Azure AD 확인 가능한 자격 증명에 대한 테넌트 구성(미리 보기)

Azure AD(Azure Active Directory) 확인 가능한 자격 증명은 원활하고 탈중앙화된 ID 솔루션으로 조직을 보호합니다. 이 서비스를 사용하면 자격 증명을 발급하고 확인할 수 있습니다. 발급자의 경우 Azure AD는 사용자 지정하고 자체의 확인 가능한 자격 증명을 발급하는 데 사용할 수 있는 서비스를 제공합니다. 검증 도구의 경우 서비스는 앱 및 서비스에서 확인 가능한 자격 증명을 쉽게 요청하고 수락할 수 있는 무료 REST API 제공합니다.

이 자습서에서는 이 자격 증명 서비스를 사용할 수 있도록 Azure AD 테넌트 구성 방법을 알아봅니다.

특히 다음 방법을 알아봅니다.

  • 서비스 주체 설정
  • Azure Key Vault에서 Key Vault 만들기
  • Azure AD에서 애플리케이션 등록
  • 확인 가능한 자격 증명 서비스 설정

다음 다이어그램에서는 Azure AD 확인 가능한 자격 증명 아키텍처와 구성 요소를 보여 줍니다.

Diagram that illustrates the Azure AD Verifiable Credentials architecture.

필수 구성 요소

서비스 주체 설정

요청 서비스 API에 대한 서비스 주체를 만듭니다. 서비스 API는 Azure AD 확인 가능한 자격 증명을 발급하거나 확인하는 데 사용하는 Microsoft 서비스입니다.

서비스 주체를 만들려면 다음을 수행합니다.

  1. 다음 PowerShell 명령을 실행합니다. 이러한 명령은 AzureAD 모듈을 설치하고 가져옵니다. 자세한 내용은 Azure Az PowerShell 모듈 설치를 참조하세요.

    if ((Get-Module -ListAvailable -Name "AzureAD") -eq $null) {  Install-Module "AzureAD" -Scope CurrentUser }  Import-Module AzureAD
    
  2. 다음 PowerShell 명령을 실행하여 Azure AD 테넌트에 연결합니다. <<>를 >로 바꿉니다.

    Connect-AzureAD -TenantId <your-tenant-ID>
    
  3. 동일한 PowerShell 세션에서 다음 명령을 실행합니다. AppIdbbb94529-53a3-4be5-a069-7eaf2712b826는 확인 가능한 자격 증명 Microsoft 서비스를 참조합니다.

    New-AzureADServicePrincipal -AppId "bbb94529-53a3-4be5-a069-7eaf2712b826" -DisplayName "Verifiable Credential Request Service" 
    

키 자격 증명 모음 만들기

Azure Key Vault는 비밀 및 키의 보안 스토리지 및 액세스를 가능하게 하는 클라우드 서비스입니다. 확인 가능한 자격 증명 서비스는 Azure Key Vault에 공개 키 및 프라이빗 키를 저장합니다. 이러한 키는 자격 증명에 서명하고 확인하는 데 사용됩니다.

Azure Key Vault 인스턴스가 없는 경우 Azure Portal을 사용하여 다음 단계에 따라 Key Vault를 만듭니다.

참고

기본적으로 키 자격 증명 모음을 만드는 계정에만 액세스 권한이 있습니다. 확인 가능한 자격 증명 서비스에는 Key Vault에 대한 액세스 권한이 필요합니다. 구성 중에 사용되는 계정이 키를 만들고 삭제할 수 있도록 허용하는 액세스 정책을 사용하여 Key Vault를 구성해야 합니다. 구성 중에 사용되는 계정에는 확인 가능한 자격 증명에 대한 도메인 바인딩을 만들기 위해 서명할 수 있는 권한이 필요합니다. 테스트하는 동안 동일한 계정을 사용하는 경우에는 자격 증명 모음 생성자에게 부여된 기본 권한 외에도 계정 서명 권한을 부여하도록 기본 정책을 수정합니다.

Key Vault에 대한 액세스 정책 설정

Key Vault를 만든 후 확인 가능한 자격 증명은 메시지 보안을 제공하는 데 사용되는 키 집합을 생성합니다. 이러한 키는 Key Vault에 저장됩니다. 확인 가능한 자격 증명을 서명, 업데이트 및 복구하는 데 키 집합을 사용합니다.

Key Vault 액세스 정책은 지정된 보안 주체가 Key Vault 비밀 및 키에 대한 작업을 수행할 수 있는지 여부를 정의합니다. Key Vault에서 Azure AD 확인 가능한 자격 증명 서비스의 관리자 계정과 만든 요청 서비스 API 보안 주체 모두에 대한 액세스 정책을 설정합니다.

  1. Azure Portal에서 이 자습서에 사용하는 Key Vault로 이동합니다.

  2. 설정에서 액세스 정책을 선택합니다.

  3. 액세스 정책 추가사용자 아래에서 이 자습서를 수행하는 데 사용할 계정을 선택합니다.

  4. 키 권한에 대해 만들기, 삭제서명 권한이 선택되어 있는지 확인합니다. 기본적으로 만들기삭제는 이미 사용하도록 설정되어 있습니다. 서명 키 권한만 업데이트하면 됩니다.

    Screenshot that shows how to configure the admin access policy.

  5. 변경 내용을 저장하려면 저장을 선택합니다.

  6. + 액세스 정책 추가를 선택하여 확인 가능한 자격 증명 요청 서비스의 서비스 주체에 대한 권한을 추가합니다.

  7. 액세스 정책 추가에서 다음을 수행합니다.

    1. 키 권한에 대해 가져오기서명을 선택합니다.

    2. 비밀 권한에서 가져오기를 선택합니다.

    3. 보안 주체 선택에 대해 확인 가능한 자격 증명 요청 서비스를 선택합니다.

    4. 추가를 선택합니다.

      Screenshot that demonstrates how to add an access policy for the Verifiable Credential Request Service.

  8. 저장을 선택하여 만든 새 정책을 저장합니다.

Azure AD에서 애플리케이션 등록

Azure AD 확인 가능한 자격 증명 요청 서비스는 발급 및 검증하기 위한 액세스 토큰을 얻을 수 있어야 합니다. 액세스 토큰을 얻으려면 웹 애플리케이션을 등록하고 이전 단계에서 설정한 API 확인 가능한 자격 증명 요청 서비스에 대한 API 권한을 부여합니다.

  1. 관리자 계정으로 Azure Portal에 로그인합니다.

  2. 여러 테넌트에 대한 액세스 권한이 있는 경우 디렉터리 + 구독 아이콘을 선택합니다. 그런 다음, Azure Active Directory를 검색하여 선택합니다.

  3. 관리 아래에서 앱 등록새 등록을 선택합니다.

    Screenshot that shows how to select a new application registration.

  4. 애플리케이션의 표시 이름을 입력합니다. 예를 들어 verifiable-credentials-app과 같습니다.

  5. 지원되는 계정 유형에 대해 이 조직 디렉터리의 계정만(기본 디렉터리만 - 단일 테넌트) 을 선택합니다.

  6. 등록을 선택하여 애플리케이션을 만듭니다.

    Screenshot that shows how to register the verifiable credentials app.

액세스 토큰을 얻을 수 있는 권한 부여

이 단계에서는 권한을 1단계에서 만든 확인 가능한 자격 증명 요청 서비스 주체에 부여합니다.

필요한 권한을 추가하려면 다음 단계를 수행합니다.

  1. verifiable-credentials-app 애플리케이션 세부 정보 페이지에 남아 있습니다. API 권한권한 추가를 선택합니다.

    Screenshot that shows how to add permissions to the verifiable credentials app.

  2. 내 조직에서 사용하는 API를 선택합니다.

  3. 이전에 만든 서비스 주체인 확인 가능한 자격 증명 요청 서비스를 검색하여 선택합니다.

    Screenshot that shows how to select the service principal.

  4. 애플리케이션 권한을 선택하고, VerifiableCredential.Create.All을 펼칩니다.

    Screenshot that shows how to select the required permissions.

  5. 권한 추가를 선택합니다.

  6. 테넌트 이름>에 대한 관리자 동의 부여를 선택합니다.

확인 가능한 자격 증명 설정

Azure AD 확인 가능한 자격 증명을 설정하려면 다음 단계를 수행합니다.

  1. Azure Portal에서 확인 가능한 자격 증명을 검색합니다. 그런 다음, 확인 가능한 자격 증명(미리 보기) 을 선택합니다.

  2. 왼쪽 메뉴에서 시작을 선택합니다.

  3. 다음 정보를 제공하여 조직을 설정합니다.

    1. 조직 이름: 확인 가능한 자격 증명 내에서 비즈니스를 참조할 이름을 입력합니다. 고객에게는 이 이름이 표시되지 않습니다.

    2. 도메인: DID(탈중앙화 ID) 문서의 서비스 엔드포인트에 추가되는 도메인을 입력합니다. 도메인은 DID를 사용자가 해당 비즈니스에 대해 알 수 있는 유형의 무언가에 바인딩하는 것입니다. Microsoft Authenticator 및 기타 디지털 지갑에서 이 정보를 사용하여 DID가 도메인에 연결되어 있는지 확인합니다. 월렛이 DID를 확인할 수 있으면 확인된 기호가 표시됩니다. 월렛이 DID를 확인할 수 없는 경우 유효성을 검사할 수 없는 조직에서 자격 증명이 발급되었음을 사용자에게 알립니다.

      중요

      도메인은 리디렉션이 될 수 없습니다. 리디렉션이 가능한 경우에는 DID와 도메인을 연결할 수 없습니다. HTTPS를 도메인에 사용해야 합니다. 예: https://contoso.com

    3. 키 자격 증명 모음: 이전에 만든 키 자격 증명 모음의 이름을 입력합니다.

  4. 자격 증명 저장 및 만들기를 선택합니다.

    Screenshots that shows how to set up Verifiable Credentials.

다음 단계