Dezentralisierte Identitäten, kurz DID, sind eindeutige IDs, welche einerseits die Methode der Abfrage festlegen und andererseits eine global eindeutige Zeichenreihenfolge darstellen (siehe auch Entra ID Verifiable Credentials | Blockchain-ID-aaS | Blog (provectus.de)). DIDs werden sowohl für Unternehmen als auch für die User vergeben. Somit ist jeder User und jedes Unternehmen eindeutig über seine DID identifizierbar, ohne persönliche Daten teilen zu müssen.
Um VCs auszustellen und zu verifizieren, benötigt man ein öffentliches zugängliches Trust System. Hier wird ein Dokument gehostet, welches auf den öffentlichen DID-Schlüssel eines Unternehmens verweist.
Wir verwenden hier die did:web-Methode, wo auf einer öffentlichen zugänglichen Seite ein did.json Dokument gehostet wird. Dies stellt ein zentralisiertes Trust System dar. Es wird benötigt, um die Unternehmens-did zu registrieren und enthält den öffentlichen Schlüssel, um Signaturen zu überprüfen.
Beispielsweise das Provectus did:
Im Prinzip handelt es sich hier um einen zentralen Identityprovider in unserem Falle die Entra ID. Berechtigte Entra ID User können sich nach erfolgter Authentifizierung (Stichwort OpenID Connect) über eine Rest API ihr Verifiable Credential ausstellen lassen. Bei einer VC-Ausstellung wird die Issuer und die User DID innerhalb der VC eingetragen.
Die VC muss in einer digitalen Wallet dezentral gespeichert werden. Der Microsoft Authenticator wäre beispielsweise ein Wallet. Der Enduser benötigt nur die Mittel sich gegenüber der sich zu authentifizieren, also z. B. sein Username, Password und evtl. 2 Faktor (bei MFA).
Ein Verifier überprüft VCs. In unserem Fall ist das LinkedIn.
Der Scope dieses Blogs liegt darin das Grundsetup von Microsoft Entra Verified ID zu erklären. Es ist aber auch möglich VCs mithilfe von Microsoft Entra Verified ID zu überprüfen, diesen Vorgang nennt man Präsentation.