Sala de Imprensa e Mídia Blog da GLEIF
As traduções deste site em idiomas diferentes do inglês são geradas por IA. Não garantimos a precisão e não nos responsabilizamos por quaisquer erros ou danos resultantes do uso do conteúdo traduzido. Em caso de inconsistências ou ambiguidades, versão em inglês prevalecerá.

De senhas a provas: Como o Autenticador vLEI Estabelece Funções Organizacionais Verificáveis

O Dr. Andre Kudra, CIO da esatus AG, fornece um aprofundamento técnico sobre como o Autenticador vLEI, desenvolvido em colaboração com a GLEIF, operacionaliza o uso do vLEI em sistemas de gerenciamento de identidade e acesso para permitir um processo de login que valida automaticamente a função e a autoridade organizacional de uma pessoa.

Autor: Dr. Andre Kudra, CIO da esatus AG

  • Data: 2026-02-24
  • Visualizações:

No gerenciamento de identidade digital, a autenticação ainda depende de suposições. Verificamos credenciais, palavras-passe ou tokens que nos dizem quem um utilizador afirma ser, mas raramente quem representa ou sob que autoridade actua. O Dr. Andre Kudra, CIO da esatus AG, explicou anteriormente em como o Autenticador vLEI - desenvolvido em colaboração com a GLEIF - preenche esta lacuna ao estabelecer uma identidade organizacional verificável e funções delegadas, baseadas em provas criptográficas em vez de afirmações de confiança. Neste seguimento, o Dr. Kudra aprofunda os fundamentos técnicos que sustentam o Autenticador vLEI.

Quando "quem" não é suficiente

Nos sistemas empresariais, os utilizadores iniciam sessão como indivíduos. Mas muitos processos, como auditorias de conformidade, integração de fornecedores, acesso a dados e relatórios regulamentares, exigem o conhecimento da organização por trás da pessoa e do seu papel formal dentro dela. Além disso, os sistemas de identidade tradicionais, mesmo os federados ou baseados em SSO, baseiam-se em afirmações como "o utilizador X pertence à empresa Y" Estas afirmações não são verificáveis criptograficamente e dependem da manutenção de diretórios ou da confiança contratual.

O Identificador de Entidade Jurídica (vLEI) verificável aborda estas limitações. Utilizando a tecnologia Authentic Chained Data Container (ACDC) e o protocolo Key Event Receipt Infrastructure (KERI), é uma credencial digital para organizações, emitida por Emissores de vLEI Qualificados (QVIs) sob a Governança da GLEIF. Ele verifica que uma organização existe oficialmente e que indivíduos específicos estão autorizados a agir em seu nome. Todas as informações são criptograficamente protegidas, legíveis por máquina e verificáveis no ecossistema vLEI da GLEIF.

Quando combinado com uma credencial de Função Organizacional Oficial (OOR) ou Função de Contexto de Envolvimento (ECR), um vLEI pode expressar não apenas a qual organização uma pessoa pertence, mas também a função que ela desempenha, por exemplo, como CFO, diretor de conformidade ou representante autorizado.

O Autenticador vLEI operacionaliza esse conceito em sistemas de Gerenciamento de Acesso e Identidade (IAM) do mundo real. Veja como ele funciona.

Da identidade à verificação: Uma arquitetura prática

O Autenticador vLEI se integra ao Keycloak, a solução IAM de código aberto, por meio de sua Interface de Provedor de Serviços (SPI). Ele não modifica o Keycloak em si, mas amplia o fluxo de autenticação com uma etapa de verificação adicional.

Quando um utilizador escolhe "Iniciar sessão com vLEI", o Keycloak delega o processo no SOWL, que é a camada de orquestração desenvolvida pela esatus. O SOWL faz a ponte entre os componentes de identidade descentralizados, como carteiras, verificadores e emissores, e as infraestruturas de IAM da empresa. Ele coordena a solicitação, apresentação e validação de credenciais verificáveis e, em seguida, retorna um resultado de verificação assinado para o Keycloak, que emite o token OpenID Connect (OIDC) ou SAML usual.

Na prática, a maior parte do processo é executada automaticamente em segundo plano. Isto significa que, na perspetiva de um utilizador, iniciar sessão com um vLEI é tão simples como selecionar a opção e confirmar a apresentação da credencial na sua carteira.

A sequência seguinte descreve o que acontece nos bastidores:

  1. O utilizador seleciona "Login with vLEI" numa aplicação como o Nextcloud.
  2. O Keycloak acciona o fluxo de autenticação SOWL.
  3. O SOWL interage com a extensão do browser KERIAuth, que solicita a credencial OOR ou ECR vLEI do utilizador a partir da sua KERIa Cloud Wallet.
  4. A carteira cria uma apresentação verificável e os cabeçalhos de assinatura, para que a apresentação verificável possa ser enviada para o verificador.
  5. Em seguida, devolve a apresentação verificável e os cabeçalhos de assinatura através da extensão KERIAuth ao SOWL.
  6. O SOWL reencaminha a apresentação para o verificador vLEI, que verifica a autenticidade e a integridade através da cadeia de confiança KERI sob a governação da GLEIF.
  7. Uma vez validado, o SOWL confirma o resultado ao Keycloak, que conclui a autenticação e emite o token de acesso.

As palavras-passe são opcionais neste fluxo, sendo preservada a compatibilidade com os logins existentes de nome de utilizador e palavra-passe. O login é bem-sucedido somente se a credencial organizacional (vLEI) e a credencial de função (OOR ou ECR) forem válidas, assinadas criptograficamente e rastreáveis a um emissor autorizado. A GLEIF chama isso de cadeia de confiança vLEI.

SOWL: fazendo com que as credenciais verificáveis funcionem em escala empresarial

Conforme referido, o SOWL é uma camada de plataforma desenvolvida pela esatus para gerir credenciais verificáveis em diversos sistemas. A sua conceção está em conformidade com o quadro de referência da arquitetura da UE (ARF) e suporta normas como o OpenID4VCI e o OpenID4VP, bem como formatos de credenciais como o SD-JWT e o mDoc.

No caso de utilização do Autenticador vLEI, o SOWL fornece três capacidades principais:

  1. Orquestração: coordenar o fluxo entre carteiras, verificadores e sistemas IAM, mantendo os domínios de confiança separados.
  2. Normas: exposição de interfaces REST uniformes para que o Keycloak, e potencialmente outros sistemas IAM no futuro, possam consumir resultados de verificação como decisões de autenticação.
  3. Conformidade e auditabilidade: garantir que cada evento de verificação seja registado, reproduzível e alinhado com o modelo de Governança da GLEIF.

Ao desacoplar a lógica de verificação dos sistemas IAM, o SOWL permite que as infra-estruturas existentes utilizem credenciais verificáveis sem reformulação. Estende os limites da confiança para o domínio da identidade descentralizada, mantendo o controlo e a rastreabilidade da empresa.

Combinação de Governança e criptografia

No ecossistema vLEI, a Governança e a criptografia trabalham lado a lado. A GLEIF define as regras e as âncoras de confiança para LEIs e vLEIs, mas não os emite. Os QVIs emitem sob governação definida para vLEIs de entidades jurídicas, bem como credenciais OOR, e as entidades jurídicas gerem as suas próprias credenciais ECR. Este modelo de confiança em camadas liga a governança, a emissão, a verificação e o controlo de acesso numa única cadeia:

  • A GLEIF fornece âncoras globais de governação e confiança.
  • Os QVIs e as entidades Jurídicas emitem credenciais.
  • Verificadores independentes validam-nas criptograficamente.
  • Os sistemas IAM, como o Keycloak, consomem os resultados via SOWL.

O resultado é que a autenticação se torna um processo controlado e verificável, e não apenas uma decisão de confiança local.

O que a integração no mundo real nos ensinou

A autenticação baseada no vLEI foi testada e implementada num ambiente empresarial produtivo, revelando lições-chave claras:

  • Integração: A abordagem SPI no Keycloak permitiu uma integração modular e de baixo esforço.
  • Experiência do utilizador: O fluxo de login é intuitivo e não depende de senhas.
  • Segurança: As carteiras de custódia simplificam as operações, mas exigem disponibilidade; as frases-senha continuam a ser essenciais para a proteção das chaves.
  • Desempenho: A verificação é concluída em segundos.
  • Estabilidade: A apresentação baseada no browser através do KERIAuth revelou-se robusta e interoperável.

O resultado é um processo de login que valida automaticamente a função e a autoridade organizacional de uma pessoa por meio de credenciais verificáveis. As organizações usaram com sucesso o Autenticador vLEI para verificar tanto a identidade corporativa quanto a autorização dos funcionários para agir em seu nome. O acesso aos dados foi concedido somente após a verificação. O processo levou segundos e substituiu as revisões manuais que normalmente levam horas ou dias.

Embora a implantação no ecossistema da GLEIF mostre que a autenticação verificável está pronta para uso no mundo real, o próximo Desafio é a interoperabilidade. O trabalho futuro concentra-se na integração do Authenticator com estruturas de identidade baseadas em carteiras, como a carteira comercial da Identidade Digital Europeia (EUDI). Embora o KERI/ACDC e o SD-JWT VC assentem em bases diferentes, ambos partilham um princípio comum: confiança distribuída verificada por criptografia. A ligação entre estas arquitecturas ligaria o IAM empresarial à infraestrutura de identidade digital da Europa, transformando a "confiança" numa camada operacional partilhada e não numa suposição.

Do início de sessão à criação de confiança

O Autenticador vLEI mostra como a identidade organizacional e as funções delegadas podem ser integradas nos sistemas empresariais sem perturbar as arquitecturas existentes. Ao combinar a governação da GLEIF, as credenciais verificáveis e a orquestração da SOWL, a autenticação torna-se verificável desde a conceção, criptograficamente comprovável, auditável e orientada por políticas.

Isso aponta para um futuro em que o acesso empresarial não se baseia em segredos compartilhados, mas na verdade compartilhada e verificável entre organizações e setores.

Voltar
Avançar
Links relacionados:

Caso queira comentar uma postagem no blog, identifique-se usando seu nome e sobrenome. Seu nome aparecerá ao lado de seu comentário. Endereços de e-mail não serão publicados. Note que ao acessar ou contribuir com o fórum de discussão, você concorda com os termos da Política de Uso do Blog da GLEIF, portanto, leia-a com atenção.

Ler todas as postagens anteriores do Blog da GLEIF >
Sobre o autor:

O Dr. Andre Kudra é o CIO da esatus AG. É reconhecido internacionalmente como uma das figuras que definem a Identidade autossoberana. Molda ativamente os organismos de normalização e Governança, incluindo a IDunion, Trust over IP e iniciativas globais como a vLEI. Combina conhecimentos técnicos profundos com uma compreensão estratégica dos quadros regulamentares. Como empresário e líder tecnológico, tem vindo a impulsionar o desenvolvimento de ecossistemas de Identidade digital confiável há anos.

Tags para este artigo:
Identificador de Entidade Jurídica (LEI), LEI verificável (vLEI), Global Legal Entity Identifier Foundation (GLEIF), Identidade Digital
Blogs relacionados:
Visualizações

Transformando dados em oportunidades: métricas em movimento – compreendendo a corroboração

Data: 2026-03-06 Autor: Zornitsa Manolova
Visualizações

# 20 na Série de Blogs LEI Lightbulb - Como o LEI e o vLEI podem promover a supervisão global de ativos digitais

Data: 2026-02-17 Autor: Alexandre Kech
Visualizações

Tendências estratégicas na Qualidade de Dados: Metric in Motion - Uma abordagem à Qualidade de Dados baseada em IA

Data: 2026-02-06 Autor: Zornitsa Manolova
Visualizações

O LEI em números: A transparência global e o impulso da digitalização impulsionam a adoção do LEI em 2025

Data: 2026-01-26 Autor: Alexandre Kech
Visualizações

Por que a colaboração digital exige uma identidade organizacional verificável

Data: 2026-01-21 Autor: Dr. Andre Kudra, CIO da esatus AG
Visualizações

Tendências estratégicas na Qualidade de Dados: da inovação em IA à confiança escalável em 2026

Data: 2026-01-08 Autor: Zornitsa Manolova