Digitale Anmeldedaten – Übersicht

Digitale Anmeldedaten sind kryptografisch überprüfbare Dokumente, die zur Authentifizierung, Autorisierung oder anderweitigen Bereitstellung von Informationen über einen Nutzer verwendet werden können. Dazu gehören in der Regel Dinge wie mobile Führerscheine, digitale Reisepässe und Bordkarten. Sie befinden sich in virtuellen Containern, die als digitale Geldbörsen bezeichnet werden, und sind Teil eines W3C-Standards, der festlegt, wie auf sie zugegriffen und wie sie abgerufen werden können. Dieser Standard wird für Web-Anwendungsfälle mit der W3C Credential Management API und auf Android mit der DigitalCredential API von Credential Manager implementiert.

Digitale Anmeldedaten

In der physischen Welt bewahrt eine Person ihre Identität möglicherweise in ihrem Portemonnaie auf und legt sie auf Anfrage vor:

Bild, das den Ablauf einer normalen Wallet-Interaktion zeigt — **Abbildung 1**: Der Prozess der Bearbeitung einer Anfrage für physische Anmeldedaten. Der Anfragende bittet den Nutzer um ein bestimmtes Ausweisdokument. Anschließend wählt der Nutzer die Karte aus und nimmt sie aus seinem physischen Portemonnaie. Schließlich stellt der Nutzer dem Anfragenden die Anmeldedaten zur Verfügung.

In diesem Fall hat ein Nutzer in der Regel nur eine Wallet und ruft die angeforderten Anmeldedaten aus der Wallet ab, um sie dem Anfragenden zu präsentieren. Wallets sind größtenteils austauschbar und können in der Regel dieselben Dinge speichern.

Digitale Anmeldedaten weisen einige wesentliche Unterschiede auf:

Nutzer haben in der Regel mehrere Wallets, auch Inhaber genannt, die verschiedene Anmeldedaten enthalten können. Wallets legen fest, welche Anmeldedaten darin gespeichert werden dürfen.
Der Anfragende ist jetzt eine Anwendung und keine echte Person mehr. Er wird als Bestätiger bezeichnet.
Die Präsentation der Anmeldedaten erfolgt in der Software. Das bedeutet, dass eine API-Oberfläche die Anmeldedaten abruft und präsentiert. In Android ist das der Credential Manager.

Daher übernimmt der Credential Manager mehrere Rollen, die früher vom Nutzer übernommen wurden:

Unter Android müssen Wallets ihre Metadaten für Anmeldedaten beim Credential Manager registrieren, um in der Credential Manager-Benutzeroberfläche aufgeführt zu werden.
Der Anmeldedatenmanager gleicht Anmeldedaten in verschiedenen Wallets anhand der Anfrage ab und präsentiert dem Nutzer eine Liste zur Auswahl.
Wenn der Nutzer einen Berechtigungsnachweis in der Liste auswählt, ruft Credential Manager die Wallet auf, die den Rest der Transaktion abwickelt (Anzeigen von Benutzeroberflächen usw.) und den Berechtigungsnachweis an die Anwendung zurückgibt.

Dieser Ablauf wird hier dargestellt:

Bild mit dem Ablauf einer Interaktion mit digitalen Anmeldedaten — **Abbildung 2.** Interaktionsmodell für die Überprüfung digitaler Anmeldedaten. Credential Manager verwendet vorregistrierte Metadaten für Anmeldedaten in den Wallet(s) des Nutzers, um die Anfrage eines Prüfers abzugleichen und den Nutzer aufzufordern, Anmeldedaten auszuwählen. Der Credential Manager leitet den Aktivitätsablauf dann an das entsprechende Wallet weiter, das den Rest der Transaktion abwickelt und die Anmeldedaten an den Prüfer zurückgibt. Hinweis: Der Prüfer muss die Anmeldedatenantwort verarbeiten und bestätigen, sobald sie zurückgegeben wird.

Nutzerfreundlichkeit

Wie im Android-Ablauf gezeigt, muss der Nutzer nur einmal mit der Credential Manager-Benutzeroberfläche interagieren, um die entsprechenden Anmeldedaten auszuwählen. Hier ist ein Beispiel für den Selektor:

Bild der Benutzeroberfläche für digitale Anmeldedaten im Credential Manager — **Abbildung 3.** Die Benutzeroberfläche für digitale Ausweise.

Standards

Anfragen für digitale Anmeldedaten werden gemäß dem OpenID4VP-Standard erstellt. Beispielanfragen finden Sie auf der Demowebsite für digitale Anmeldedaten.

Antworten für digitale Berechtigungsnachweise werden in der Regel in einem standardisierten Format zurückgegeben. Sie werden von verschiedenen Normierungsgremien verwaltet und umfassen W3C Verifiable Credentials, sd-jwt und mdoc.

Benutzerdefinierte Protokolle sind ebenfalls möglich. Wir empfehlen jedoch, eines der Standardprotokolle in Ihrer Anwendung zu verwenden.

Ausprobieren

Sie können den Ablauf für digitale Anmeldedaten plattformübergreifend mit einem Android-Wallet und einem webbasierten Prüfer testen:

Installieren Sie das öffentliche CMWallet-Beispiel auf Ihrem Android-Smartphone. Dazu können Sie das Repository abrufen und die App direkt über Android Studio installieren oder zu https://github.com/digitalcredentialsdev/CMWallet/actions gehen und den neuesten Build auswählen, um auf die neueste app-debug.apk-Datei zuzugreifen.
Öffnen Sie CMWallet, um die Metadaten bei Credential Manager zu registrieren. Achten Sie darauf, dass Bluetooth aktiviert ist, damit sich Ihre Geräte miteinander verbinden können.
Rufen Sie https://digital-credentials.dev/ auf und wählen Sie Request Credentials (OpenID4VP) aus.
Bestätigen Sie die Warnmeldungen und scannen Sie den QR‑Code mit Ihrem Smartphone. Wählen Sie dann „Passkey verwenden“ aus und tippen Sie auf die Bestätigung, um die verfügbaren Anmeldedaten aufzurufen.
Wählen Sie die Anmeldedaten aus CMWallet aus, um zum Browser zurückzukehren. Der Browser sollte die zurückgegebenen Anmeldedaten anzeigen.

Siehe auch

Weitere Informationen zur Verwendung von Credential Manager zum Anfordern digitaler Anmeldedaten in Ihrer App finden Sie auf der Seite Credential Manager – Verifier API.
Weitere Informationen zum Erstellen einer digitalen Geldbörse mit dem Credential Manager finden Sie auf der Seite Credential Manager – Holder API.

Digitale Anmeldedaten – Übersicht Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.