Renforcer l'identité numérique : SSI, OAuth 2.0 et OIDC (FR)

SSI et systèmes centralisésL'intégration de l'Identité Auto-Souveraine (SSI) avec OAuth 2.0 et OIDC fusionne le contrôle utilisateur décentralisé avec l'authentification établie, créant un cadre d'identité hybride puissant.

Identifiants vérifiables en pratiqueLes identifiants vérifiables (VCs) émis via SSI peuvent être présentés comme preuve d'attributs (par ex. âge, résidence) dans les flux OIDC, améliorant la confidentialité en ne révélant que les informations nécessaires.

Modèles d'intégration techniqueLa mise en œuvre implique l'utilisation d'OIDC comme couche d'authentification, tandis que les VCs fournissent la vérification des attributs, souvent gérée par un portefeuille ou un agent qui communique avec le fournisseur OIDC.

Le rôle de Didit dans l'identité hybrideLa plateforme d'identité native de l'IA de Didit, avec ses solutions modulaires de vérification d'identité, de liveness et de preuve d'adresse, est idéalement positionnée pour soutenir l'émission et la vérification des identifiants dans un cadre OIDC amélioré par la SSI, offrant un KYC Core gratuit et une intégration flexible.

L'évolution de l'identité numérique : du centralisé à l'auto-souverain

L'identité numérique a rapidement évolué, passant de simples combinaisons nom d'utilisateur/mot de passe à des systèmes fédérés complexes. Bien que des protocoles comme OAuth 2.0 et OpenID Connect (OIDC) aient considérablement rationalisé l'authentification et l'autorisation, ils reposent encore largement sur des fournisseurs d'identité centralisés. Ce modèle, bien que pratique, concentre le pouvoir et les données, ce qui en fait une cible pour les violations et limite le contrôle de l'utilisateur sur ses informations personnelles. L'Identité Auto-Souveraine (SSI) offre un changement de paradigme, permettant aux individus de posséder et de contrôler directement leurs identités et données numériques grâce aux Identifiants Vérifiables (VCs).

La SSI permet à un individu de détenir ses attributs d'identité (par ex. âge, adresse, qualifications) sous forme de VCs sécurisés cryptographiquement et émis par des entités de confiance (émetteurs). Ces VCs sont stockés dans un portefeuille numérique contrôlé par l'individu, qui peut ensuite les présenter sélectivement aux vérificateurs sans dépendre d'une autorité centrale. Le défi consiste à intégrer cette approche décentralisée et axée sur la confidentialité avec l'infrastructure largement adoptée et robuste d'OAuth 2.0 et d'OIDC.

Cette intégration ne vise pas à remplacer OAuth/OIDC, mais à les augmenter. OAuth 2.0 et OIDC excellent dans la fourniture de flux d'authentification et d'autorisation sécurisés. La SSI, quant à elle, excelle dans la fourniture de preuves d'attributs vérifiables et respectueuses de la vie privée. En combinant ces forces, nous pouvons construire un internet plus résilient, centré sur l'utilisateur et sécurisé.

Combler le fossé : comment OAuth 2.0 et OIDC peuvent fonctionner avec la SSI

L'intégration de la SSI avec OAuth 2.0 et OIDC implique de tirer parti d'OIDC pour l'authentification, tandis que la SSI fournit les attributs vérifiables. Imaginez un scénario où un utilisateur doit prouver qu'il a plus de 18 ans pour accéder à un service soumis à une restriction d'âge. Traditionnellement, cela pourrait impliquer de partager un permis de conduire avec le fournisseur de services, qui le vérifie ensuite par rapport à une base de données. Avec la SSI, l'utilisateur pourrait présenter un VC « Plus de 18 ans », émis par une agence gouvernementale de confiance, directement depuis son portefeuille numérique. Le fournisseur de services, agissant en tant que partie de confiance OIDC, pourrait alors demander ce VC dans le cadre du flux d'authentification OIDC.

Un modèle d'intégration courant implique un fournisseur OIDC agissant comme intermédiaire. Lorsqu'une partie de confiance demande des revendications spécifiques (attributs), le fournisseur OIDC pourrait, au lieu de les récupérer de sa propre base de données, inviter l'utilisateur à présenter un VC correspondant de son portefeuille SSI. Le fournisseur OIDC vérifie ensuite l'authenticité et la validité du VC (par exemple, la signature de l'émetteur, le statut de révocation) et extrait les revendications nécessaires pour les transmettre à la partie de confiance dans le jeton d'identification ou le point de terminaison userinfo. Cette méthode maintient le flux OIDC familier pour la partie de confiance tout en introduisant les avantages de confidentialité et de vérifiabilité de la SSI.

Par exemple, le produit Estimation de l'âge de Didit pourrait être utilisé par un émetteur pour vérifier l'âge d'un utilisateur lors de l'émission initiale d'un VC lié à l'âge. Cela garantit l'intégrité de l'identifiant à sa source. De même, la Vérification d'identité garantit que l'identité de l'individu demandant le VC est établie avec précision avant l'émission.

Modèles d'intégration pratiques et cas d'utilisation

Plusieurs modèles émergent pour cette intégration :

1. OIDC comme interface de portefeuille SSI : Le fournisseur OIDC lui-même peut faciliter l'interaction avec le portefeuille SSI de l'utilisateur. Lorsqu'une partie de confiance OIDC demande certaines revendications (par ex. is_over_18, proof_of_address), le fournisseur OIDC traduit cela en une demande de présentation vérifiable au portefeuille de l'utilisateur. L'utilisateur approuve la présentation, et le fournisseur OIDC valide le VC avant de livrer les revendications à la partie de confiance.
2. Présentation directe de VC via OIDC : Dans des scénarios plus avancés, le flux OIDC pourrait être étendu pour demander directement une Présentation Vérifiable (VP) à l'utilisateur. Les paramètres scope ou claims d'OIDC pourraient spécifier le type de VC requis. Le portefeuille de l'utilisateur faciliterait alors la création et la signature du VP, qui est ensuite renvoyé à la partie de confiance pour vérification.
3. Approche hybride avec des courtiers d'attributs : Un courtier d'attributs, souvent un autre fournisseur OIDC ou un service dédié, pourrait se situer entre le portefeuille SSI de l'utilisateur et la partie de confiance. Ce courtier convertirait les VCs en revendications OIDC standard, simplifiant l'intégration pour les applications existantes.

Considérez une institution financière qui intègre un nouveau client. Au lieu de collecter et de stocker des copies d'une facture de services publics, l'institution (Partie de confiance) pourrait demander un VC « Preuve d'adresse » via un flux OIDC. La solution Preuve d'adresse de Didit pourrait être utilisée par la compagnie de services publics (Émetteur) pour vérifier l'adresse et émettre le VC initialement. L'institution vérifie ensuite l'authenticité du VC sans avoir besoin de stocker le document sous-jacent, améliorant la confidentialité et réduisant la responsabilité des données. Pour la prévention de la fraude, les solutions Liveness passive et active de Didit peuvent être cruciales pendant le processus initial de vérification d'identité lors de l'émission d'un VC fondamental, garantissant que l'individu est réel et présent.

Défis et voie à suivre

Bien que les avantages soient clairs, l'intégration de la SSI avec OAuth/OIDC présente des défis. Ceux-ci incluent l'établissement de cadres de confiance pour les émetteurs de VC, la normalisation des formats de VC et des protocoles d'échange de présentation, et l'assurance d'une expérience utilisateur transparente pour la gestion des portefeuilles numériques et l'approbation des présentations. L'interopérabilité entre les différents écosystèmes SSI et les fournisseurs OIDC est essentielle à une adoption généralisée.

La voie à suivre implique une collaboration continue entre les organismes de normalisation, les fournisseurs d'identité et les fournisseurs de technologie. L'accent mis sur les outils et les API conviviaux pour les développeurs accélérera l'adoption. À mesure que la SSI gagne du terrain, la capacité à s'intégrer de manière transparente à l'infrastructure d'identité établie sera primordiale. L'architecture modulaire et native de l'IA de Didit est conçue pour s'adapter à ces paradigmes d'identité en évolution, fournissant des blocs de construction flexibles pour une vérification robuste.

Comment Didit vous aide

Didit est à l'avant-garde de la construction de la couche d'identité ouverte et modulaire pour l'internet moderne, ce qui en fait un partenaire idéal pour la mise en œuvre de solutions d'identité améliorées par la SSI. Notre plateforme native de l'IA offre une suite de primitives d'identité composables qui peuvent servir à la fois d'émetteurs et de vérificateurs dans un cadre SSI-OIDC. Par exemple, les capacités de Vérification d'identité (OCR, MRZ, codes-barres) et de Vérification NFC de Didit peuvent être utilisées par les émetteurs pour vérifier les documents physiques d'un individu avec une grande assurance avant d'émettre un identifiant vérifiable. Notre détection de Liveness passive et active garantit que la personne qui demande l'identifiant est réelle et présente, luttant contre les deepfakes et les tentatives d'usurpation au point d'émission.

De plus, le filtrage et la surveillance LCB-FT de Didit peuvent être intégrés au processus d'émission des identifiants pour garantir la conformité, tandis que la Preuve d'adresse vérifie les revendications de résidence. Pour les vérificateurs consommant des revendications OIDC améliorées par la SSI, Didit peut agir comme un backend robuste pour vérifier les attributs ou effectuer des vérifications supplémentaires si nécessaire. Notre architecture modulaire signifie que vous pouvez choisir les composants exacts dont vous avez besoin, sans être contraint par des packages volumineux. Avec un KYC Core gratuit et sans frais de configuration, Didit permet aux entreprises d'expérimenter et de faire évoluer efficacement leurs solutions d'identité, en s'assurant qu'elles sont prêtes pour l'avenir de l'identité décentralisée et vérifiable.

Prêt à commencer ?

Prêt à voir Didit en action ? Obtenez une démo gratuite dès aujourd'hui.

Commencez à vérifier les identités gratuitement avec le niveau gratuit de Didit.