Flerbrukerarkitekturen: Identitet i bedriftsklassen i stor skala
Etter hvert som organisasjoner skalerer identitetsinfrastrukturen sin, møter de en ny utfordring: hvordan håndterer man identitetsverifisering på tvers av flere forretningsenheter, datterselskaper eller tjenestetilbud, samtidig som man opprettholder sikkerhet og samsvar? Svaret ligger i flerleietakerarkitektur – en sofistikert tilnærming til identitetshåndtering som bedrifter i økende grad tar i bruk.
Forstå systemer for verifisert ID med flere leietakere
I et verifisert ID-system med flere leietakere kan forskjellige leietakere (separate organisasjonsdomener) operere uavhengig mens de deler en felles identitetsinfrastruktur. Hver leietaker kan utstede sine egne legitimasjonsopplysninger, håndheve sine egne policyer og administrere sine egne brukere – men de kan alle verifisere legitimasjonsopplysninger utstedt av andre leietakere.
Tenk deg dette virkelige scenarioet: Organisasjonen din har en HR-avdeling som må bekrefte ansattidentitet, og en separat ansiktssjekktjeneste i en annen leietaker som utfører biometrisk verifisering. Begge fungerer som uavhengige tjenester, men de må fungere sømløst sammen. Slik fungerer det:
Flerbrukerlegitimasjonsflyt med biometrisk verifisering
Å bryte ned arkitekturen
Leietaker 1: Godkjenning av leietaker
Det er her brukeren din først autentiserer seg. Den inneholder bedriftens OIDC-identitetsleverandør og har tilgang til brukerprofilinformasjon (som bilder lagret i Microsoft Graph). Når brukeren ber om en legitimasjon, genererer denne leietakeren et ID-token som inneholder deres krav og valgfrie biometriske data.
Leietaker 2: Verifisert ID-leietaker
Denne separate leietakeren er ansvarlig for utstedelse av legitimasjon. Viktigere er det at den kan godta og validere ID-tokener fra andre leietakere (kryssattestering på tvers av leietakere). Den oppretter den faktiske verifiserbare legitimasjonen – et kryptografisk signert objekt som inneholder brukerens krav og eventuelle inkluderte medier som bilder. Denne separasjonen av bekymringer lar organisasjoner opprettholde distinkte sikkerhetsgrenser samtidig som de deler identitetsinfrastruktur.
Leietaker 3: Ansiktssjekktjeneste
Når verifisering krever biometrisk bekreftelse, sammenligner en dedikert Face Check-tjeneste (muligens i enda en leier eller som en separat tjeneste) en live-selfie med bildet som er lagret i legitimasjonen. Ved hjelp av Azure AI Face API genereres en konfidenspoengsum som indikerer sannsynligheten for at begge bildene viser den samme personen.
Kraften i bekreftelse av legitimasjon på tvers av leietakere
Det som gjør denne arkitekturen kraftig er at hver leietaker uavhengig kan bekrefte legitimasjon utstedt av andre leietakere. Her er hvorfor dette er viktig:
Avkoblede operasjoner
Hver leietaker opererer uavhengig – ingen enkeltstående feilpunkt påvirker hele systemet.
Spesialiserte tjenester
Biometrisk verifisering kan håndteres av spesialiserte tjenester som er optimalisert for dette formålet.
Overholdelse av regelverk
Ulike leietakere kan være i forskjellige jurisdiksjoner, og oppfylle lokale krav til dataopphold.
skalerbarhet
Hver leietaker skalerer uavhengig basert på sin egen belastning og behov.
Biometrisk verifisering med ansiktssjekk
Ansiktssjekk representerer utviklingen av identitetsverifisering. I stedet for å stole på statiske legitimasjonsopplysninger, legger den til en levendehetskomponent: brukeren må bevise at de er fysisk til stede og at deres fysiske utseende samsvarer med bildet i legitimasjonen deres.
Slik fungerer det i konteksten av et system med flere leietakere:
- Besittelse av legitimasjon: Brukeren beviser at de har en gyldig legitimasjon (utstedt av Leier 2) ved å presentere den via Microsoft Authenticator.
- Live-verifisering: Brukeren tar en selfie med Authenticator-appen, som utfører en live-sjekk for å sikre at det er en levende person, ikke et bilde eller en video.
- Biometrisk matching: Ansiktssjekk-tjenesten sammenligner selfien med bildet som er innebygd i legitimasjonen.
- Tillitspoengsum: Returnerer en konfidenspoengsum (f.eks. «86 % samsvarskonfidens») som verifikatoren kan bruke til å ta en tillitsbeslutning
Bedriftsfordel: Ved å separere Face Check som en egen tjeneste/leietaker, kan organisasjoner implementere ulike konfidensgrenser for ulike brukstilfeller. Høysikkerhetsscenarier kan kreve 90 %+ konfidens, mens lavrisikoscenarier kan akseptere 70 %.
Sikkerhet på flerleietakernivå
Flerbrukerarkitekturer introduserer unike sikkerhetshensyn som Verified ID elegant håndterer:
- Kryptografisk verifisering: Hver legitimasjon er signert av utstederen. Verifikatorer kan bekrefte ektheten uten å kontakte utstederen, kun ved å bruke utstederens offentlige nøkkel.
- Tilbakekallingskontroll: Leietakere fører tilbakekallingsregistre; verifikatorer kan sjekke om en legitimasjon er tilbakekalt
- Selektiv avsløring: Brukere deler bare kravene som er nødvendige for bekreftelse, ikke hele legitimasjonen
- Null tillit: Verifikatorer trenger ikke å stole på mellomledd – kryptografi sikrer autentisitet
Denne arkitekturen er spesielt verdifull for organisasjoner som opererer i regulerte bransjer som finans, helsevesen og offentlig sektor, der revisjonsspor, dataminimering og samsvar er ufravikelige.
Verifisert ID på Azure Marketplace
Organisasjoner som ønsker å implementere Verified ID-løsninger kan nå få tilgang Fortytwos ekspertise direkte gjennom Azure Marketplace. Dette tilbudet gir:
Forhåndsbygde komponenter
Referansearkitekturer for vanlige brukstilfeller
Rask distribusjon
Bruksklar infrastruktur som kode
Konsulentstøtte
Ekspertveiledning om implementering og integrering
Azure Native-integrasjon
Sømløs tilkobling med eksisterende Azure-tjeneste
Kommer neste gang i denne serien
Å forstå arkitekturen til Verified ID er én ting; å se hvordan den forvandler virkelige forretningsprosesser er noe annet. I neste del av denne serien skal vi utforske konkrete bruksområder og de håndgripelige fordelene organisasjoner oppnår når de implementerer denne teknologien.
Vi snakker om reelle tall: redusere onboarding-tiden med 85 %, kutte dramatisk kostnadene for identitetsverifisering, muliggjøre nulltillits-partnertilgang uten overhead for legitimasjonsadministrasjon, og endelig løse problemet med «glemt passord» som koster bedrifter millioner årlig. Fra å effektivisere onboarding av ansatte til å muliggjøre sikre partnerøkosystemer, fra å oppfylle GDPR- og eIDAS-samsvar til å skape manipuleringssikre utdanningslegitimasjoner – vi viser deg avkastningen med faktiske målinger: spart tid, reduserte kostnader, forhindrede sikkerhetshendelser og oppfylt samsvarskrav. Hvis du trenger å bygge en forretningsplan for desentralisert identitet eller lurer på «hvor skal jeg egentlig begynne?», vil dette innlegget gi deg den praktiske veikartet og tallene som er viktige for ledere.