Microsoft Ignite The Tourの参加メモを残しておきます。
BRK30053 分権型IDテクノロジーによる効率的な外部ユーザのID管理
デジタルアイデンティティをどうやって確かなものにしていくか。
外部ユーザとのコラボレーションの課題
- 直接あったことのない人をどうやって信頼するか
B2Bシナリオ 従来はホスト側で責任をもって管理し、招待し、フェデレーションしなくてはならない。
ちゃんとフェデレーションできているか
NIST S800-63C FAL
- 意外とB2Bの基準で組まれることが多い
- アサーションがトランザクションに対してどのように構成され、保護されているか
→つまり、そのトランザクションはID情報をやり取りするだけの安全性を持っているかどうか
Binding:stateとnonceをちゃんと使えているか → bindingがなくても動いてしまう。 セッションの乗っ取りやトークンリプレイ攻撃をされてしまう。
アプリケーションが署名を検証しなくては意味がない。- 署名検証: SAML AssertionやJWTの検証をちゃんとしているか
そもそも外部ユーザーの管理の要件とは
- 双方に面倒なせっていがいらない
- そのユーザーが企業に属していることを確認できる
- 作成や管理はホスト側でしなくても済むこと
→ bring you own identity
インテンションエコノミー
- 顧客の意思が中心の経済
自分の意思の情報を店に提供する
SSI 自己主権型アイデンティティ
DID 分件型アイデンティティ
- ざっくりいうと分散台帳の上に公開された公開鍵基盤
SSI/DIDで実現したい世界
- 物理の世界で発行したID(免許証、保険証、会員証)は発行元を信頼して認証されている
- ディジタルの世界ではなんでできないのか
中央集権型アイデンティティ基盤
- プライバシー問題
- 属性の保証
簡単にいうと「運営主体が利用者の行動を把握することなく」、「アプリケーションとID基盤が直接通信sることなく」、本人確認と認証を行うことができるモデルの構築を目指す。
分散台帳としてブロックチェーンを使うことの利点
- Issuerの事業継続性をきにする必要がない→過去に発行された証明書を継続的に利用することができる
- 一つの主体の都合で捏造、改変、駆除ができない
外部ユーザー管理のシナリオへ当てはめる
BYOID by SSI EKYC powered by did
- パートナー企業自体が自身のIDを持ち歩く
デモ ADB2C + uPORT ID Wallet
- ID wallet上のサプライヤの社員証を使ってアイデンティティを証明する
- フェデレーション構成や外部ID管理を行う必要なし
- walletの登録と社員証の発行