Foto von Julien Moreau auf Unsplash
Der 3. Teil unserer Tech-Blogreihe dreht sich um das Identity, Credential and Access Management Document (24.07 Release). Hier brechen wir die technischen Inhalte auf ein einfacheres Level herunter und geben einen kompakten Überblick über die Inhalte. Die Änderungen zur vorherigen Version (22.10 Release) können hier eingesehen werden.
tl;dr
Dieses Dokument umfasst die Gaia-X-Spezifikationen für Identity, Credential and Access Management (ICAM). Das Dokument beschreibt die Komponenten für „Authorization & Authentication“, die den Gaia-X-Teilnehmern Kernfunktionen für Autorisierung, Zugriffsmanagement und Authentifizierung sowie entsprechende Dienste zur Verfügung stellen sollen, um sich in die vertrauensvolle Umgebung des Gaia-X-Ökosystems einzufügen.
1. Credential Format
Die Sektion über das Credential Format im Dokument beschreibt die Struktur und Spezifikationen von Gaia-X Credentials, die auf dem W3C-Modell für verifiable Credentials (VC) basieren. VCs sind verifizierbare digitale Nachweise.
Das W3C-Modell für Verifiable Credentials (VCs) ist ein standardisiertes Framework, das digitale Berechtigungen beschreibt, die von einem Aussteller (Issuer) an einen Inhaber (Holder) ausgegeben werden und von einem Prüfer (Verifier) verifiziert werden können. Dieses Modell ermöglicht eine dezentralisierte und sichere Verwaltung von Identitätsdaten, die den Benutzern mehr Kontrolle über ihre persönlichen Informationen gibt.
Diese Struktur gewährleistet, dass Gaia-X Credentials sicher, nachvollziehbar und konform mit den festgelegten Standards sind.
2. Trust Anchor Credentials
Trust Anchor Credentials basieren ebenfalls auf dem „W3C VCs Data Model v2.0” und dienen der maschinenlesbaren Darstellung zur Akkreditierung eines Trust Anchors für einen bestimmten Bereich. Sie ermöglichen die Nutzung von Party Credentials, indem sie deren akkreditierte Aussteller definiert und fördert die Kooperation und Interoperabilität zwischen Organisationen und Datenräumen.
3. Party Credentials
Die Party Credentials basieren ebenfalls auf dem „VCs Data Model v2.0“ und dienen als Grundlage für Identifikation, Authentifizierung und Autorisierung für alle Akteure wie natürliche Personen, Dienstleistungen und juristische Personen. Für diese unterschiedlichen Akteure wird die Grundlage erweitert, um den Anforderungen der unterschiedlichen Akteure gerecht zu werden.
Private Party Credentials, die persönlich identifizierbare Informationen (PII) enthalten, sollten nicht öffentlich zugänglich sein und müssen sicher gespeichert werden. Sie können selektiv offengelegt werden.
4. Private and Public Party Credentials
Die Private Party Credentials (z. B. NaturalPersonCredential) werden von einem juristischen Teilnehmer an einen Benutzer ausgegeben und enthalten Informationen wie Name und Rollen (Anbieter, Verbraucher, Federator). Diese Credentials sind nicht öffentlich und sollen im Wallet des Halters gespeichert werden.
Im Gegensatz dazu sind Public Party Credentials Daten, die öffentlich zugänglich sind.
Die Lebenszyklusverwaltung von Party Credentials umfasst Zustände wie „aktiv“, „abgelaufen“, „widerrufen“ oder „ausgesetzt“, je nach Status der zugehörigen Schlüssel und Zertifikate.
Zudem ermöglicht die Verwendung von Credential Status Lists (CSL) eine standardisierte Verwaltung des Status von VCs. Andere Akteure können den aktuellen Status über referenzierte “Uniform Resource Identifier” (URIs) von einer Liste abrufen, um die Gültigkeit der Credentials zu überprüfen.
Beispiel:
EduCert (fiktive Institution) gibt Absolvent:innen digitale Verifiable Credentials mit einem URI zur Credential Status List (CSL) aus. Dritte, wie potenzielle Arbeitgeber, können über diesen URI den aktuellen Status der Credentials überprüfen. So stellen sie sicher, dass die Zertifizierung gültig bleibt, während regelmäßige Updates der CSL die Informationen aktuell halten.
5. OpenID Connect for VCs
OpenID Connect for VCs (OIDC4VC) ist ein informeller Begriff für eine Sammlung von Spezifikationen, die den Austausch von VCs und Verifiable Presentations ermöglichen. Die beiden Hauptspezifikationen im Gaia-X-Ökosystem sind:
- ENTWURF – OpenID Connect for Verifiable Credential Issuance (OIDC4VCI)
- ENTWURF – OpenID Connect for Verifiable Presentations (OIDC4VP)
Beide Protokolle werden verwendet, wenn ein VC im Gaia-X Clearing House produziert oder konsumiert werden muss, und sichern den Austausch durch Authentifizierung und Nachweis des Besitzes.
6. Signature Credential
Die Signature Credentials im Rahmen des ICAM-Dokuments stellen eine maschinenlesbare Signatur dar, die von Teilnehmern in verschiedenen Kontexten bereitgestellt wird, insbesondere zur Unterzeichnung von Datenverwendungsvereinbarungen und -verträgen. Diese Credentials ähneln den von Compliance-Diensten ausgestellten Credentials.
Ein rechtlich relevantes Zertifikat (z. B. gemäß eIDAS) kann die Vertrauenswürdigkeit der Signatur erhöhen.
7. Trust Framework implementation
Die Verwendung, Erweiterung und Anpassung des semantischen Modells des Trust Frameworks ist in zwei Schritten möglich:
- Definition des Trust Anchors über die TrustAnchorCredential, um Vertrauensaussteller und relevante Vokabulare festzulegen.
- Definition der Delegationskette mit der PartyCredential-Spezialisierung.
Beispiel für die Verteilung von Zugriffsrechten durch Mitarbeitendenauthentifizierung:
Ein Unternehmen möchte Mitarbeitenden sicheren Zugriff auf Cloud-Dienste ohne zentralen Identitätsanbieter ermöglichen, basierend auf Selbstsouveräner Identität (SSI).
Credentials:
- Employee Credential: beispielsweise von HR-Abteilung ausgestellt, enthält Identifikatoren und Rollen.
- Access Entitlement Credentials: Von Vorgesetzten zur Zugriffsverwaltung.
Authentifizierung:
Mitarbeitende präsentieren Credentials zur Überprüfung und Nutzung eines Services.
Widerruf:
Credentials können über eine Widerrufsliste oder ein Register vom Aussteller (bspw. HR-Abteilung) widerrufen werden. Zum Beispiel bei dem Ausscheiden von Mitarbeitenden.
Implementierung:
Nutzung von dezentralen Identifikatoren DIDs, verifizierbares Datenregister, Sicherstellung von Privatsphäre und Interoperabilität mit W3C Standards.