分散化 ID と中央 ID システムとの対比

  • 3 分

一元化された ID

一元化された ID 管理または中央 ID システムは、認証と承認の機能を提供するために、資格情報が格納および管理される単一の ID ツールです。 このシステムは、オンプレミスでもクラウド ベースでもかまいません。 システムは、ID 機関または管理者によって一元的に管理されます。 その後、中央 ID システムを使用して、ツール、データ、およびその他のリソースへの確認済みアクセスを提供できます。

Diagram of a database storing verified identities. A couple of icons showing users granted access to resources, based on their identity.

  • 資格情報は格納時に確認される
  • 管理は単一の機関によって行われる
    • 管理者または管理者グループ
  • ID とアクセス管理に使用
  • 例: Microsoft Entra ID

セキュリティで保護された適応型のアクセス - ユーザー エクスペリエンスを損なうことなく、強力な認証とリスク ベースの適応型アクセス ポリシーを使用して、リソースとデータへのアクセスを保護します。

シームレスなユーザー エクスペリエンス - 簡単で時間のかからないサインイン エクスペリエンスを提供することで、ユーザーの生産性を維持し、パスワードの管理時間を短縮し、エンドユーザーの生産性を向上させます。

統合 ID 管理 - クラウドかオンプレミスかに関係なく、すべての ID とすべてのアプリへのアクセスを一元的に管理して、可視性と制御を向上させます。

簡素化された ID ガバナンス - すべてのユーザーと管理者のアプリとデータへのアクセスを自動化された ID ガバナンスを使用して効率的に制御し、承認されたユーザーのみがアクセスできるようにします。

分散化 ID

分散化 ID アプローチは、ID 信頼ファブリック内でのユーザー、組織、および物の透過的かつ安全な相互のやりとりに役立ちます。 ユーザーは独自のデジタル ID と資格情報を制御します。 分散化識別子 (DID) は異なります。 DID は、分散化システムに基づく、ユーザー生成自己所有グローバル一意識別子です。 不変性のより確実な保証、検閲防止、改ざんの回避など、固有の特性を備えています。 これらの属性は、自己所有とユーザーによる制御を実現することを目的とする ID システムにとって非常に重要です。

DID を取得するには、自分が制御しているデバイスを使用して、DID ユーザー エージェント アプリをダウンロードします。 Web ブラウザーが Web の操作に役立つ信頼されたユーザー エージェントであるのと同様に、DID ユーザー エージェントは、識別子の作成、認証、データ暗号化、キーとアクセス許可の管理など、DID のすべての側面を管理するのに役立ちます。 分散化 ID に関するよくある誤解は、すべての ID データがブロックチェーンなどのパブリック システムで公開されるというものです。 Microsoft は、DID の実装では、識別子と PII 以外の DPKI メタデータを厳密に固定するために分散化システムを使用して (上記の一覧のとおり)、検閲のリスクなしに DID 所有者のルーティングと認証を有効にする必要があると考えています。 ユーザーの実際の ID データは、ユーザーのみが制御する暗号化された "オフチェーン" に存在します。

Diagram of the flow of decentralized credentials from an external provider into the Microsoft identity system.

分散化 ID のコンポーネント

W3C 分散化識別子 (DID) 一 組織または政府から独立してユーザーが作成、所有、制御する ID。 DID は、公開キー マテリアル、認証記述子、サービス エンドポイントを含む JSON ドキュメントで構成された分散公開キー インフラストラクチャ (DPKI) メタデータにリンクされたグローバル一意識別子です。

分散化システム (ブロックチェーンや台帳など) — DID は、DPKI に必要なメカニズムと機能を提供する分散化システムに根ざしています。 Microsoft は DID 実装の標準とテクノロジのコミュニティ開発に参加しています。 この標準では、さまざまなブロックチェーンと台帳がサポートされています。

DID ユーザー エージェント — 実際のユーザーが分散化 ID を使用できるようにするアプリケーション。 ユーザー エージェント アプリは、DID の作成、データとアクセス許可の管理、DID にリンクされた要求の署名や検証に役立ちます。 Microsoft は、DID と関連データを管理するためのユーザー エージェントとして機能できる、ウォレットのようなアプリを提供します。

DIF ユニバーサル リゾルバー — 一連の DID ドライバーを利用して、実装と分散化システム全体の DID の標準的な検索と解決手段を提供し、DID に関連付けられている DPKI メタデータをカプセル化する DID ドキュメント オブジェクト (DDO) を返すサーバー。

DIF Identity Hub — クラウドとエッジ インスタンス (携帯電話、PC、スマート スピーカーなど) で構成される、暗号化された個人データストアのレプリケートされたメッシュであり、ID データの格納と ID のやりとりを容易にします。

DID 構成証明 — DID で署名された構成証明は、標準の形式とプロトコルに基づいています。 これらにより、ID 所有者によるクレームの生成、表示、検証が可能になります。 システムのユーザー間の信頼の始まりとなります。

分散化アプリとサービス — Identity Hub の個人データストアとペアになった DID を使用すると、新しいクラスのアプリとサービスを作成できます。 ユーザーの Identity Hub を使ってデータを格納し、付与されたアクセス許可の範囲内で動作します。