Die neue Art für ein Verficiation Badge auf LinkedIn
LinkedIn bietet mithilfe von Verifiable Credentials (VC) jedem Mitarbeitenden die Möglichkeit nachzuweisen, dass er tatsächlich bei seinem Arbeitgeber beschäftigt ist. Hierbei werden die zentralen User-Identitäten im Azure AD genutzt, um dezentrale VCs zu erstellen.
VC’s können hier als digitale Arbeitsnachweise angesehen werden
Dies hat nach der Einrichtung folgende Vorteile:
- Leichte Bestätigung durch den Arbeitnehmenden über die LinkedIn App
- Der Arbeitgeber kann steuern wer eine VC erhält und dies auditieren
- Schaffung von Vertrauen und Vermeidung von Rufschädigung durch unbestätigte Dritte
- Wiederverwendbare Infrastruktur zum Ausstellen von VCs
Inhalt dieses Blogs ist die Erklärung der Azure-seitigen „Microsoft Entra Verified ID“ Konfiguration mit dem Ziel, dass im Unternehmen grundlegend VCs ausgestellt werden können. Diese wiederum können bei Verifiern genutzt werden, um einen Arbeitsnachweis zu liefern.
Im letzten Teil wird diese Infrastruktur genutzt, um anhand der LinkedIn-Arbeitsplatzverifikation meine VC auszustellen, welche nachweist, dass ich tatsächlich bei der Provectus Technologies GmbH beschäftigt bin.
DISCLAIMER: Aktuell wurde der Rollout der Arbeitsplatzbestätigung via VCs bei LinkedIn in Europa gestoppt. Nichtsdestotrotz finden die Leser*innen hier eine Vorstellung der funktionierenden Konfiguration, um im Falle einer Wiederaufnahme technisch bereit zu sein.
Grundbegriffe: Verified ID
1.DID
Dezentralisierte Identitäten, kurz DID, sind eindeutige IDs, welche einerseits die Methode der Abfrage festlegen und andererseits eine global eindeutige Zeichenreihenfolge darstellen (siehe auch Azure Active Directory Verifiable Credentials | Blockchain-ID-aaS | Blog (provectus.de)). DIDs werden sowohl für Unternehmen als auch für die User vergeben. Somit ist jeder User und jedes Unternehmen eindeutig über seine DID identifizierbar, ohne persönliche Daten teilen zu müssen.
2. TRUST SYSTEM
Um VCs auszustellen und zu verifizieren, benötigt man ein öffentliches zugängliches Trust System. Hier wird ein Dokument gehostet, welches auf den öffentlichen DID-Schlüssel eines Unternehmens verweist.
Wir verwenden das Identity Overlay Network (ION). Dieses Netzwerk baut auf der Bitcoin Blockchain Technologie auf und kommuniziert auf OSI Layer 2. Damit ist das Netzwerk für jedermann zugänglich. Weiterhin wird hier das zentrale DID Document gehostet, welches für VC-Ausstellungen und -Präsentationen verwendet wird. Der Clou ist, dass nur lesend und schreibend auf dieses Netzwerk zugegriffen wird und die Daten dezentral und repliziert gespeichert werden.
Beispielsweise das Provectus GmbH DID Objekt Dokument:
ION – an open, public, permissionless decentralized identifier network (identity.foundation)
3. ISSUER/AUSSTELLER
Das Prinzip ist, dass hier ein zentraler Identityprovider, in unserem Falle die Azure Active Directory mit dem Feature Microsoft Entra Verified ID, mit dem ION verbunden werden. Eine Rest API übernimmt dann die Kommunikation mit der ION API (auch Microsoft Resolver genannt). Hierdurch können berechtigte Prinzipale nach AAD User Authentifizierung VCs ausstellen. Bei einer VC-Ausstellung wird die Issuer und die User DID innerhalb der VC eingetragen.
4. USER
Ein User kann nach erfolgreicher Authentifizierung bei der Azure AD ein VC anfragen. Dieses muss in einer digitalen Wallet dezentral gespeichert werden. Der Microsoft Authenticator wäre beispielsweise ein Wallet. Der Enduser benötigt nur die Mittel, sich gegenüber der Azure AD zu authentifizieren, also z. B. seinen Usernamen, sein Password und evtl. die Zwei-Faktor-Authentifizierung (bei MFA).
5. VERIFIER/ÜBERPRÜFER
Ein Verifier überprüft VCs. In unserem Fall ist das LinkedIn.
Der Scope dieses Blogs liegt darin das Grundsetup von Microsoft Entra Verified ID zu erklären und das Aufsetzen einer Issuer Instanz. Es ist aber auch möglich VCs mithilfe von Microsoft Entra Verified ID zu überprüfen, diesen Vorgang nennt man Präsentation.
Der große Vorteil ist, dass die VC’s beim User, also dezentral liegen, eben genau wie ein analoger Ausweis. Dieser kann bei jedem geeigneten Verifier vorgezeigt werden, wie bei einem Personalausweis. Hier ist sowohl die Benutzerfreundlichkeit als auch das potenzielle Anwendungsfeld mannigfaltig.
Es muss nach Ausstellung (Issuing) der VC nicht noch ein externer zentraler Identityprovider zwischengeschaltet werden, um die Arbeitnehmerschaft zu bestätigen.
Eine genaue Konfiguration für die Ausstellung von VCs innerhalb eines Azure Tenants folgt im nächsten Teil.
