示板へアクセスまたは参加されることにより、GLEIFブログポリシーに同意されたものと見なされますので、当ポリシーをよくお読みください。
アンドレ・クドラ博士はesatus AGのCIOである。 自己主権型アイデンティティの第一人者として国際的に知られている。IDunion、Trust over IP、vLEIなどのグローバルなイニシアチブを含む標準化とガバナンスを積極的に推進している。深い技術的専門知識と規制の枠組みに対する戦略的理解を兼ね備えている。起業家および技術リーダーとして、信頼できるデジタルIDエコシステムの開発を長年推進してきた。
