От паролей к доказательствам: Как аутентификатор vLEI устанавливает верифицируемые организационные роли

Доктор Андре Кудра, ИТ-директор компании esatus AG, рассказывает о том, как аутентификатор vLEI, разработанный в сотрудничестве с GLEIF, позволяет использовать vLEI в системах управления идентификацией и доступом, чтобы обеспечить процесс входа в систему, который автоматически подтверждает роль человека и его организационные полномочия.

---

---

При управлении цифровыми идентификационными данными аутентификация по-прежнему зависит от предположений. Мы проверяем учетные данные, пароли или токены, которые сообщают нам, кем является пользователь, но редко говорят о том, кого он представляет и на основании каких полномочий действует. Доктор Андре Кудра, ИТ-директор компании esatus AG, , ранее рассказывал на сайте о том, как аутентификатор vLEI, разработанный в сотрудничестве с GLEIF, устраняет этот пробел путем создания проверяемой организационной идентичности и делегированных ролей, основанных на криптографических доказательствах, а не на утверждениях о доверии. В этом продолжении доктор Кудра подробно рассматривает технические основы, лежащие в основе аутентификатора vLEI.

Когда "кто" недостаточно

В корпоративных системах пользователи входят в систему как частные лица. Но многие процессы, такие как аудит соблюдения законодательства, привлечение поставщиков, доступ к данным и отчетность перед регулирующими органами, требуют знания организации, в которой работает человек, и его формальной роли в ней. Кроме того, традиционные системы идентификации, даже федеративные или основанные на SSO, опираются на утверждения типа "пользователь X принадлежит компании Y" Эти утверждения не поддаются криптографической проверке и зависят от ведения каталога или договорного доверия.

Проверяемый Код идентификации юридических лиц (vLEI) устраняет эти ограничения. Используя технологию Authentic Chained Data Container (ACDC) и протокол Key Event Receipt Infrastructure (KERI), он представляет собой цифровое удостоверение личности для организаций, выдающееся Сертифицированными организациями, выдающими коды vLEI (QVIs) под управлением GLEIF. Он подтверждает, что организация официально существует и что конкретные лица уполномочены действовать от ее имени. Вся информация криптографически защищена, поддается машинной обработке и проверке в экосистеме vLEI GLEIF.

В сочетании с учетной записью официальной организационной роли (OOR) или роли контекста взаимодействия (ECR) vLEI может выражать не только то, к какой организации принадлежит человек, но и функции, которые он выполняет, например, как финансовый директор, ответственный за соблюдение законодательства или уполномоченный представитель.

Аутентификатор vLEI реализует эту концепцию в реальных системах управления идентификацией и доступом (IAM). Вот как это работает.

От идентификации к проверке: Практичная архитектура

Аутентификатор vLEI интегрируется с Keycloak, IAM-решением с открытым исходным кодом, через интерфейс поставщика услуг (SPI). Он не модифицирует сам Keycloak, но расширяет поток аутентификации дополнительным шагом проверки.

Когда пользователь выбирает "Войти с помощью vLEI", Keycloak делегирует этот процесс SOWL - уровню оркестрации, разработанному esatus. SOWL связывает компоненты децентрализованной идентификации, такие как кошельки, верификаторы и эмитенты, с корпоративными инфраструктурами IAM. Он координирует запрос, представление и проверку верифицируемых учетных данных, а затем возвращает подписанный результат проверки в Keycloak, который выдает обычный токен OpenID Connect (OIDC) или SAML.

На практике большая часть процесса выполняется автоматически в фоновом режиме. Это означает, что с точки зрения пользователя вход в систему с помощью vLEI - это просто выбор опции и подтверждение представления учетных данных в его кошельке.

Следующая последовательность действий описывает, что происходит за кулисами:

1. Пользователь выбирает "Войти с помощью vLEI" в таком приложении, как Nextcloud.
2. Keycloak запускает поток аутентификации SOWL.
3. SOWL взаимодействует с расширением браузера KERIAuth, которое запрашивает учетные данные пользователя OOR или ECR vLEI из его облачного кошелька KERIa.
4. Кошелек создает верифицируемую презентацию и заголовки подписи, чтобы верифицируемая презентация могла быть отправлена верификатору.
5. Затем он возвращает верифицируемую презентацию и заголовки подписи через расширение KERIAuth обратно в SOWL.
6. SOWL направляет презентацию верификатору vLEI, который проверяет подлинность и целостность через цепочку доверия KERI под управлением GLEIF.
7. После проверки SOWL подтверждает результат Keycloak, который завершает аутентификацию и выдает маркер доступа.

Пароль в этом потоке необязателен, поэтому сохраняется совместимость с существующими входами по имени пользователя и паролю. Вход в систему проходит успешно только в том случае, если учетные данные организации (vLEI) и учетные данные роли (OOR или ECR) действительны, подписаны криптографической подписью и могут быть отслежены до авторизованного эмитента. GLEIF называет это цепочкой доверия vLEI.

SOWL: обеспечение работы верифицируемых учетных данных в масштабе предприятия

Как уже упоминалось, SOWL - это уровень платформы, разработанный компанией esatus для управления верифицируемыми учетными данными в различных системах. Его дизайн соответствует эталонной архитектуре ЕС (ARF) и поддерживает такие стандарты, как OpenID4VCI и OpenID4VP, а также такие форматы учетных данных, как SD-JWT и mDoc.

В случае использования аутентификатора vLEI SOWL предоставляет три основные возможности:

1. Оркестровка: координация потоков между кошельками, верификаторами и системами IAM при сохранении разделения доменов доверия.
2. Стандартизация: предоставление унифицированных REST-интерфейсов, чтобы Keycloak и, возможно, другие IAM-системы в будущем могли использовать результаты верификации в качестве решений по аутентификации.
3. Соблюдение законодательства и возможность аудита: обеспечение того, чтобы каждое событие проверки регистрировалось, воспроизводилось и соответствовало модели управления GLEIF.

Отделяя логику проверки от систем IAM, SOWL позволяет существующим инфраструктурам использовать верифицируемые учетные данные без перепроектирования. Она расширяет границы доверия в область децентрализованной идентификации, сохраняя при этом контроль и отслеживаемость на уровне предприятия.

Сочетание управления и криптографии

В экосистеме vLEI управление и криптография работают рука об руку. GLEIF определяет правила и якоря доверия для LEI и vLEI, но не выпускает их. QVI выпускают в рамках определенного управления ВЭИ юридических лиц, а также учетные данные OOR, а юридические лица управляют своими собственными учетными данными ECR. Эта многоуровневая модель доверия объединяет управление, выпуск, проверку и контроль доступа в единую цепочку:

• GLEIF обеспечивает глобальное управление и якорь доверия.
• QVI и юридические лица выдают учетные данные.
• Независимые верификаторы подтверждают их криптографически.
• Системы IAM, такие как Keycloak, используют результаты через SOWL.

В итоге аутентификация становится управляемым и проверяемым процессом, а не просто локальным решением о доверии.

Чему нас научила реальная интеграция

Аутентификация на основе vLEI была протестирована и развернута в продуктивной корпоративной среде, что позволило выявить четкие ключевые уроки:

• Интеграция: Подход SPI в Keycloak позволил осуществить модульную интеграцию, не требующую больших усилий.
• Опыт пользователей: Поток входа в систему интуитивно понятен и не зависит от паролей.
• Безопасность: Хранимые кошельки упрощают работу, но требуют доступности; парольные фразы по-прежнему важны для защиты ключей.
• Производительность: Верификация завершается в течение нескольких секунд.
• Стабильность: Браузерное представление с помощью KERIAuth оказалось надежным и совместимым.

Результатом стал процесс входа в систему, который автоматически подтверждает роль человека и его полномочия в организации с помощью верифицируемых учетных данных. Организации успешно использовали vLEI Authenticator для проверки корпоративной идентичности и полномочий сотрудников действовать от их имени. Доступ к данным предоставлялся только после проверки. Этот процесс занимал считанные секунды и заменил ручные проверки, которые обычно занимают часы или дни.

Развертывание экосистемы GLEIF показывает, что верифицируемая аутентификация готова к использованию в реальном мире, однако следующей проблемой является совместимость. Будущая работа направлена на интеграцию аутентификатора с системами идентификации на основе кошельков, такими как Европейский кошелек цифровой идентификации (EUDI) Business Wallet. Хотя KERI/ACDC и SD-JWT VC базируются на разных основах, обе архитектуры имеют общий принцип: распределенное доверие, подтвержденное криптографией. Объединение этих архитектур позволит связать корпоративную систему IAM с европейской инфраструктурой цифровой идентификации, превратив "доверие" не в предположение, а в общий операционный уровень.

От входа в систему к созданию доверия

Аутентификатор vLEI показывает, как организационная идентичность и делегированные роли могут быть встроены в корпоративные системы без нарушения существующей архитектуры. Благодаря сочетанию управления GLEIF, верифицируемых учетных данных и оркестровки SOWL аутентификация становится проверяемой по проекту, криптографически доказуемой, проверяемой и управляемой политиками.

Это указывает на будущее, в котором корпоративный доступ будет основываться не на общих секретах, а на общей, проверяемой истине для всех организаций и секторов.

---