Advertorial
PingOne Neo – die erste dezentrale Identitätsmanagementlösung
Um die digitalen Identitäten ihrer Kunden zu speichern und zu verwalten, setzen Online-Dienstleister auf zentrale Managementlösungen. Dabei müssen sie zahlreiche Nachteile und Risiken in Kauf nehmen. Bis jetzt. Denn mit PingOne Neo stellt Ping Identity das Identitätsmanagement auf den Kopf.
Um das Angebot eines Online-Dienstleisters in Anspruch nehmen zu können, müssen dessen Kunden bei diesem oder einem seiner Identity-Provider eine digitale Identität anlegen. Lange Zeit bestanden digitale Identitäten aus nicht-verifizierten Daten, die vom Anwender einfach eingegeben werden konnten, wie Name, Anschrift, Alter oder Telefonnummer. Cyberkriminelle lud diese Vorgehensweise zum Identitätsbetrug ein. Um Betrugsrisiken zu minimieren, stellten viele Anbieter ihr Verfahren um. Sie verlangten von ihren Kunden nun verifizierte Identitätsdaten, die diese durch eine verifizierende Drittpartei, wie eine Behörde oder eine Bildungseinrichtung, bestätigen lassen konnten. Zum Beispiel nach der Kopie eines Führerscheins oder eines Ausweises. Viele ihrer Kunden sahen darin aber ein echtes Problem. Denn gesammelt, gespeichert und verarbeitet werden diese Daten – zumindest bislang – zentral beim Service- oder Identity-Provider. Nach der Anmeldung haben die Kunden auf sie in aller Regel keine direkte Einwirkungsmöglichkeit mehr. Zur Aktualisierung ihrer digitalen Identität müssen sie mit der Identitätsquelle ihres Identitäts- oder Service-Anbieters kooperieren, wenn es um Datensicherheit und Datenschutz geht, diesen sogar vollumfänglich vertrauen. Viele schrecken dann, aus Angst vor einem Kontrollverlust über ihre digitale Identität, davor zurück, die Dienste in Anspruch zu nehmen. Und Identity- und Service-Provider haben schwer daran zu tragen, für ausreichend Datensicherheit und Datenschutz der hochqualitativen personenbezogenen Daten ihrer Kunden zu sorgen.
Dezentrale Identitäten als Ausweg
Weltweit wird deshalb schon seit einigen Jahren fieberhaft an Lösungen mit einem dezentralen Ansatz zur sicheren Speicherung und Verwaltung verifizierter digitaler Identitäten gearbeitet. Bei einer dezentralen Identitätsmanagementlösung erfolgt die Speicherung und Verwaltung aller Identitätsdaten in einer verschlüsselten digitalen Wallet auf dem Smartphone des Kunden. Hier kann er von einer verifizierenden Dritt-Partei, zum Beispiel einer Behörde oder einer Universität, eine digitale Bestätigung der bei ihr zu seiner Person lagernden Daten anfordern. Diese sendet die verifizierten Daten an die Wallet des anfragenden Nutzers und zusätzlich den öffentlichen Schlüssel der Wallet in ein für Dienstleistungs-Anbieter von außen zugängliches Register. Will der Nutzer nun auf den Service eines Dienstleisters zugreifen, stellt er eine Anfrage, worauf der Dienstleister alle zur Erbringung dieser speziellen Leistung relevanten Identitätsattribute abfragt. Im Fall einer Automobilanmietung zum Beispiel Alter und Führerschein. Auf Basis der in der Wallet vorhandenen verifizierten Identitätsdaten werden dann dezentrale Identifikatoren als Beweis zusammengestellt, digital signiert und an den Anbieter verschickt. Deren Echtheit kann der sich dann anhand der Signatur und dem öffentlichen Schlüssel der Wallet bestätigen lassen. Anschließend erhält der Nutzer vom Anbieter ein Credential, das er in der Wallet und der Anbieter in seiner Identitätsquelle – ohne Personenbezug – abspeichert. Ab sofort wählt sich der Nutzer dann über das Credential beim Anbieter ein – ohne dass dieser hierzu in irgendeiner Form personenbezogene oder personenbeziehbare Daten in seinen Systemen abspeichern muss. Die volle Kontrolle über die verifizierten Identitätsdaten liegt allein beim Nutzer und seiner Wallet. Nur er entscheidet, welche Informationen er weitergegeben möchte, kann sogar ein Ablaufdatum einfügen oder seine Zustimmung zum Credential in Echtzeit wieder zurückziehen.
Handfeste Vorteile – für Anbieter wie Kunden:
- Volle Nutzerkontokontrolle beim Kunden
- Weniger Datenverantwortung beim Anbieter
- Ein nahtloseres und sichereres Nutzungserlebnis für Anbieter und Kunden
Identity- und Serviceprovider profitieren zudem – dank des umfassenden Einsatzes verifizierter Identitätsdaten – von der Möglichkeit, sich bislang nicht zugängliche Geschäftsmodelle erschließen und effizienter als bisher gegen Online-Betrug vorgehen zu können.
PingOne Neo
Vor kurzem hat nun Ping Identity mit PingOne Neo die erste umfassende Lösung zum dezentralen Management digitaler Identitäten auf den Markt gebracht. Vom Anfragen eines verifizierten digitalen Nachweises, über dessen Abspeichern in einer digitalen Wallet, bis hin zur reibungslosen Abwicklung der Anfrage eines Online-Dienstleisters lassen sich mit PingOne Neo alle Arbeitsschritte des Endnutzers schnell, unkompliziert und vor allem sicher umsetzen.
PingOne Neo in der Praxis:
Anfragen
PingOne Neo fordert einen verifizierten digitalen Nachweis bei einem verifizierenden Drittanbieter an.
Erstellen
PingOne Neo unterstützt verifizierende Drittparteien bei der Erstellung des angeforderten kryptografisch signierten verifizierten Nachweises.
Speichern
PingOne Neo legt den verifizierten Nachweis sicher in der digitalen Wallet des Nutzers ab.
Vorlegen
Über PingOne Neo kann der Nutzer bei der Anfrage eines Online-Dienstleisters schnell und unkompliziert auswählen, ob und welche seiner verifizierten Daten er weitergeben möchte. PingOne Neo kümmert sich dann um den Rest.
Und so funktioniert es
PingOne Neo setzt sich zusammen aus PingOne Credentials, das verifizierenden Drittparteien mit modifizierbaren Vorlagen die Erstellung der digitalen Nachweise für die Wallet erleichtert, PingOne Verify, das es ermöglicht, die Identität eines Nutzers über dessen Ausweis und ein Live Face-Abbild zu verifizieren, und die Cloud-Orchestrierungs-Plattform PingOne DaVinci, mit der sich ein reibungsloser Ablauf des CIAM-Online-Erlebnisses gestalten lässt. Als digitale Wallet können sowohl Ping Identity’s Mobile App-Wallet mit SDK als auch gerätespezifische Wallets oder eine Open Source-Wallet eingesetzt werden.
Auch in weitere CIAM-Lösungen von Ping Identity, wie die PingOne Admin-Konsole, PingFederate und PingOne Directory, lässt sich PingOne Neo problemlos integrieren.
Folgende dezentrale Identitäts-Systeme sind bereits mit PingOne Neo kompatibel:
- OpenID for Verifiable Credential Issuance (OpenID4 VCI)
- OpenID for Verifiable Presentations (OpenID4VP)
- W3C Verifizierbare Credentials mit JSON Web Token Proof Format (JWT-VC)
- ISO 18013-5 for Mobile Driving License (mDL)
- ISO 18013-7 for Mobile Driving Licenses (mDL)
Fazit
Dezentrale Identitätsmanagementlösungen sind zentralen Systemen in vielfacher Hinsicht überlegen – vor allem aber in den Bereichen Datensouveränität und Datenschutz. PingOne Neo, die erste dezentrale Lösung zur Speicherung und Verwaltung digitaler Identitäten, ermöglicht Dienstleistern wie Kunden den sicheren Einsatz verifizierter Identitätsdaten – und dies schnell und unkompliziert.
Lesen Sie mehr zum Thema
