Entra Verified ID Entra Verified ID
Dezentrale Identität, überprüfbare Nachweise (Verifiable Credentials), DIDs, Aussteller, Prüfer, Vertrauenssystem und API-Integration. Decentralized identity, verifiable credentials, DIDs, issuers, verifiers, trust system, and API integration.
Kryptographisch signierte Nachweise über Attribute einer Person oder Organisation.Cryptographically signed assertions about attributes of a person or organization.
Selbstkontrollierte Identifikatoren, die nicht von einer zentralen Instanz abhängen.Self-controlled identifiers that do not depend on a central authority.
Aussteller erzeugen Nachweise; Prüfer fordern Nachweise an und validieren sie.Issuers create credentials; verifiers request and validate credentials.
Biometrische Gesichtsvereinstimmung zwischen Nachweis-Foto und Live-Selfie für hochsichere Prüfungen.Biometric face match between credential photo and live selfie for high-assurance checks.
Überblick – Dezentrale IdentitätOverview – Decentralized identity
Microsoft Entra Verified ID implementiert den W3C-Standard für Verifiable Credentials (VC). Er ergänzt das klassische föderierte Identitätsmodell durch ein nutzerzentriertes Modell, bei dem der Inhaber seine Nachweise in einer digitalen Wallet speichert und sie selektiv vorzeigen kann, ohne dass der Aussteller direkt involviert ist. Microsoft Entra Verified ID implements the W3C standard for Verifiable Credentials (VC). It complements the classical federated identity model with a user-centric model where the holder stores their credentials in a digital wallet and can selectively present them without the issuer being directly involved.
Entra Verified ID ist in Microsoft Entra ID P1/P2 und Microsoft Entra Suite enthalten. Die Grundfunktionalität (Ausstellen und Prüfen) ist kostenlos. Face Check erfordert ein Add-on oder Entra Suite und wird pro Transaktion abgerechnet. Entra Verified ID is included in Microsoft Entra ID P1/P2 and Microsoft Entra Suite. The core functionality (issuing and verifying) is free of charge. Face Check requires an add-on or Entra Suite and is billed per transaction.
GrundkonzepteCore concepts
| BegriffTerm | DefinitionDefinition |
|---|---|
| DID (Decentralized Identifier)DID (Decentralized Identifier) | Selbstkontrollierter URI (z. B. did:web:contoso.com), der auf ein DID-Dokument mit Public Keys verweist. Keine zentrale Registrierungsstelle erforderlich.Self-controlled URI (e.g. did:web:contoso.com) pointing to a DID document with public keys. No central registration authority required. |
| DID DocumentDID Document | JSON-LD-Dokument mit öffentlichen Schlüsseln und Service-Endpunkten des DID-Inhabers. Über die DID-Methode abrufbar.JSON-LD document containing the public keys and service endpoints of the DID holder. Retrievable via the DID method. |
| Verifiable Credential (VC)Verifiable Credential (VC) | JWT oder JSON-LD-Dokument mit Claims über den Inhaber, signiert mit dem privaten Schlüssel des Ausstellers.JWT or JSON-LD document with claims about the holder, signed with the issuer's private key. |
| Verifiable Presentation (VP)Verifiable Presentation (VP) | Container, in dem der Inhaber einen oder mehrere VCs selektiv vorzeigt. Ebenfalls kryptographisch signiert.Container in which the holder selectively presents one or more VCs. Also cryptographically signed. |
| Issuer (Aussteller)Issuer (Aussteller) | Entität, die einen VC erzeugt und ausgibt (z. B. Unternehmen, Bildungseinrichtung, Behörde).Entity that creates and issues a VC (e.g. company, educational institution, government authority). |
| Holder (Inhaber)Holder (Inhaber) | Natürliche oder juristische Person, die den VC in ihrer Wallet speichert.Natural or legal person storing the VC in their wallet. |
| Verifier (Prüfer)Verifier (Prüfer) | Relying Party, die den VC anfordert, empfängt und validiert.Relying party that requests, receives, and validates the VC. |
DID-MethodenDID methods
Microsoft Entra Verified ID unterstützt primär did:web und did:ion (Azure ION auf Bitcoin Blockchain). Die empfohlene Methode für neue Deployments ist did:web, da sie einfacher zu verwalten ist.
Microsoft Entra Verified ID primarily supports did:web and did:ion (Azure ION on Bitcoin blockchain). The recommended method for new deployments is did:web because it is easier to manage.
| DID-MethodeDID-Methode | SpeicherStorage | AuflösungResolution | EmpfehlungRecommendation |
|---|---|---|---|
| did:webdid:web | Eigene HTTPS-Domain (/.well-known/did.json)Own HTTPS domain (/.well-known/did.json) | Standard HTTPS GET auf die DomainStandard HTTPS GET on the domain | Empfohlen für UnternehmenRecommended for enterprises |
| did:iondid:ion | Bitcoin Blockchain + Azure ION NodeBitcoin blockchain + Azure ION node | ION-Netzwerk-ResolverION network resolver | Für dezentrale, blockchain-basierte SzenarienFor decentralized, blockchain-based scenarios |
Rollen und FlussRoles and flow
AusstellungsflussIssuance flow
| ## | SchrittStep | AkteurActor |
|---|---|---|
| 11 | Aussteller erstellt VC-Anforderung und Deep Link / QR CodeIssuer creates VC request and deep link / QR code | Issuer App + Request Service APIIssuer App + Request Service API |
| 22 | Inhaber scannt QR-Code mit Microsoft AuthenticatorHolder scans QR code with Microsoft Authenticator | Holder (Authenticator)Holder (Authenticator) |
| 33 | Authenticator ruft Issuance-Manifest ab und zeigt ZustimmungsanforderungAuthenticator retrieves issuance manifest and shows consent request | Authenticator + IssuerAuthenticator + Issuer |
| 44 | Inhaber stimmt zu; Authenticator erzeugt neues DID-Schlüsselpaar für diesen VCHolder consents; Authenticator generates a new DID key pair for this VC | AuthenticatorAuthenticator |
| 55 | Aussteller signiert VC und gibt ihn zurück an AuthenticatorIssuer signs the VC and returns it to Authenticator | IssuerIssuer |
| 66 | VC wird in der Wallet gespeichertVC is stored in the wallet | Authenticator (Wallet)Authenticator (Wallet) |
PräsentationsflussPresentation flow
| ## | SchrittStep | AkteurActor |
|---|---|---|
| 11 | Prüfer erstellt Verification-Anforderung per Request Service APIVerifier creates verification request via Request Service API | Verifier AppVerifier App |
| 22 | Inhaber scannt QR-Code oder klickt Deep LinkHolder scans QR code or clicks deep link | HolderHolder |
| 33 | Authenticator zeigt angeforderte Claims und bittet um ZustimmungAuthenticator shows requested claims and asks for consent | AuthenticatorAuthenticator |
| 44 | Inhaber stimmt zu; Authenticator signiert VP und sendet ihnHolder consents; Authenticator signs VP and sends it | AuthenticatorAuthenticator |
| 55 | Prüfer empfängt VP, ruft DID-Dokument des Ausstellers ab und validiert SignaturVerifier receives VP, retrieves issuer DID document, and validates signature | Verifier + DID ResolverVerifier + DID Resolver |
| 66 | Prüfer bestätigt Validierungsergebnis und gewährt ZugriffVerifier confirms validation result and grants access | Verifier AppVerifier App |
Einrichtung im Admin CenterSetup in admin center
| ## | AufgabeTask | BeschreibungDescription |
|---|---|---|
| 11 | Verified ID einrichtenSet up Verified ID | Entra Admin Center → Verified ID → Einrichten; Lizenzvoraussetzung prüfenEntra admin center → Verified ID → Set up; check license prerequisite |
| 22 | Organisation verifizierenVerify organization | Domain-Eigentümerschaft nachweisen über DNS oder /.well-known/did.jsonProve domain ownership via DNS or /.well-known/did.json |
| 33 | DID konfigurierenConfigure DID | did:web mit eigenem Domain oder did:ion wählen; Key Vault für SchlüsselspeicherungChoose did:web with own domain or did:ion; Key Vault for key storage |
| 44 | Credential-Typ definierenDefine credential type | JSON-Manifest mit Typ, Claims, Anzeigename und Logo erstellenCreate JSON manifest with type, claims, display name, and logo |
| 55 | App-Registrierung für API-ZugriffApp registration for API access | Service Principal für Request Service API mit erforderlichen BerechtigungenService principal for Request Service API with required permissions |
Credentials erstellenCreating credentials
Verifiable Credentials werden auf Basis von Credential-Definitionen (Rules & Display) erstellt. Die Definition legt fest, welche Claims das Credential enthält und wie es visuell dargestellt wird. Verifiable credentials are created based on credential definitions (Rules & Display). The definition specifies which claims the credential contains and how it is visually displayed.
| KomponenteComponent | BeschreibungDescription |
|---|---|
| Display DefinitionDisplay Definition | Visuelle Darstellung: Logo, Farben, Anzeigenamen der ClaimsVisual presentation: logo, colors, display names of claims |
| Rules DefinitionRules Definition | Eingabe-Mapping: welche Attribute aus welcher Quelle (IdToken, JWT, selfIssued)Input mapping: which attributes from which source (IdToken, JWT, selfIssued) |
| Credential TypeCredential Type | Eindeutiger Typ-Bezeichner (URL)Unique type identifier (URL) |
| ManifestendpunktManifest endpoint | Automatisch generiert; referenziert im Ausstellungs-RequestAuto-generated; referenced in issuance request |
Credentials ausstellenIssuing credentials
Das Ausstellen (Issuance) eines Verifiable Credential erfolgt über die Request Service API. Die Anwendung erstellt einen Issuance Request, der einen Deep-Link oder QR-Code für die Wallet-App generiert. Issuing a Verifiable Credential is done via the Request Service API. The application creates an issuance request that generates a deep link or QR code for the wallet app.
POST https://verifiedid.did.msidentity.com/v1.0/verifiableCredentials/createIssuanceRequest
Authorization: Bearer {access_token}
Content-Type: application/json
{
"includeQRCode": true,
"callback": {
"url": "https://your-app.example.com/callback",
"state": "session-state-value",
"headers": { "api-key": "your-secret" }
},
"authority": "did:web:your-tenant.verifiedid.microsoft.com",
"registration": { "clientName": "Your App" },
"type": "VerifiedEmployee",
"manifest": "https://verifiedid.did.msidentity.com/v1.0/{tenantId}/verifiableCredential/contracts/VerifiedEmployee/manifest",
"claims": {
"given_name": "Max",
"family_name": "Mustermann"
}
}Credentials verifizierenVerifying credentials
Die Verifikation prüft, ob ein vorgelegtes Credential vom erwarteten Aussteller signiert wurde und noch gültig ist. Der Verifier erstellt einen Presentation Request; die Wallet-App des Benutzers präsentiert das Credential. Verification checks whether a presented credential was signed by the expected issuer and is still valid. The verifier creates a presentation request; the user's wallet app presents the credential.
POST https://verifiedid.did.msidentity.com/v1.0/verifiableCredentials/createPresentationRequest
Authorization: Bearer {access_token}
Content-Type: application/json
{
"includeQRCode": true,
"callback": {
"url": "https://your-app.example.com/presentation-callback",
"state": "session-state-value"
},
"authority": "did:web:your-tenant.verifiedid.microsoft.com",
"registration": { "clientName": "Your App" },
"requestedCredentials": [
{
"type": "VerifiedEmployee",
"acceptedIssuers": ["did:web:issuer.example.com"],
"configuration": {
"validation": { "allowRevoked": false, "validateLinkedDomain": true }
}
}
]
}Request Service APIRequest Service API
Die Request Service API ist die zentrale Programmierschnittstelle für Aussteller und Prüfer. Sie wird von der eigenen Backend-Applikation aufgerufen und gibt Ausstellungs- bzw. Präsentationsanforderungen als QR-Codes oder Deep-Links zurück. The Request Service API is the central programming interface for issuers and verifiers. It is called by the own backend application and returns issuance or presentation requests as QR codes or deep links.
POST https://verifiedid.did.msidentity.com/v1.0/verifiableCredentials/createIssuanceRequest
Authorization: Bearer <token>
Content-Type: application/json
{
"includeQRCode": true,
"callback": {
"url": "https://myapp.contoso.com/api/issuer/callback",
"state": "correlationId-12345",
"headers": { "api-key": "mySecretKey" }
},
"authority": "did:web:contoso.com",
"registration": {
"clientName": "Contoso Issuer Portal"
},
"type": "VerifiedEmployee",
"manifest": "https://verifiedid.did.msidentity.com/v1.0/{tenant}/verifiableCredential/contracts/VerifiedEmployee",
"claims": {
"given_name": "Max",
"family_name": "Mustermann",
"jobTitle": "Software Engineer",
"department": "Engineering"
}
}POST https://verifiedid.did.msidentity.com/v1.0/verifiableCredentials/createPresentationRequest
Authorization: Bearer <token>
Content-Type: application/json
{
"includeQRCode": true,
"callback": {
"url": "https://myapp.contoso.com/api/verifier/callback",
"state": "correlationId-67890",
"headers": { "api-key": "mySecretKey" }
},
"authority": "did:web:contoso.com",
"registration": { "clientName": "Contoso Verifier" },
"requestedCredentials": [
{
"type": "VerifiedEmployee",
"purpose": "Access to secure area",
"acceptedIssuers": [ "did:web:contoso.com" ],
"configuration": {
"validation": {
"allowRevoked": false,
"validateLinkedDomain": true
}
}
}
]
}Face CheckFace Check
Face Check ist ein optionaler Hochsicherheits-Verifikationsschritt, bei dem ein biometrischer Abgleich zwischen dem Foto im VC und einem Live-Selfie des Inhabers durchgeführt wird. Dies erhöht die Sicherheit erheblich, da der Nachweis nicht einfach weitergegeben werden kann. Face Check is an optional high-assurance verification step where a biometric match is performed between the photo in the VC and a live selfie from the holder. This significantly increases security as the credential cannot simply be passed on.
| EigenschaftProperty | DetailDetail |
|---|---|
| AnforderungRequirement | VC muss ein Foto enthalten (photo-Claim); Entra Suite Add-on erforderlichVC must contain a photo (photo claim); Entra Suite add-on required |
| AbwicklungProcessing | Selfie wird an Microsoft Cognitive Services übergeben; kein Speichern des BildsSelfie is passed to Microsoft Cognitive Services; image not stored |
| SchwellenwertThreshold | Confidence Score-Schwellenwert konfigurierbar (50–100)Confidence score threshold configurable (50–100) |
| DatenschutzPrivacy | DSGVO-konform; nur Matching-Ergebnis wird an Prüfer zurückgegebenGDPR-compliant; only matching result is returned to verifier |
Vertrauenssystem und Linked DomainTrust system and linked domain
Entra Verified ID nutzt das Linked Domain-Konzept, um den Aussteller-DID mit einer bekannten HTTPS-Domain zu verknüpfen. Prüfer können die Domain überprüfen und dem Aussteller implizit vertrauen, wenn sie die Domain kennen. Entra Verified ID uses the Linked Domain concept to link the issuer DID with a known HTTPS domain. Verifiers can check the domain and implicitly trust the issuer if they recognize the domain.
{
"id": "did:web:contoso.com",
"service": [
{
"id": "did:web:contoso.com#linkeddomains",
"type": "LinkedDomains",
"serviceEndpoint": {
"origins": ["https://contoso.com"]
}
}
]
}Aktivieren Sie immer validateLinkedDomain: true in der Präsentationsanforderung, um sicherzustellen, dass nur Credentials von bekannten und verifizierten Ausstellern akzeptiert werden. Verwenden Sie den Verified Employee-Typ als Einstieg für Workforce-Szenarien.
Always enable validateLinkedDomain: true in the presentation request to ensure only credentials from known and verified issuers are accepted. Use the Verified Employee type as entry point for workforce scenarios.
Typische AnwendungsfälleTypical use cases
| SzenarioScenario | VC-TypVC type | NutzenBenefit |
|---|---|---|
| MitarbeitersausweisEmployee badge | VerifiedEmployeeVerifiedEmployee | Digitaler Nachweis der Beschäftigung für Partner-OnboardingDigital proof of employment for partner onboarding |
| BildungsabschlussEducational credential | VerifiedDegreeVerifiedDegree | Fälschungssicherer AbschlussnachweisTamper-evident degree certificate |
| Alter-VerifikationAge verification | CustomCustom | Datenschutzfreundlich: nur Ja/Nein für MindestalterPrivacy-friendly: only yes/no for minimum age |
| Partner-ZugangPartner access | VerifiedEmployeeVerifiedEmployee | Self-Service B2B-Onboarding ohne manuelle GasteinladungSelf-service B2B onboarding without manual guest invitation |
| ZertifizierungCertification | CustomCustom | Berufliche Zertifizierungen kryptographisch nachweisbarProfessional certifications cryptographically provable |
Widerruf von CredentialsCredential revocation
Verifiable Credentials können widerrufen werden. Entra Verified ID unterstützt Revokation über den Entra-Admin-Bereich oder die Graph API. Ein widerrufener VC wird bei der nächsten Präsentation (wenn allowRevoked: false konfiguriert ist) als ungültig abgelehnt.
Verifiable Credentials can be revoked. Entra Verified ID supports revocation via the Entra admin area or Graph API. A revoked VC is rejected as invalid at the next presentation (when allowRevoked: false is configured).
# VC-ID aus der Ausstellungsantwort; Status updaten
POST https://verifiedid.did.msidentity.com/v1.0/verifiableCredentials/updateIssuerStatus
Authorization: Bearer <token>
Content-Type: application/json
{
"credentialId": "urn:pic:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx",
"currentStatus": "Revoked",
"statusReason": "Employment ended"
}Microsoft Authenticator als WalletMicrosoft Authenticator as wallet
Die primäre Wallet für Entra Verified ID ist der Microsoft Authenticator (iOS und Android). VCs werden lokal auf dem Gerät verschlüsselt gespeichert und sind mit dem privaten Schlüssel des Inhabers verknüpft. Eine Backup- und Wiederherstellungsfunktion ermöglicht den Transfer bei Gerätewechsel. The primary wallet for Entra Verified ID is Microsoft Authenticator (iOS and Android). VCs are stored locally on the device encrypted and linked to the holder's private key. A backup and restore function enables transfer when changing devices.
| FeatureFeature | DetailDetail |
|---|---|
| PlattformenPlatforms | iOS 14+, Android 9+iOS 14+, Android 9+ |
| SchlüsselspeicherKey storage | Secure Enclave (iOS) / Android Keystore; hardware-backed wenn verfügbarSecure Enclave (iOS) / Android Keystore; hardware-backed when available |
| BackupBackup | iCloud (iOS) / Google Drive (Android) – verschlüsseltiCloud (iOS) / Google Drive (Android) – encrypted |
| Open StandardsOpen Standards | W3C VC Data Model 1.1, DIF Presentation ExchangeW3C VC Data Model 1.1, DIF Presentation Exchange |
Trusted Issuer NetworkTrusted issuer network
Für branchenweite Szenarien unterstützt Entra Verified ID die Integration in übergeordnete Trust Registries. Prüfer können dabei nicht nur dem eigenen Tenant vertrauen, sondern einer Liste von verifizierten Ausstellern in einem gemeinsamen Trust Framework. For industry-wide scenarios, Entra Verified ID supports integration into higher-level trust registries. Verifiers can then trust not only their own tenant but a list of verified issuers in a shared trust framework.
| AnsatzApproach | BeschreibungDescription |
|---|---|
| Linked DomainsLinked Domains | Einzelner Aussteller verknüpft DID mit bekannter DomainSingle issuer links DID to known domain |
| Trust Framework RegistryTrust Framework Registry | Dezentrale Registry mit vertrauenswürdigen Ausstellern für einen bestimmten SektorDecentralized registry with trusted issuers for a specific sector |
| Microsoft Entra Verified ID NetworkMicrosoft Entra Verified ID Network | Microsofts Netzwerk von verifizierten Unternehmensausstellern (VerifiedEmployee)Microsoft's network of verified enterprise issuers (VerifiedEmployee) |
Microsoft hat den VerifiedEmployee-Credential-Typ standardisiert und fördert dessen Adoption als plattformübergreifenden Mitarbeiternachweis. Unternehmen, die diesen Standard implementieren, können von einem wachsenden Ökosystem vertrauender Prüfer profitieren. Microsoft has standardized the VerifiedEmployee credential type and promotes its adoption as a cross-platform employee proof. Companies implementing this standard can benefit from a growing ecosystem of trusting verifiers.
SDK und EntwicklerintegrationSDK and developer integration
Für die Implementierung von Verified ID in eigene Anwendungen stellt Microsoft SDKs und eine Request Service API bereit. Die Integration ist unabhängig von der Programmiersprache möglich, da die API HTTP-basiert ist. For implementing Verified ID into own applications, Microsoft provides SDKs and a Request Service API. Integration is possible regardless of programming language since the API is HTTP-based.
| RessourceResource | BeschreibungDescription |
|---|---|
| MSAL (alle Sprachen)MSAL (alle Sprachen) | Token für Request Service API anfordernRequest token for Request Service API |
| Request Service APIRequest Service API | REST API für Ausstellung und Prüfung; kein SDK erforderlichREST API for issuance and verification; no SDK required |
| Verified ID Samples (GitHub)Verified ID Samples (GitHub) | Vollständige Code-Beispiele für Node.js, .NET, Python, JavaComplete code samples for Node.js, .NET, Python, Java |
Praxisbeispiel: Partner Self-OnboardingReal-world example: partner self-onboarding
Ein Unternehmen stellt Partnerunternehmen einen VerifiedEmployee-Credential aus. Partner-Mitarbeiter können diesen Credential nutzen, um sich selbst im Partner-Portal des Unternehmens zu registrieren – ohne manuelle Einladung und ohne ein Entra-ID-Gastobjekt im Workforce-Tenant zu erfordern. A company issues partner companies a VerifiedEmployee credential. Partner employees can use this credential to self-register in the company's partner portal – without a manual invitation and without requiring an Entra ID guest object in the workforce tenant.
| ## | SchrittStep |
|---|---|
| 11 | Partner-Unternehmen A stellt VC aus für eigene MitarbeiterPartner company A issues VC for its own employees |
| 22 | Mitarbeiter von A öffnet Partner-Portal von Unternehmen BEmployee of A opens company B's partner portal |
| 33 | Portal fordert VerifiedEmployee-Nachweis von Unternehmen A anPortal requests VerifiedEmployee credential from company A |
| 44 | Mitarbeiter präsentiert VC über AuthenticatorEmployee presents VC via Authenticator |
| 55 | Portal validiert Signatur und linked Domain von A; gewährt ZugangPortal validates signature and linked domain of A; grants access |
Anwendungsszenarien für Verified IDVerified ID Use Case Scenarios
Microsoft Entra Verified ID deckt eine Vielzahl realer Identitätsprüfungsszenarien ab.Microsoft Entra Verified ID covers a wide range of real-world identity verification scenarios.
| SzenarioScenario | Credential-TypCredential Type | PrüferVerifier |
|---|---|---|
| Mitarbeiter-IdentitätsnachweisEmployee identity proof | VerifiedEmployeeVerifiedEmployee | Partner-UnternehmenPartner company |
| HochschulabschlussUniversity degree | VerifiedEducationVerifiedEducation | ArbeitgeberEmployer |
| Regierungs-ID (eID)Government ID (eID) | VerifiedGovernmentIDVerifiedGovernmentID | Online-DiensteOnline services |
| AltersverifikationAge verification | AgeVerificationAgeVerification | E-Commerce / AlkoholE-commerce / alcohol |
| KYC (Know Your Customer)KYC (Know Your Customer) | VerifiedID + FaceCheckVerifiedID + FaceCheck | FinanzdienstleisterFinancial institutions |
Request Service API – Erweiterte ParameterRequest Service API – Advanced Parameters
{
"includeQRCode": true,
"callback": {
"url": "https://contoso.com/api/vc/callback",
"state": "correlationId-abc123",
"headers": { "Authorization": "Bearer <token>" }
},
"authority": "did:web:contoso.com",
"registration": {
"clientName": "Contoso HR Portal",
"logoUrl": "https://contoso.com/logo.png",
"tosUrl": "https://contoso.com/tos",
"privacyUrl": "https://contoso.com/privacy"
},
"presentation": {
"includeReceipt": true,
"requestedCredentials": [{
"type": "VerifiedEmployee",
"purpose": "Access to partner resources",
"acceptedIssuers": ["did:web:partner.com"],
"configuration": {
"validation": {
"allowRevoked": false,
"validateLinkedDomain": true
},
"faceCheck": {
"sourcePhotoClaimName": "photo",
"matchConfidenceThreshold": 70
}
}
}]
}
}Datenschutz & CompliancePrivacy & Compliance
Verifiable Credentials sind so konzipiert, dass minimale Daten geteilt werden und der Benutzer stets die Kontrolle behält.Verifiable Credentials are designed to share minimal data while the user retains full control at all times.
| PrinzipPrinciple | Umsetzung in Entra Verified IDImplementation in Entra Verified ID |
|---|---|
| Selective DisclosureSelective Disclosure | Benutzer teilt nur benötigte ClaimsUser shares only required claims |
| Minimale DatenspeicherungMinimal data storage | Microsoft speichert keine Credential-InhalteMicrosoft does not store credential contents |
| WiderrufRevocation | Aussteller kann VC jederzeit widerrufenIssuer can revoke VC at any time |
| DezentralisierungDecentralisation | DID-Dokument öffentlich verifizierbar ohne zentrale BehördeDID document publicly verifiable without central authority |
| DSGVO-KonformitätGDPR compliance | Daten werden nur in der Wallet des Benutzers gespeichertData stored only in user's wallet |