對比分散式身分識別與中央身分識別系統
集中式身分識別
集中式身分識別管理或中央身分識別系統是儲存和管理認證所在的單一身分識別工具,以提供驗證和授權功能。 此系統可以是內部部署或雲端式。 系統會由身分識別授權單位或系統管理員集中管理。 然後,中央身分識別系統可用來提供工具、資料和其他資源的已驗證存取權。
- 認證是在儲存時驗證
- 管理是由單一授權單位進行
- 系統管理員或系統管理員群組
- 用於身分識別和存取管理
- 範例:Microsoft Entra ID
安全自適性存取 - 使用強式驗證和資料,保護對資源的存取,以及以風險為基礎的自適性存取原則,而不會影響使用者體驗。
流暢的使用者體驗 - 提供簡單、快速的登入體驗,讓您的使用者保持生產力、減少管理密碼的時間,以及提升使用者生產力。
整合身分識別管理 - 管理所有身分識別和存取集中位置中的所有應用程式,無論是在雲端或內部部署,以改善可見度和控制。
簡化的身分識別控管 - 使用自動化身分識別控管有效率地控制所有使用者和系統管理員對應用程式和資料的存取權,以確保只有授權的使用者具有存取權。
分散式身分識別
分散式身分識別方法可協助人員、組織和項目在身分識別信任網狀架構中,以透明且安全的方式彼此互動。 人員會控制自己的數位身分識別和認證。 分散式識別碼 (DID) 則不同。 DID 是使用者所產生且自行擁有的全域唯一識別碼,並以分散式系統為基礎。 其具有獨特的特性,例如更能保證不變性、抗審查性,以及篡改規避性。 這些屬性對於提供自我擁有權和使用者控制的任何識別碼系統而言不可或缺。
若要取得 DID,您可以使用您控制的裝置來下載 DID 使用者代理程式應用程式。 就像網頁瀏覽器是可協助您瀏覽網頁的信任使用者代理程式一樣,DID 使用者代理程式可協助您管理 DID 的所有層面:建立識別碼、驗證、資料加密,以及金鑰和權限的管理。 分散式身分識別的常見誤解是,所有身分識別資料都會公開在區塊鏈等公用系統上。 Microsoft 認為 DID 實作應該嚴格使用分散式系統來錨定識別碼和非 PII DPKI 中繼資料 (如上所述),以便為 DID 擁有者啟用路由和驗證,而沒有審查性的風險。 使用者的實際身分識別資料會在使用者的唯一控制下在「區塊鏈外」加密。
分散式身分識別的元件
W3C 分散式識別碼 (DID) - 使用者在任何組織或政府之外獨立建立、擁有及控制的識別碼。 DID 是全域唯一識別碼,其連結至分散式公開金鑰基礎結構 (DPKI) 中繼資料,其由包含公開金鑰資料、驗證描述項和服務端點的 JSON 文件組成。
分散式系統 (例如區塊鏈和總帳) - DID 以分散式系統為基礎,可提供 DPKI 所需的機制和功能。 Microsoft 會參與 DID 實作的標準和技術的社群開發。 標準支援各種區塊鏈和總帳。
DID 使用者代理程式 - 可讓實際人員使用分散式身分識別的應用程式。 使用者代理程式應用程式可協助建立 DID、管理資料和權限,以及簽署/驗證 DID 連結宣告。 Microsoft 會提供類似電子錢包的應用程式,可作為使用者代理程式來管理 DID 和相關聯的資料。
DIF 通用解析程式 - 一部伺服器,其利用 DID 驅動程式的集合,為實作和分散式系統間的 DID 提供標準查閱和解析方式,並傳回封裝與 DID 相關聯的 DPKI 中繼資料的 DID 文件物件 (DDO)。
DIF 身分識別中樞 - 一個複寫的加密個人資料存放區網格,組成為雲端和邊緣執行個體 (例如行動電話、電腦或智慧型喇叭),有助於身分識別資料儲存和身分識別互動。
DID 證明 - DID 簽署的證明是以標準格式和通訊協定為基礎。 他們可讓身分識別擁有者產生、出示和驗證宣告。 信任的開始是在系統使用者之間。
分散式應用程式和服務 - 與身分識別中樞個人資料存放區配對的 DID 可讓您建立新的應用程式和服務類別。 其會使用使用者的身分識別中樞儲存資料,並在獲授與的權限範圍內作業。