Mengonfigurasi penyewa Anda untuk Kredensial yang Dapat Diverifikasi Microsoft Azure AD (pratinjau)

Catatan

Kredensial yang dapat Diverifikasi Azure Active Directory sekarang menjadi ID Terverifikasi Microsoft Entra dan bagian dari rangkaian produk Microsoft Entra. Kami akan memperbarui dokumentasi dalam beberapa bulan ke depan saat kami bergerak menuju Ketersediaan Umum (GA). Pelajari selengkapnya tentang rangkaian Microsoft Entra solusi identitas dan mulai di pusat admin Microsoft Entra terpadu.

Azure Active Directory (Azure AD) Kredensial yang Dapat Diverifikasi melindungi organisasi Anda dengan solusi identitas yang mulus dan terdesentralisasi. API ini memungkinkan Anda mengeluarkan dan memverifikasi info masuk. Untuk penerbit, Microsoft Azure AD menyediakan layanan yang dapat mereka sesuaikan dan gunakan untuk menerbitkan kredensial mereka sendiri yang dapat diverifikasi. Untuk verifikator, layanan ini menyediakan REST API gratis yang memudahkan untuk meminta dan menerima kredensial yang dapat diverifikasi di aplikasi dan layanan Anda.

Dalam tutorial ini, Anda mempelajari cara mengonfigurasi penyewa Azure AD agar dapat menggunakan layanan kredensial yang dapat diverifikasi.

Secara khusus, Anda mempelajari cara:

• Membuat instans Azure Key Vault.
• Menyiapkan layanan Kredensial yang Dapat Diverifikasi.
• Mendaftarkan aplikasi di Azure AD.

Diagram berikut menggambarkan arsitektur kredensial Microsoft Azure AD yang dapat diverifikasi dan komponen yang Anda konfigurasikan.

Prasyarat

• Anda memerlukan penyewa Azure dengan langganan aktif. Jika Anda tidak memiliki langganan Azure, buat langganan secara gratis.
• Izin Administrator Global untuk direktori yang ingin Anda konfigurasikan.

Membuat brankas kunci

Azure Key Vault adalah layanan cloud yang memungkinkan penyimpanan aman dan akses rahasia dan kunci. Layanan Kredensial yang Dapat Diverifikasi menyimpan kunci publik dan privat di Azure Key Vault. Kunci ini digunakan untuk menandatangani dan memverifikasi kredensial.

Jika Anda tidak memiliki instans Azure Key Vault, ikuti langkah-langkah berikut untuk membuat brankas kunci menggunakan portal Azure.

Catatan

Secara default, akun yang membuat brankas adalah satu-satunya yang memiliki akses. Layanan kredensial yang dapat diverifikasi memerlukan akses ke brankas kunci. Anda harus mengkonfigurasi kubah kunci dengan kebijakan akses yang memungkinkan akun yang digunakan selama konfigurasi untuk membuat dan menghapus kunci. Akun yang digunakan selama konfigurasi juga memerlukan izin untuk menandatangani untuk membuat domain yang mengikat kredensial yang dapat diverifikasi. Jika Anda menggunakan akun yang sama saat pengujian, ubah kebijakan default untuk memberikan izin Masuk akun selain izin default yang diberikan kepada pembuat brankas.

Langkah 2.1 Mengatur Kebijakan Akses untuk Key Vault

Kebijakan akses Key Vault menentukan apakah prinsipal keamanan yang diberikan, dapat melakukan operasi dalam rahasia Key Vault, dan kunci. Atur kebijakan akses di brankas kunci Anda untuk akun administrator layanan Kredensial yang Dapat Diverifikasi Azure AD, dan untuk prinsipal API Layanan Permintaan yang Anda buat. Setelah Anda membuat kubah utama, Kredensial yang Dapat Diverifikasi menghasilkan satu set kunci yang digunakan untuk memberikan keamanan pesan. Kunci ini disimpan dalam brankas kunci. Anda menggunakan satu set kunci untuk menandatangani, memperbarui, dan memulihkan kredensial yang dapat diverifikasi.

Menetapkan kebijakan akses untuk pengguna Admin Kredensial yang Dapat Diverifikasi

1. Di portal Microsoft Azure, buka Key Vault yang Anda gunakan untuk tutorial ini.

2. Di bagian Pengaturan, pilih Kebijakan akses.

3. Di halaman Tambahkan kebijakan akses, di bagian USER pilih akun yang Anda gunakan untuk mengikuti tutorial ini.

4. Untuk Izin kunci, verifikasi bahwa izin berikut dipilih. Secara default, Buat dan Hapus sudah diaktifkan. Tanda Tangan harus menjadi satu-satunya izin kunci yang perlu Anda perbarui.

   

5. Untuk menyimpan perubahan, pilih Simpan.

Menetapkan kebijakan akses untuk prinsip layanan Permintaan Layanan Kredensial yang Dapat Diverifikasi

Permintaan Layanan Kredensial yang Dapat Diverifikasi adalah API Layanan Permintaan, dan memerlukan akses ke Key Vault untuk menandatangani permintaan penerbitan dan presentasi.

1. Pilih + Tambahkan Kebijakan Akses dan pilih perwakilan layanan Permintaan Layanan Kredensial yang Dapat Diverifikasi dengan AppId 3db474b9-6a0c-4840-96ac-1fceb342124.

2. Untuk Izin kunci, pilih izin Dapatkan dan Tanda tangan.

   

3. Untuk menyimpan perubahan, pilih Simpan.

Menyiapkan Pratinjau Kredensial yang Dapat Diverifikasi

Untuk menyiapkan kredensial yang dapat diverifikasi Microsoft Azure AD Anda, ikuti langkah berikut:

1. Di portal Microsoft Azure, cari kredensial yang dapat diverifikasi. Lalu, pilih Kredensial yang Dapat Diverifikasi (Pratinjau) .

2. Dari menu sebelah kiri, pilih Memulai.

3. Menyiapkan organisasi Anda dengan memberikan informasi berikut:

   1. Nama organisasi: Masukkan nama untuk mereferensikan bisnis Anda dalam Kredensial yang Dapat Diverifikasi. Pelanggan Anda tidak melihat nama ini.

   2. Domain: Masukkan domain yang ditambahkan ke titik akhir layanan di dokumen DID Anda. Domain inilah yang mengikat DID Anda dengan sesuatu yang nyata sehingga pengguna mungkin tahu tentang bisnis Anda. Microsoft Authenticator dan dompet digital lainnya menggunakan informasi ini untuk memvalidasi bahwa DID ditautkan ke domain Anda. Jika dompet dapat memverifikasi DID, maka akan menampilkan simbol terverifikasi. Jika dompet tidak dapat memverifikasi DID, maka memberi tahu pengguna bahwa informasi masuk dikeluarkan oleh organisasi yang tidak dapat divalidasi.

      Penting

      Domain tidak dapat menjadi pengalihan. Jika tidak, DID dan domain tidak dapat ditautkan. Pastikan untuk menggunakan HTTPS untuk domain misalnya . Misalnya: https://contoso.com.

   3. Brankas kunci: Pilih brankas kunci yang Anda buat sebelumnya.

   4. Di bawah Tingkat Lanjut, Anda dapat memilih sistem kepercayaan yang ingin Anda gunakan untuk penyewa Anda. Anda dapat memilih dari Web atau ION. Web berarti penyewa Anda menggunakan did:web sebagai metode dan ION yang dilakukan berarti menggunakan did:ion.

      Penting

      Satu-satunya cara untuk mengubah sistem kepercayaan adalah dengan menolak kredensial yang dapat diverifikasi dan mengulangi orientasi.

4. Pilih Simpan dan mulai.

   

Mendaftarkan aplikasi di Microsoft Azure AD

Permintaan Layanan Kredensial yang Dapat Diverifikasi Azure AD perlu mendapatkan token akses untuk penerbitan dan verifikasi. Untuk mendapatkan token akses, daftarkan aplikasi web dan berikan izin API untuk Layanan Permintaan Kredensial yang Dapat Diverifikasi API yang Anda siapkan pada langkah sebelumnya.

1. Masuk ke portal Microsoft Azure dengan akun administratif Anda.

2. Jika Anda memiliki akses ke beberapa penyewa, pilih Direktori + langganan. Lalu, cari dan pilih Microsoft Azure AD.

3. Di bagian Kelola, pilih Pendaftaran aplikasi>Pendaftaran baru.

   

4. Masukkan Nama tampilan aplikasi Anda. Misalnya, verifiable-credentials-app.

5. Jenis akun yang didukung: Pilih Akun hanya dalam direktori organisasi ini (hanya Direktori Default - Penyewa tunggal)

6. Pilih Daftar untuk membuat aplikasi.

   

3.1 Memberikan izin untuk mendapatkan token akses

Pada langkah ini, Anda memberikan izin kepada perwakilan Layanan Permintaan Layanan Kredensial yang Dapat Diverifikasi.

Untuk menambahkan izin yang diperlukan, ikuti langkah berikut:

1. Tetap berada di halaman detail aplikasi verifiable-credentials-app. Pilih Izin API>Tambahkan izin.

   

2. Pilih API yang digunakan organisasi saya.

3. Telusuri perwakilan layanan yang Anda buat sebelumnya, Permintaan Layanan Kredensial yang Dapat Diverifikasi, dan pilih.

   

4. Pilih Izin Aplikasi dan perluas VerifiableCredential.Create.Alll.

   

5. Pilih Tambahkan izin.

6. Pilih Beri persetujuan admin untuk <nama penyewa Anda>.

Konfigurasi titik akhir layanan

1. Di portal Azure, navigasikan ke halaman kredensial yang dapat diverifikasi.
2. Pilih Pendaftaran.
3. Perhatikan bahwa ada dua bagian:
   1. Pendaftaran ID situs web
   2. Verifikasi domain.
4. Pilih pada setiap bagian dan unduh file JSON di bawah masing-masing bagian.
5. Buat situs web yang dapat Anda gunakan untuk mendistribusikan file. Jika Anda menentukan https://contoso.com sebagai domain Anda, URL untuk setiap file akan terlihat seperti di bawah ini:
   • https://contoso.com/.well-known/did.json
   • https://contoso.com/.well-known/did-configuration.json.

Setelah Anda berhasil menyelesaikan langkah-langkah verifikasi, Anda siap untuk melanjutkan ke tutorial berikutnya.

Langkah berikutnya

• Pelajari cara menerbitkan Kredensial yang dapat diverifikasi Microsoft Azure AD dari aplikasi web.
• Pelajari cara memverifikasi Kredensial yang dapat diverifikasi Microsoft Azure AD.