Wie unterscheidet sich das dezentrale Identitätsmanagement vom zentralen Identitätsmanagement?

SSO, FIM und DCI erfüllen unterschiedliche Anforderungen und Umgebungen und zeigen, dass das Identitätsmanagement immer ausgefeilter wird. Single Sign-On bietet eine zentralisierte und unkomplizierte Lösung, um die Komplexität der Passwortverwaltung innerhalb einer einzelnen Organisation zu verringern. Das föderierte Identitätsmanagement erweitert das zentralisierte Modell auf organisationsübergreifende Domänen und verbessert die Zusammenarbeit und Ressourcenteilung. Die dezentrale Identität setzt sich für individuelle Kontrolle und Privatsphäre ein und ist für moderne Omnichannel-Interaktionen konzipiert.

Der grundlegendste Unterschied zwischen dezentraler und zentraler Identitätsverwaltung liegt in den Vertrauensbeziehungen. Was heute bei SAML und OAuth weit verbreitet ist, ist bidirektionales Vertrauen, bei dem zwei Parteien, die einander bekannt sind, eine Vereinbarung getroffen haben, um eine Verbindung herzustellen. Diese Verbindung wird dann genutzt, um Informationen über den Benutzer auszutauschen, wie z. B. Authentifizierung, Identitätsattribute und Autorisierung.

Bei der dezentralen Identität ist das Vertrauensmodell grundsätzlich unidirektional, wobei ein Überprüfer dem Aussteller vertraut, der Aussteller jedoch möglicherweise keine Kenntnis von dem Überprüfer hat. Um dies sicher zu erreichen und eine grundlegende Einweg-Privatsphäre zu gewährleisten, ist die Rolle der Wallet eine entscheidende Komponente. Es handelt sich um eine eigenständige Partei mit einer eigenen, unabhängigen Beziehung sowohl zum Aussteller als auch zum Überprüfer, und sie muss über starke kryptografische Fähigkeiten verfügen, um diese Rolle zu erfüllen.

Bestehende Lösungen können diese unidirektionalen Vertrauensbeziehungen unterstützen. Es gibt zahlreiche Mechanismen, um diese Art von Beziehungen mit den heutigen Plattformen nachzubilden. Die Divergenz vertieft sich bei der Einführung fortschrittlicherer Kryptographie im Bereich der dezentralen Identität, sodass die Kryptographie die Vertrauensgrenzen durch Zero-Knowledge-Beweise und anonyme Signaturtechniken gewährleistet. 

Ein weiterer signifikanter Unterschied zwischen DCI und anderen Ansätzen besteht darin, dass die Kontrolle auf den Einzelnen verlagert wird, sodass er die Weitergabe seiner Identitätsdaten steuern kann. DCI wird häufig mit der Distributed-Ledger-Technologie (z. B. Blockchain) in Verbindung gebracht; jedoch ist dies nur eine Art der Implementierung.

DCI beginnt mit einem sehr deutlichen architektonischen Unterschied zu den anderen Ansätzen. Die Identitätsinformationen sind dezentralisiert, das heißt, sie werden nicht zentral gespeichert. Bei herkömmlichen SSO-Bereitstellungen muss jede Anwendung, die das Authentifizierungstoken akzeptiert, die Benutzerinformationen aus einem Datenspeicher nachschlagen. Im Falle von FIM vertraut jede Anwendung dem Identitätsdienstanbieter, ihr Informationen bereitzustellen. Im Gegensatz dazu fordert in der Welt von DCI jeder Dienst die Daten direkt vom Benutzer an. Er führt keine Abfrage über einen anderen Dienst durch. Er trifft dann die Entscheidung, diesen Informationen zu vertrauen, basierend darauf, wer sie dem Benutzer ausgestellt hat, nachdem ihre Echtheit überprüft wurde.