Prasa i media Blog GLEIF
Tłumaczenia na języki inne niż angielski na tej stronie internetowej są wspomagane przez sztuczną inteligencję. Nie gwarantujemy dokładności i nie ponosimy odpowiedzialności za błędy lub szkody wynikające z korzystania z przetłumaczonych treści. W przypadku jakichkolwiek niespójności lub niejasności, wersja angielska ma pierwszeństwo.

Od haseł do dowodów: Jak vLEI Authenticator ustanawia weryfikowalne role organizacyjne

Dr Andre Kudra, CIO firmy esatus AG, przedstawia techniczny sposób, w jaki vLEI Authenticator, opracowany we współpracy z GLEIF, operacjonalizuje wykorzystanie vLEI w systemach zarządzania tożsamością i dostępem, aby umożliwić proces logowania, który automatycznie weryfikuje rolę osoby i uprawnienia organizacyjne.

Autor: Dr Andre Kudra, CIO firmy esatus AG

  • Data: 2026-02-24
  • Odsłon:

W zarządzaniu tożsamością cyfrową uwierzytelnianie nadal zależy od założeń. Weryfikujemy poświadczenia, hasła lub tokeny, które mówią nam, za kogo podaje się użytkownik, ale rzadko , kogo reprezentuje lub na podstawie jakich uprawnień działa. Dr Andre Kudra, CIO esatus AG, wcześniej wyjaśnił, w jaki sposób vLEI Authenticator - opracowany we współpracy z GLEIF - wypełnia tę lukę, ustanawiając weryfikowalną tożsamość organizacyjną i delegowane role, zbudowane na dowodzie kryptograficznym, a nie na zapewnieniach zaufania. W tej kontynuacji dr Kudra zagłębia się w podstawy techniczne leżące u podstaw vLEI Authenticator.

Kiedy "kto" to za mało

W systemach korporacyjnych użytkownicy logują się jako osoby fizyczne. Jednak wiele procesów, takich jak audyty zgodności, wdrażanie dostawców, dostęp do danych i raportowanie regulacyjne, wymaga wiedzy o organizacji stojącej za daną osobą i jej formalnej roli w niej. Ponadto tradycyjne systemy tożsamości, nawet te oparte na federacji lub SSO, opierają się na stwierdzeniach typu "użytkownik X należy do firmy Y" Twierdzenia te nie są weryfikowalne kryptograficznie i zależą od utrzymania katalogu lub zaufania umownego.

Weryfikowalny Identyfikator podmiotu prawnego (vLEI) rozwiązuje te ograniczenia. Wykorzystując technologię Authentic Chained Data Container (ACDC) i protokół Key Event Receipt Infrastructure (KERI), jest on cyfrowym poświadczeniem dla organizacji, wydawanym przez Kwalifikowane Podmioty nadające vLEI (QVI) w ramach zarządzania GLEIF. Weryfikuje on, czy dana organizacja oficjalnie istnieje i czy określone osoby są upoważnione do działania w jej imieniu. Wszystkie informacje są zabezpieczone kryptograficznie, nadające się do odczytu maszynowego i możliwe do zweryfikowania w ekosystemie vLEI GLEIF.

W połączeniu z poświadczeniem Oficjalnej funkcji w organizacji (OOR) lub roli kontekstu zaangażowania (ECR), vLEI może wyrażać nie tylko to, do jakiej organizacji należy dana osoba, ale także pełnioną przez nią funkcję, na przykład jako dyrektora finansowego, urzędnika ds. zgodności lub upoważnionego przedstawiciela.

Uwierzytelniacz vLEI realizuje tę koncepcję w rzeczywistych systemach zarządzania tożsamością i dostępem (IAM). Oto jak to działa.

Od tożsamości do weryfikacji: Praktyczna architektura

Authenticator vLEI integruje się z Keycloak, rozwiązaniem IAM typu open source, za pośrednictwem interfejsu dostawcy usług (SPI). Nie modyfikuje samego Keycloak, ale rozszerza przepływ uwierzytelniania o dodatkowy etap weryfikacji.

Gdy użytkownik wybierze opcję "Zaloguj się za pomocą vLEI", Keycloak deleguje proces do SOWL, który jest warstwą orkiestracji opracowaną przez esatus. SOWL łączy zdecentralizowane komponenty tożsamości, takie jak portfele, weryfikatory i emitenci z infrastrukturą IAM przedsiębiorstwa. Koordynuje żądanie, prezentację i walidację weryfikowalnych poświadczeń, a następnie zwraca podpisany wynik weryfikacji do Keycloak, który wydaje zwykły token OpenID Connect (OIDC) lub SAML.

W praktyce większość procesu przebiega automatycznie w tle. Oznacza to, że z perspektywy użytkownika logowanie za pomocą vLEI jest tak proste, jak wybranie opcji i potwierdzenie prezentacji poświadczeń w portfelu.

Poniższa sekwencja opisuje, co dzieje się za kulisami:

  1. Użytkownik wybiera opcję "Zaloguj się za pomocą vLEI" w aplikacji takiej jak Nextcloud.
  2. Keycloak uruchamia przepływ uwierzytelniania SOWL.
  3. SOWL wchodzi w interakcję z rozszerzeniem przeglądarki KERIAuth, które żąda poświadczenia OOR lub ECR vLEI użytkownika z jego portfela KERIa Cloud Wallet.
  4. Portfel tworzy weryfikowalną prezentację i nagłówki podpisu, dzięki czemu weryfikowalna prezentacja może zostać wysłana do weryfikatora.
  5. Następnie zwraca weryfikowalną prezentację i nagłówki podpisu za pośrednictwem rozszerzenia KERIAuth z powrotem do SOWL.
  6. SOWL przekazuje prezentację do weryfikatora vLEI, który sprawdza autentyczność i integralność poprzez łańcuch zaufania KERI w ramach zarządzania GLEIF.
  7. Po walidacji SOWL potwierdza wynik do Keycloak, który kończy uwierzytelnianie i wydaje token dostępu.

Hasła są opcjonalne w tym przepływie, a kompatybilność z istniejącymi loginami z nazwą użytkownika i hasłem jest zachowana. Logowanie powiedzie się tylko wtedy, gdy zarówno poświadczenie organizacyjne (vLEI), jak i poświadczenie roli (OOR lub ECR) są ważne, podpisane kryptograficznie i identyfikowalne z autoryzowanym wystawcą. GLEIF nazywa to łańcuchem zaufania vLEI.

SOWL: Weryfikacja poświadczeń w skali przedsiębiorstwa

Jak wspomniano, SOWL to warstwa platformy opracowana przez esatus do zarządzania weryfikowalnymi poświadczeniami w różnych systemach. Jej projekt jest zgodny z ramami referencyjnymi architektury UE (ARF) i obsługuje Standardy, takie jak OpenID4VCI i OpenID4VP, a także formaty poświadczeń, takie jak SD-JWT i mDoc.

W przypadku użycia vLEI Authenticator, SOWL zapewnia trzy podstawowe możliwości:

  1. Orkiestracja: koordynacja przepływu między portfelami, weryfikatorami i systemami IAM przy jednoczesnym zachowaniu odrębności domen zaufania.
  2. Standardy: udostępnianie jednolitych interfejsów REST, dzięki czemu Keycloak i potencjalnie inne systemy IAM w przyszłości mogą wykorzystywać wyniki weryfikacji jako decyzje uwierzytelniające.
  3. Zgodność i możliwość audytu: zapewnienie, że każde zdarzenie weryfikacji jest rejestrowane, odtwarzalne i zgodne z modelem zarządzania GLEIF.

Oddzielając logikę weryfikacji od systemów IAM, SOWL umożliwia istniejącej infrastrukturze korzystanie z weryfikowalnych poświadczeń bez konieczności przeprojektowywania. Rozszerza granice zaufania na domenę zdecentralizowanej tożsamości przy jednoczesnym zachowaniu kontroli i identyfikowalności przedsiębiorstwa.

Połączenie zarządzania i kryptografii

W ekosystemie vLEI zarządzanie i kryptografia działają ramię w ramię. GLEIF definiuje zasady i kotwice zaufania dla LEI i vLEI, ale ich nie wydaje. Instytucje QVI wydają w ramach zdefiniowanego zarządzania identyfikatory vLEI podmiotów prawnych, a także poświadczenia OOR, a podmioty prawne zarządzają własnymi poświadczeniami ECR. Ten warstwowy model zaufania łączy zarządzanie, wydawanie, weryfikację i kontrolę dostępu w jednym łańcuchu:

  • GLEIF zapewnia globalne zarządzanie i kotwice zaufania.
  • QVI i podmioty prawne wydają poświadczenia.
  • Niezależni weryfikatorzy weryfikują je kryptograficznie.
  • Systemy IAM, takie jak Keycloak, wykorzystują wyniki za pośrednictwem SOWL.

W rezultacie uwierzytelnianie staje się zarządzanym i weryfikowalnym procesem, a nie tylko lokalną decyzją dotyczącą zaufania.

Czego nauczyła nas integracja w świecie rzeczywistym

Uwierzytelnianie oparte na vLEI zostało przetestowane i wdrożone w produktywnym środowisku korporacyjnym, ujawniając jasne kluczowe wnioski:

  • Integracja: Podejście SPI w Keycloak pozwoliło na modułową, niewymagającą dużego wysiłku integrację.
  • Doświadczenie użytkownika: Proces logowania jest intuicyjny i nie opiera się na hasłach.
  • Bezpieczeństwo: Portfele powiernicze upraszczają operacje, ale wymagają dostępności; hasła pozostają niezbędne do ochrony kluczy.
  • Wydajność: Weryfikacja kończy się w ciągu kilku sekund.
  • Stabilność: Prezentacja oparta na przeglądarce za pośrednictwem KERIAuth okazała się solidna i interoperacyjna.

Rezultatem jest proces logowania, który automatycznie weryfikuje rolę osoby i uprawnienia organizacyjne za pomocą weryfikowalnych poświadczeń. Organizacje z powodzeniem wykorzystały vLEI Authenticator do weryfikacji zarówno tożsamości korporacyjnej, jak i uprawnień pracowników do działania w ich imieniu. Dostęp do danych był przyznawany dopiero po weryfikacji. Proces ten trwał kilka sekund i zastąpił ręczne weryfikacje, które zwykle trwają godziny lub dni.

Podczas gdy wdrożenie w ekosystemie GLEIF pokazuje, że weryfikowalne uwierzytelnianie jest gotowe do rzeczywistego użytku, kolejnym wyzwaniem jest interoperacyjność. Przyszłe prace koncentrują się na integracji Authenticatora z ramami tożsamości opartymi na portfelach, takimi jak European Digital Identity (EUDI) Business Wallet. Chociaż KERI/ACDC i SD-JWT VC opierają się na różnych fundamentach, obie mają wspólną zasadę: rozproszone zaufanie weryfikowane za pomocą kryptografii. Połączenie tych architektur pozwoliłoby na powiązanie korporacyjnego IAM z europejską infrastrukturą tożsamości cyfrowej, przekształcając "zaufanie" we wspólną warstwę operacyjną, a nie założenie.

Od logowania do budowania zaufania

Uwierzytelniacz vLEI pokazuje, w jaki sposób tożsamość organizacyjna i delegowane role mogą być osadzone w systemach korporacyjnych bez zakłócania istniejących architektur. Łącząc zarządzanie GLEIF, weryfikowalne dane uwierzytelniające i orkiestrację SOWL, uwierzytelnianie staje się weryfikowalne z założenia, możliwe do udowodnienia kryptograficznie, audytowalne i oparte na polityce.

Wskazuje to na przyszłość, w której dostęp korporacyjny nie będzie oparty na wspólnych tajemnicach, ale na wspólnej, weryfikowalnej prawdzie w różnych organizacjach i sektorach.

Poprzednia strona
Następna strona
Powiązane odsyłacze:

Osoby pragnące umieścić wpis w blogu prosimy o odwiedzenie strony: funkcje internetowego blogu GLEIF w języku angielskim. Imię i nazwisko autora komentarza pojawi się obok wpisu. Adresy e-mail nie będą publikowane. Uczestnictwo w forum dyskusyjnym i korzystanie z niego oznacza zgodę na przestrzeganie obowiązujących Zasad korzystania z blogu GLEIF, które należy uważnie przeczytać.

Wszystkie poprzednie wpisy w blogu GLEIF >
O autorze:

Dr Andre Kudra jest CIO firmy esatus AG. Jest uznawany na całym świecie za jedną z postaci definiujących Suwerenną Tożsamość. Aktywnie kształtuje organy zajmujące się standaryzacją i zarządzaniem, w tym IDunion, Trust over IP i globalne inicjatywy, takie jak vLEI. Łączy głęboką wiedzę techniczną ze strategicznym zrozumieniem ram regulacyjnych. Jako przedsiębiorca i lider technologiczny od lat napędza rozwój ekosystemów Zaufanej Tożsamości Cyfrowej.

Znaczniki artykułu:
Identyfikator podmiotu prawnego (LEI), Weryfikowalne LEI (vLEI), Global Legal Entity Identifier Foundation (GLEIF), Tożsamość cyfrowa
Blogi powiązane:
Odsłon

Przekształcanie danych w możliwości: Metryka w ruchu – zrozumienie korelacji

Data: 2026-03-06 Autor: Zornitsa Manolova
Odsłon

# 20 w serii blogów LEI Lightbulb - Jak LEI i vLEI mogą usprawnić globalny nadzór nad aktywami cyfrowymi

Data: 2026-02-17 Autor: Alexandre Kech
Odsłon

Strategiczne trendy w jakości danych: Metric in Motion - podejście do jakości danych oparte na sztucznej inteligencji

Data: 2026-02-06 Autor: Zornitsa Manolova
Odsłon

LEI w liczbach: Globalna przejrzystość i cyfryzacja napędzają przyjmowanie LEI w 2025 r

Data: 2026-01-26 Autor: Alexandre Kech
Odsłon

Dlaczego współpraca cyfrowa wymaga weryfikowalnej tożsamości organizacyjnej?

Data: 2026-01-21 Autor: Dr Andre Kudra, CIO firmy esatus AG
Odsłon

Strategiczne trendy w zakresie jakości danych: od innowacji w dziedzinie sztucznej inteligencji do skalowalnego zaufania w 2026 r.

Data: 2026-01-08 Autor: Zornitsa Manolova