Azure AD の検証可能な資格情報のためのテナントを構成する (プレビュー)

注意

Azure Active Directory の検証可能な資格情報が Microsoft Entra 検証済み ID になり、Microsoft Entra 製品ファミリの一部になりました。 一般提供に向けて、今後数か月以内にドキュメントを更新する予定です。 ID ソリューションの Microsoft Entra ファミリの詳細を確認し、統合 Microsoft Entra 管理センターで作業を開始してください。

Azure Active Directory (Azure AD) の検証可能な資格情報では、シームレスで分散化された ID ソリューションを使用して組織を保護します。 このサービスを使用すると、資格情報を発行して検証できます。 発行者の場合、Azure AD によって、独自の検証可能な資格情報を発行するためにカスタマイズして使用できるサービスが提供されます。 検証者の場合、このサービスによって、アプリとサービス内で検証可能な資格情報を簡単に要求して受け入れることができる無料の REST API が提供されます。

このチュートリアルでは、検証可能な資格情報サービスを使用できるように Azure AD テナントを構成する方法について説明します。

具体的には、次の方法を学習します。

  • Azure Key Vault インスタンスを作成する。
  • 検証可能な資格情報サービスを設定する。
  • アプリケーションを Azure AD に登録する。

次の図は、Azure AD の検証可能な資格情報のアーキテクチャと構成するコンポーネントを示しています。

Diagram that illustrates the Azure AD Verifiable Credentials architecture.

前提条件

  • アクティブなサブスクリプションを含む Azure テナントが必要です。 Azure サブスクリプションをお持ちでない場合は、無料でアカウントを作成してください。
  • 構成するディレクトリのグローバル管理者アクセス許可を持っていることを確認します。

Key Vault を作成します

Azure Key Vault は、シークレットとキーを安全に保管しアクセスできるようにするクラウド サービスです。 検証可能な資格情報サービスでは、Azure Key Vault に公開キーと秘密キーが格納されます。 これらのキーは、資格情報の署名と検証に使用されます。

Azure Key Vault インスタンスが利用できない場合は、次の手順に従って、Azure portal を使用してキー コンテナーを作成します。

Note

既定では、コンテナーを作成したアカウントのみにアクセス権があります。 検証可能な資格情報サービスはキー コンテナーにアクセスする必要があります。 キー コンテナーには、構成中に使用されるアカウントでキーの作成と削除を行うことができるようにするアクセス ポリシーを構成する必要があります。 構成中に使用されるアカウントでは、検証可能な資格情報のドメイン バインドを作成する目的で署名するためのアクセス許可も必要です。 テスト中に同じアカウントを使用する場合は、コンテナーの作成者に既定で付与されるアクセス許可のほかに、署名するためのアクセス許可をそのアカウントに付与するように既定のポリシーを変更してください。

キー コンテナーのアクセス ポリシーを設定する

Key Vault のアクセス ポリシーでは、指定されたセキュリティ プリンシパルによって、Key Vault のシークレットとキーの操作を実行できるかどうかが定義されます。 Azure AD の検証可能な資格情報サービスの管理者アカウントと、作成した Request Service API プリンシパルの両方について、キー コンテナーにアクセス ポリシーを設定します。 キー コンテナーを作成すると、検証可能な資格情報によって、メッセージ セキュリティを確保するために使用される一連のキーが生成されます。 これらのキーは、Key Vault に格納されます。 キー セットは、検証可能な資格情報の署名、更新、および回復に使用します。

検証可能な資格情報の管理者ユーザーのアクセス ポリシーを設定する

  1. Azure portal で、このチュートリアルで使用するキー コンテナーに移動します。

  2. [設定][アクセス ポリシー] を選択します。

  3. [アクセス ポリシーの追加][ユーザー] で、このチュートリアルを実行するために使用するアカウントを選択します。

  4. [キーのアクセス許可] で、 [作成][削除][署名] のアクセス許可が選択されていることを確認します。 既定では、 [作成][削除] は既に有効になっています。 更新する必要があるキーのアクセス許可は、 [署名] のみです。

    Screenshot that shows how to configure the admin access policy.

  5. 変更を保存するには、 [保存] を選択します。

検証可能な資格情報サービス要求のサービス プリンシパルに対してアクセス ポリシーを設定する

検証可能な資格情報サービス要求は Request Service API であり、発行とプレゼンテーションの各要求に署名するために Key Vault へのアクセス権が必要です。

  1. [+ アクセス ポリシーの追加] を選択し、AppId が 3db474b9-6a0c-4840-96ac-1fceb342124 であるサービス プリンシパル [Verifiable Credentials Service Request] (検証可能な資格情報サービス要求) を選択します。

  2. [キーのアクセス許可] で、[取得][署名] を選択します。

    screenshot of key vault granting access to a security principal

  3. 変更を保存するには、 [保存] を選択します。

検証可能な資格情報の設定

Azure AD の検証可能な資格情報を設定するには、次の手順を実行します。

  1. Azure portal で、検証可能な資格情報を検索します。 次に、 [検証可能な資格情報 (プレビュー)] を選択します。

  2. 左側のメニューから、 [はじめに] を選択します。

  3. 次の情報を指定して、組織を設定します。

    1. 組織名: 検証可能な資格情報内で自分のビジネスを参照する名前を入力します。 顧客にこの名前は表示されません。

    2. ドメイン: 分散化 ID (DID) ドキュメントのサービス エンドポイントに追加されるドメインを入力します。 ドメインは、ユーザーがお客様のビジネスについて知っている具体的な何かに DID をバインドするものです。 Microsoft Authenticator とその他のデジタル ウォレットでは、DID がドメインにリンクされていることを検証するために、この情報を使用します。 DID を検証できる場合、ウォレットには検証済み記号が表示されます。 ウォレットで DID を検証できない場合、検証できない資格情報が組織によって発行されたことがユーザーに通知されます。

      重要

      ドメインはリダイレクトしないようにします。 そうしないと、DID とドメインはリンクできません。 ドメインに HTTPS を使用してください。 (例: https://contoso.com)。

    3. キー コンテナー: 前に作成したキー コンテナーを選択します。

    4. [詳細設定] で、テナントに使用する信頼システムを選択できます。 [Web] または [ION] のいずれかを選択できます。 Web の場合、テナントで did:web が did メソッドとして使用され、ION の場合 did:ion が使用されることを意味します。

      重要

      信頼システムを変更する唯一の方法は、検証可能な資格情報をオプトアウトし、オンボードを再実行することです。

  4. [Save and get started] (保存して作業開始) を選択します。

    Screenshots that shows how to set up Verifiable Credentials.

アプリケーションを Azure AD に登録する

Azure AD の検証可能な資格情報サービス要求は、発行および検証するためにアクセス トークンを取得する必要があります。 アクセス トークンを取得するには、Web アプリケーションを登録し、前の手順で設定した API Verifiable Credential Request Service のための API アクセス許可を付与します。

  1. 管理者アカウントで Azure portal にサインインします。

  2. 複数のテナントにアクセスできる場合は、[ディレクトリ + サブスクリプション] を選択します。 次に、お使いの Azure Active Directory を探して選択します。

  3. [管理][アプリの登録]>[新規登録] の順に選択します。

    Screenshot that shows how to select a new application registration.

  4. アプリケーションの表示名を入力します。 たとえば、verifiable-credentials-app と指定します。

  5. [サポートされているアカウントの種類] で、 [Accounts in this organizational directory only (Default Directory only - Single tenant)](この組織ディレクトリのアカウントのみ (既定のディレクトリのみ - シングル テナント)) を選択します。

  6. [登録] を選択して、アプリケーションを作成します。

    Screenshot that shows how to register the verifiable credentials app.

アクセス トークンを取得するためにアクセス許可を付与する

この手順では、検証可能な資格情報サービス要求のサービス プリンシパルにアクセス許可を付与します。

必要なアクセス許可を追加するには、次の手順に従います。

  1. verifiable-credentials-app アプリケーション詳細ページで作業を続けます。 [API のアクセス許可][アクセス許可の追加] の順に選択します。

    Screenshot that shows how to add permissions to the verifiable credentials app.

  2. [所属する組織で使用している API] を選択します。

  3. 以前作成したサービス プリンシパルである、[Verifiable Credentials Service Request] (検証可能な資格情報サービス要求) を検索し、選択します。

    Screenshot that shows how to select the service principal.

  4. [アプリケーションのアクセス許可] を選択し、 [VerifiableCredential.Create.All] を展開します。

    Screenshot that shows how to select the required permissions.

  5. [アクセス許可の追加] を選択します.

  6. [<テナント名> に管理者の同意を与えます] を選択します。

サービス エンドポイントの構成

  1. Azure portal で [Verifiable credentials] (検証可能な資格情報) ページに移動します。
  2. [Registration](登録) を選択します。
  3. 次の 2 つのセクションがあることに注意してください。
    1. Web サイト ID の登録
    2. ドメインの検証。
  4. 各セクションを選択し、それぞれの下にある JSON ファイルをダウンロードします。
  5. ファイルの配布に使用できる Web サイトを作成します。 ドメインとして https://contoso.com を指定した場合、各ファイルの URL は以下のようになります。

検証手順が正常に完了したら、次のチュートリアルに進む準備が整っています。

次の手順