Juli 2023
Autor:in des Beitrags
Antonio
Consultant
Projects – Cloud
Veröffentlicht am
17.07.2023 von Antonio
Aktualisiert am
17/07/2023
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter

Microsoft Entra Verified ID für LinkedIn

Die neue Art für ein Verficiation Badge auf LinkedIn

LinkedIn bietet mithilfe von Verifiable Credentials (VC) jedem Mitarbeitenden die Möglichkeit nachzuweisen, dass er tatsächlich bei seinem Arbeitgeber beschäftigt ist. Hierbei werden die zentralen User-Identitäten im Azure AD genutzt, um dezentrale VCs zu erstellen. 

VC’s können hier als digitale Arbeitsnachweise angesehen werden 

Dies hat nach der Einrichtung folgende Vorteile:

  • Leichte Bestätigung durch den Arbeitnehmenden über die LinkedIn App 
  • Der Arbeitgeber kann steuern wer eine VC erhält und dies auditieren
  • Schaffung von Vertrauen und Vermeidung von Rufschädigung durch unbestätigte Dritte
  • Wiederverwendbare Infrastruktur zum Ausstellen von VCs 

Inhalt dieses Blogs ist die Erklärung der Azure-seitigen „Microsoft Entra Verified ID“ Konfiguration mit dem Ziel, dass im Unternehmen grundlegend VCs ausgestellt werden können. Diese wiederum können bei Verifiern genutzt werden, um einen Arbeitsnachweis zu liefern.

Im letzten Teil wird diese Infrastruktur genutzt, um anhand der LinkedIn-Arbeitsplatzverifikation meine VC auszustellen, welche nachweist, dass ich tatsächlich bei der Provectus Technologies GmbH beschäftigt bin. 

 

DISCLAIMER: Aktuell wurde der Rollout der Arbeitsplatzbestätigung via VCs bei LinkedIn in Europa gestoppt. Nichtsdestotrotz finden die Leser*innen hier eine Vorstellung der funktionierenden Konfiguration, um im Falle einer Wiederaufnahme technisch bereit zu sein.

Grundbegriffe: Verified ID

1.DID 

Dezentralisierte Identitäten, kurz DID, sind eindeutige IDs, welche einerseits die Methode der Abfrage festlegen und andererseits eine global eindeutige Zeichenreihenfolge darstellen (siehe auch Azure Active Directory Verifiable Credentials | Blockchain-ID-aaS | Blog (provectus.de)). DIDs werden sowohl für Unternehmen als auch für die User vergeben. Somit ist jeder User und jedes Unternehmen eindeutig über seine DID identifizierbar, ohne persönliche Daten teilen zu müssen.

 

2. TRUST SYSTEM 

Um VCs auszustellen und zu verifizieren, benötigt man ein öffentliches zugängliches Trust System. Hier wird ein Dokument gehostet, welches auf den öffentlichen DID-Schlüssel eines Unternehmens verweist.  

Wir verwenden das Identity Overlay Network (ION). Dieses Netzwerk baut auf der Bitcoin Blockchain Technologie auf und kommuniziert auf OSI Layer 2. Damit ist das Netzwerk für jedermann zugänglich. Weiterhin wird hier das zentrale DID Document gehostet, welches für VC-Ausstellungen und -Präsentationen verwendet wird. Der Clou ist, dass nur lesend und schreibend auf dieses Netzwerk zugegriffen wird und die Daten dezentral und repliziert gespeichert werden. 

Beispielsweise das Provectus GmbH DID Objekt Dokument: 

ION – an open, public, permissionless decentralized identifier network (identity.foundation) 

3. ISSUER/AUSSTELLER 

Das Prinzip ist, dass hier ein zentraler Identityprovider, in unserem Falle die Azure Active Directory mit dem Feature Microsoft Entra Verified ID, mit dem ION verbunden werden. Eine Rest API übernimmt dann die Kommunikation mit der ION API (auch Microsoft Resolver genannt). Hierdurch können berechtigte Prinzipale nach AAD User Authentifizierung VCs ausstellen. Bei einer VC-Ausstellung wird die Issuer und die User DID innerhalb der VC eingetragen. 

4. USER 

Ein User kann nach erfolgreicher Authentifizierung bei der Azure AD ein VC anfragen. Dieses muss in einer digitalen Wallet dezentral gespeichert werden. Der Microsoft Authenticator wäre beispielsweise ein Wallet. Der Enduser benötigt nur die Mittel, sich gegenüber der Azure AD zu authentifizieren, also z. B. seinen Usernamen, sein Password und evtl. die Zwei-Faktor-Authentifizierung (bei MFA). 

 

5. VERIFIER/ÜBERPRÜFER 

Ein Verifier überprüft VCs. In unserem Fall ist das LinkedIn. 

Der Scope dieses Blogs liegt darin das Grundsetup von Microsoft Entra Verified ID zu erklären und das Aufsetzen einer Issuer Instanz. Es ist aber auch möglich VCs mithilfe von Microsoft Entra Verified ID zu überprüfen, diesen Vorgang nennt man Präsentation. 

Der große Vorteil ist, dass die VC’s beim User, also dezentral liegen, eben genau wie ein analoger Ausweis. Dieser kann bei jedem geeigneten Verifier vorgezeigt werden, wie bei einem Personalausweis. Hier ist sowohl die Benutzerfreundlichkeit als auch das potenzielle Anwendungsfeld mannigfaltig. 

Es muss nach Ausstellung (Issuing) der VC nicht noch ein externer zentraler Identityprovider zwischengeschaltet werden, um die Arbeitnehmerschaft zu bestätigen.

Eine genaue Konfiguration für die Ausstellung von VCs innerhalb eines Azure Tenants folgt im nächsten Teil. 

Das könnte dich auch interessieren

Echt Ich

Echt Ich Matthias

In ECHT ICH erfahrt ihr mehr über Matthias, seinen Arbeitsalltag , seine Hobbys und seine Motivation für einen Job bei Provectus.
Weiterlesen
Blogbeitrag

Passkeys: Die Schlüssel zu einer sichereren und passwortlosen Zukunft

Die Frequenz von Phishing-Attacken steigt immer weiter. Wie sieht also die Authentifizierung der Zukunft aus?
Weiterlesen
Echt Ich

Echt Ich Svenja

In ECHT ICH erfahrt ihr mehr über Svenja, ihren Arbeitsalltag , ihre Rolle im Team und ihre Gründen für einen Job bei Provectus.
Weiterlesen
Blogbeitrag

Entra Private Access – Zero Trust für den hybriden Arbeitsplatz?

Mit Entra Private Access entwickelt Microsoft derzeit die wohl weitsichtigste Lösung für einem Hybriden Arbeitsplatz.
Weiterlesen
Blogbeitrag

Microsoft Copilot

Microsoft läutet mit dem Copiloten eine neue Ära der KI ein. Der Copilot ist mit dem neusten 23H2-Feature-Update für Windows 11 verfügbar und beinhaltet mehr als 150 neue Funktionen.
Weiterlesen
Whitepaper

Lizenzänderungen bei Citrix – Was Sie jetzt wissen müssen

In unserem kostenfreien Whitepaper bringen wir Licht ins Dunkle und erklären Ihnen, was Sie über die aktuelle Situation bei Citrix und die damit einhergehenden Änderungen wissen müssen.
Weiterlesen
Blogbeitrag

Datenschutzkonformer Einsatz von Microsoft 365 bei Sozialdatenträgern

Wir erklären, was Sie beachten sollten, wenn Sie Microsoft 365 als Sozialdatenträger DSGVO-konform einsetzen möchten.
Weiterlesen
Blogbeitrag

Verlängerter Support für Windows Server 2012/R2

Der Support für Windows Server 2012/R2 läuft aus, was bedeutet, dass Microsoft keine Sicherheitsupdates mehr bereitstellt.
Weiterlesen
Blogbeitrag

Verified Credentials

In diesem Beitrag geht es um die Konfiguration der Verified Credentials und die dafür benötigten Azure-Komponenten.
Weiterlesen
Blogbeitrag

Neuer Angemessenheits-beschluss für den Datenverkehr EU-USA

Die EU-Kommission hat einen neuen Angemessenheitsbeschluss für den transatlantischen Datenschutzrahmen EU-USA angenommen,
Weiterlesen
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter