Digitale Anmeldedaten – Übersicht

Digitale Anmeldedaten sind kryptografisch überprüfbare Dokumente, die zur Authentifizierung, Autorisierung oder anderweitigen Bereitstellung von Informationen zu einem Nutzer verwendet werden können. Dazu gehören in der Regel mobile Führerscheine, digitale Ausweise, Bordkarten usw. Sie befinden sich in virtuellen Containern, die als digitale Brieftaschen bezeichnet werden, und sind Teil eines W3C-Standards, der festlegt, wie auf sie zugegriffen und sie abgerufen werden. Dieser Standard wird für Webanwendungen mit der W3C Credential Management API und auf Android-Geräten mit der DigitalCredential API des Credential Managers implementiert.

Digitale Anmeldedaten

In der realen Welt könnte eine Person ihre Identität in ihrem Portemonnaie aufbewahren und sie einer anfragenden Partei vorlegen, wenn sie danach gefragt wird:

Bild, das den Ablauf einer normalen Wallet-Interaktion zeigt
Abbildung 1 Der Prozess, bei dem eine Anfrage für Anmeldedaten aus der realen Welt erfüllt wird. Der Anfragende bittet den Nutzer um bestimmte Anmeldedaten. Der Nutzer wählt dann die Karte aus und ruft sie aus seiner physischen Brieftasche ab. Schließlich stellt der Nutzer die Anmeldedaten dem Anfragenden zur Verfügung.

In diesem Fall hat ein Nutzer in der Regel nur eine Wallet und ruft die angeforderten Anmeldedaten aus der Wallet ab, um sie dem Anfragenden vorzulegen. Wallets sind in der Regel austauschbar und können in der Regel dieselben Dinge speichern.

Digitale Anmeldedaten haben einige Hauptunterschiede:

  1. Nutzer haben in der Regel mehrere Wallets, die verschiedene Anmeldedaten enthalten können. Wallets legen fest, welche Anmeldedaten darin gespeichert werden dürfen.
  2. Der Antragsteller ist jetzt eine Anwendung und keine reale Person. Er wird als Verifier bezeichnet.
  3. Die Anmeldedatenpräsentation erfolgt in der Software. Das bedeutet, dass eine API-Oberfläche die Anmeldedaten abruft und präsentiert. Unter Android ist das der Anmeldedaten-Manager.

Daher übernimmt der Anmeldedaten-Manager mehrere Rollen, die zuvor vom Nutzer ausgeführt wurden:

  1. Auf Android-Geräten müssen Wallets ihre Anmeldedatenmetadaten beim Anmeldedaten-Manager registrieren, damit sie in der Benutzeroberfläche des Anmeldedaten-Managers aufgeführt werden.
  2. Der Anmeldedaten-Manager gleicht die Anmeldedaten basierend auf der Anfrage in den verschiedenen Wallets ab und präsentiert dem Nutzer eine Liste zur Auswahl.
  3. Wenn der Nutzer eine Anmeldedaten in der Liste auswählt, ruft der Anmeldedaten-Manager das Wallet auf, das den Rest der Transaktion abwickelt (z. B. UIs anzeigt) und die Anmeldedaten an die Anwendung zurückgibt.

Dieser Ablauf wird hier dargestellt:

Bild, das den Ablauf einer Interaktion mit digitalen Anmeldedaten zeigt
Abbildung 2. Interaktionsmodell für die Überprüfung digitaler Anmeldedaten. Der Anmeldedaten-Manager verwendet die Metadaten der vorab registrierten Anmeldedaten in den Nutzer-Wallets, um die Anfrage eines Verifiers abzugleichen, und fordert den Nutzer auf, eine Anmeldedatenanfrage auszuwählen. Der Anmeldedaten-Manager leitet den Aktivitätsablauf dann an das entsprechende Wallet weiter, das den Rest der Transaktion abwickelt und die Anmeldedaten an den Verifier zurückgibt. Hinweis: Der Verifier muss die Antwort auf die Anmeldedaten verarbeiten und bestätigen, sobald sie zurückgegeben wurde.

Nutzererfahrung

Wie im Android-Ablauf zu sehen, muss der Nutzer nur einmal mit der Anmeldedaten-Verwaltung interagieren, um die entsprechenden Anmeldedaten auszuwählen. Hier ein Beispiel für die Auswahl:

Bild, das die Benutzeroberfläche für digitale Anmeldedaten im Anmeldedaten-Manager zeigt
Abbildung 3 Die Benutzeroberfläche für digitale Anmeldedaten

Standards

Anfragen für digitale Anmeldedaten werden mit dem OpenID4VP-Standard erstellt. Beispielanfragen finden Sie auf der Demoseite für digitale Ausweise.

Antworten auf digitale Anmeldedaten werden in der Regel in einem standardisierten Anmeldedatenformat zurückgegeben. Diese werden von verschiedenen Standardsorganisationen verwaltet und umfassen W3C Verifiable Credentials, sd-jwt und mdoc.

Benutzerdefinierte Protokolle sind ebenfalls möglich, wir empfehlen jedoch, in Ihrer Anwendung eines der Standardprotokolle zu verwenden.

Ausprobieren

Sie können den Ablauf der digitalen Anmeldedatenplattform mit einer Android-Brieftasche und einem webbasierten Verifier testen:

  1. Installieren Sie das öffentliche CMWallet-Beispiel auf Ihrem Android-Smartphone. Sie können die Datei aus dem Repository abrufen und direkt über Android Studio installieren oder https://github.com/digitalcredentialsdev/CMWallet/actions aufrufen und den neuesten Build auswählen, um auf die neueste app-debug.apk-Datei zuzugreifen.
  2. Öffnen Sie die CMWallet, um die Metadaten im Anmeldedaten-Manager zu registrieren. Bluetooth muss aktiviert sein, damit Ihre Geräte miteinander verbunden werden können.
  3. Rufen Sie https://digital-credentials.dev/ auf und wählen Sie Request Credentials (OpenID4VP) aus.
  4. Akzeptieren Sie die Warnungen, scannen Sie den QR-Code mit Ihrem Smartphone, wählen Sie „Passkey verwenden“ aus und tippen Sie auf die Bestätigung, um die verfügbaren Anmeldedaten zu sehen.
  5. Wählen Sie die Anmeldedaten aus CMWallet aus, um zum Browser zurückzukehren. Im Browser sollten die zurückgegebenen Anmeldedaten angezeigt werden.

Siehe auch

  • Weitere Informationen zur Verwendung des Anmeldedaten-Managers zum Anfordern digitaler Anmeldedaten in Ihrer App finden Sie auf der Seite Credential Verifier API.
  • Weitere Informationen zum Erstellen einer digitalen Brieftasche mit dem Anmeldedaten-Manager finden Sie auf der Seite Credential Holder API.