Uniendo SSI con OAuth 2.0 y OIDC para una Identidad Mejorada (ES)

SSI y Sistemas CentralizadosLa integración de la Identidad Auto-Soberana (SSI) con OAuth 2.0 y OIDC fusiona el control de usuario descentralizado con la autenticación establecida, creando un marco de identidad híbrido y potente.

Credenciales Verificables en la PrácticaLas Credenciales Verificables (VCs) emitidas a través de SSI pueden presentarse como prueba de atributos (ej., edad, residencia) dentro de los flujos de OIDC, mejorando la privacidad al revelar solo la información necesaria.

Patrones de Integración TécnicaLa implementación de esto implica usar OIDC como capa de autenticación mientras que las VCs proporcionan verificación de atributos, a menudo intermediada por una billetera o agente que se comunica con el proveedor de OIDC.

El Rol de Didit en la Identidad HíbridaLa plataforma de identidad nativa de IA de Didit, con sus soluciones modulares de Verificación de Identidad, Prueba de Vida y Prueba de Domicilio, está idealmente posicionada para soportar la emisión y verificación de credenciales dentro de un marco OIDC mejorado con SSI, ofreciendo KYC Básico Gratuito e integración flexible.

La Evolución de la Identidad Digital: De Centralizada a Auto-Soberana

La identidad digital ha evolucionado rápidamente, pasando de simples combinaciones de nombre de usuario/contraseña a complejos sistemas federados. Si bien protocolos como OAuth 2.0 y OpenID Connect (OIDC) han agilizado significativamente la autenticación y autorización, todavía dependen en gran medida de proveedores de identidad centralizados. Este modelo, aunque conveniente, concentra poder y datos, convirtiéndolo en un objetivo para brechas de seguridad y limitando el control del usuario sobre su información personal. La Identidad Auto-Soberana (SSI) ofrece un cambio de paradigma, empoderando a los individuos con la propiedad y el control directos sobre sus identidades y datos digitales a través de Credenciales Verificables (VCs).

SSI permite que un individuo posea sus atributos de identidad (ej., edad, dirección, cualificaciones) como VCs criptográficamente seguras emitidas por entidades de confianza (emisores). Estas VCs se almacenan en una billetera digital controlada por el individuo, quien luego puede presentarlas selectivamente a los verificadores sin depender de una autoridad central. El desafío radica en integrar este enfoque descentralizado y centrado en la privacidad con la infraestructura ampliamente adoptada y robusta de OAuth 2.0 y OIDC.

Esta integración no se trata de reemplazar OAuth/OIDC, sino de aumentarlos. OAuth 2.0 y OIDC sobresalen en la provisión de flujos seguros de autenticación y autorización. SSI, por otro lado, sobresale en la provisión de pruebas de atributos verificables y que preservan la privacidad. Al combinar estas fortalezas, podemos construir una internet más resiliente, centrada en el usuario y segura.

Cerrando la Brecha: Cómo OAuth 2.0 y OIDC Pueden Trabajar con SSI

La integración de SSI con OAuth 2.0 y OIDC implica aprovechar OIDC para el "handshake" de autenticación mientras que SSI proporciona los atributos verificables. Imagine un escenario en el que un usuario necesita probar que es mayor de 18 años para acceder a un servicio con restricción de edad. Tradicionalmente, esto podría implicar compartir una licencia de conducir con el proveedor de servicios, que luego la verifica contra una base de datos. Con SSI, el usuario podría presentar una VC de 'Mayor de 18 años', emitida por una agencia gubernamental de confianza, directamente desde su billetera digital. El proveedor de servicios, actuando como un "Relying Party" de OIDC, podría entonces solicitar esta VC como parte del flujo de autenticación de OIDC.

Un patrón de integración común implica que un proveedor de OIDC actúe como intermediario. Cuando un "Relying Party" solicita reclamaciones específicas (atributos), el proveedor de OIDC podría, en lugar de obtenerlas de su propia base de datos, solicitar al usuario que presente una VC correspondiente de su billetera SSI. El proveedor de OIDC luego verifica la autenticidad y validez de la VC (ej., firma del emisor, estado de revocación) y extrae las reclamaciones necesarias para pasarlas al "Relying Party" en el token de ID o en el "endpoint" de información del usuario. Este método mantiene el flujo OIDC familiar para el "Relying Party" mientras introduce los beneficios de privacidad y verificabilidad de SSI.

Por ejemplo, el producto de Estimación de Edad de Didit podría ser utilizado por un emisor para verificar la edad de un usuario durante la emisión inicial de una VC relacionada con la edad. Esto asegura la integridad de la credencial en su origen. De manera similar, la Verificación de Identidad asegura que la identidad del individuo que solicita la VC se establezca con precisión antes de la emisión.

Patrones de Integración Prácticos y Casos de Uso

Están surgiendo varios patrones para esta integración:

1. OIDC como Interfaz de Billetera SSI: El propio proveedor de OIDC puede facilitar la interacción con la billetera SSI del usuario. Cuando un "Relying Party" de OIDC solicita ciertas reclamaciones (ej., es_mayor_de_18, prueba_de_domicilio), el proveedor de OIDC traduce esto en una solicitud de presentación verificable a la billetera del usuario. El usuario aprueba la presentación, y el proveedor de OIDC valida la VC antes de entregar las reclamaciones al "Relying Party".
2. Presentación Directa de VC a través de OIDC: En escenarios más avanzados, el flujo de OIDC podría extenderse para solicitar directamente una Presentación Verificable (VP) al usuario. Los parámetros scope o claims de OIDC podrían especificar el tipo de VC requerido. La billetera del usuario facilitaría entonces la creación y firma de la VP, que luego se envía al "Relying Party" para su verificación.
3. Enfoque Híbrido con Agentes de Atributos: Un agente de atributos, a menudo otro proveedor de OIDC o un servicio dedicado, podría situarse entre la billetera SSI del usuario y el "Relying Party". Este agente convertiría las VCs en reclamaciones OIDC estándar, simplificando la integración para las aplicaciones existentes.

Considere una institución financiera que incorpora a un nuevo cliente. En lugar de recopilar y almacenar copias de una factura de servicios públicos, la institución ("Relying Party") podría solicitar una VC de 'Prueba de Domicilio' a través de un flujo de OIDC. La solución de Prueba de Domicilio de Didit podría ser utilizada por la compañía de servicios públicos (Emisor) para verificar la dirección y emitir la VC inicialmente. La institución luego verifica la autenticidad de la VC sin necesidad de almacenar el documento subyacente, mejorando la privacidad y reduciendo la responsabilidad de los datos. Para la prevención de fraudes, la Prueba de Vida Pasiva y Activa de Didit puede ser crucial durante el proceso inicial de verificación de identidad al emitir una VC fundamental, asegurando que el individuo sea real y esté presente.

Desafíos y el Camino a Seguir

Si bien los beneficios son claros, la integración de SSI con OAuth/OIDC presenta desafíos. Estos incluyen establecer marcos de confianza para los emisores de VC, estandarizar los formatos de VC y los protocolos de intercambio de presentaciones, y garantizar una experiencia de usuario fluida para la gestión de billeteras digitales y la aprobación de presentaciones. La interoperabilidad entre diferentes ecosistemas SSI y proveedores OIDC es clave para una adopción generalizada.

El camino a seguir implica una colaboración continua entre organismos de estandarización, proveedores de identidad y proveedores de tecnología. Centrarse en herramientas y APIs amigables para desarrolladores acelerará la adopción. A medida que SSI gane terreno, la capacidad de integrarse sin problemas con la infraestructura de identidad establecida será primordial. La arquitectura modular y nativa de IA de Didit está diseñada para adaptarse a estos paradigmas de identidad en evolución, proporcionando bloques de construcción flexibles para una verificación robusta.

Cómo Ayuda Didit

Didit está a la vanguardia de la construcción de la capa de identidad modular y abierta para la internet moderna, lo que lo convierte en un socio ideal para implementar soluciones de identidad mejoradas con SSI. Nuestra plataforma nativa de IA ofrece un conjunto de primitivas de identidad componibles que pueden servir como emisores y verificadores dentro de un marco SSI-OIDC. Por ejemplo, las capacidades de Verificación de Identidad (OCR, MRZ, códigos de barras) y Verificación NFC de Didit pueden ser aprovechadas por los emisores para verificar los documentos físicos de un individuo con alta seguridad antes de emitir una Credencial Verificable. Nuestra detección de Prueba de Vida Pasiva y Activa asegura que la persona que solicita la credencial sea real y esté presente, combatiendo los "deepfakes" y los intentos de suplantación en el punto de emisión.

Además, la Detección y Monitoreo AML de Didit puede integrarse en el proceso de emisión de credenciales para garantizar el cumplimiento, mientras que la Prueba de Domicilio verifica las reclamaciones de residencia. Para los verificadores que consumen reclamaciones OIDC mejoradas con SSI, Didit puede actuar como un "backend" robusto para verificar atributos o realizar verificaciones adicionales si es necesario. Nuestra arquitectura modular significa que puede elegir los componentes exactos que necesita, sin verse obligado a paquetes inflados. Con KYC Básico Gratuito y sin tarifas de configuración, Didit empodera a las empresas para experimentar y escalar sus soluciones de identidad de manera efectiva, asegurando que estén listas para el futuro de la identidad descentralizada y verificable.

¿Listo para empezar?

¿Listo para ver Didit en acción? Obtén una demostración gratuita hoy.

Comienza a verificar identidades gratis con el nivel gratuito de Didit.