Veelgestelde vragen (FAQ)

Deze pagina bevat veelgestelde vragen over Verified Credentials en gedecentraliseerde identiteit. De vragen zijn onderverdeeld in de volgende secties.

• Woordenlijst en basisbeginselen
• Conceptuele vragen over gedecentraliseerde identiteit

De basisbeginselen

Wat is een DID?

Gedecentraliseerde id's (DID's) zijn unieke id's die kunnen worden gebruikt voor het beveiligen van de toegang tot resources, het ondertekenen en verifiëren van referenties, en het vergemakkelijken van uitwisseling van toepassingsgegevens. In tegenstelling tot traditionele gebruikersnamen en e-mailadressen, entiteiten en het bezitten en beheren van de DID's zelf (of het nu een persoon, apparaat of bedrijf is). DID's bestaan onafhankelijk van een externe organisatie of vertrouwde intermediair. In de W3C-specificatie voor gedecentraliseerde id's worden DID's uitgebreid uitgelegd.

Waarom hebben we een DID nodig?

Digitaal vertrouwen vereist fundamenteel dat deelnemers hun identiteiten bezitten en controleren, en identiteit begint bij de id. In een tijdperk van grootschalige systeemschendingen en aanvallen op gecentraliseerde id-honeypots wordt decentralisatie van identiteit een kritieke beveiligingsbehoefte voor consumenten en bedrijven. Personen die hun identiteit bezitten en controleren, kunnen verifieerbare gegevens en bewijzen uitwisselen. Met een gedistribueerde omgeving voor aanmeldingsgegevens kunnen veel bedrijfsprocessen worden geautomatiseerd die momenteel handmatig en arbeidsintensief zijn.

Wat zijn verifieerbare aanmeldingsgegevens?

Referenties maken deel uit van ons dagelijks leven. Bestuurderslicenties worden gebruikt om te bevestigen dat we in staat zijn om een motorvoertuig te bedienen. Universiteitsgraden kunnen worden gebruikt om ons onderwijsniveau en door de overheid uitgegeven paspoorten te laten gelden, zodat we kunnen reizen tussen landen en regio's. Verifiable Credentials biedt een mechanisme om dit soort aanmeldingsgegevens op het web uit te drukken op een manier die cryptografisch veilig is, privacy respecteert en machinaal verifieerbaar is. In de W3C Verifiable Credentials-specificatie worden verifieerbare referenties nader uitgelegd.

Conceptuele vragen

Wat gebeurt er wanneer een gebruiker zijn telefoon verliest? Kan hij zijn identiteit herstellen?

Er zijn meerdere manieren om gebruikers een herstelmechanisme te bieden, elk met hun eigen compromissen. Microsoft evalueert momenteel opties en ontwerpt benaderingen voor herstel die gemak en beveiliging bieden en tegelijkertijd de privacy en zelfsoevereiniteit van een gebruiker respecteren.

Hoe kan een gebruiker een aanvraag van een uitgever of verificator vertrouwen? Hoe weet de gebruiker dat een DID de echte DID is voor een organisatie?

We implementeren de specificatie voor Well Known DID Configuration van de Decentralized Identity Foundation om een DID te koppelen aan een zeer bekend bestaand systeem, domeinnamen. Elke DID die is gemaakt met behulp van de Microsoft Entra geverifieerde ID heeft de mogelijkheid om een hoofddomeinnaam op te geven die is gecodeerd in het DID-document. Volg het artikel getiteld Uw domein koppelen aan uw gedistribueerde id voor meer informatie.

Wat zijn de licentievereisten?

Er zijn geen speciale licentievereisten om verifieerbare aanmeldingsgegevens uit te geven.

Hoe kan ik de Microsoft Entra geverifieerde ID-service opnieuw instellen?

Voor het opnieuw instellen moet u zich afmelden en zich weer aanmelden bij de Microsoft Entra geverifieerde ID-service. Uw bestaande configuratie van verifieerbare referenties wordt opnieuw ingesteld en uw tenant verkrijgt een nieuwe DID die tijdens uitgifte en presentatie moet worden gebruikt.

1. Volg de instructies voor afmelden.
2. Ga naar de Microsoft Entra geverifieerde ID implementatiestappen om de service opnieuw te configureren.
   1. Als u een geverifieerde id handmatig instelt, kiest u een locatie voor uw Azure Key Vault die zich in dezelfde of dichtstbijzijnde regio bevindt. Dit voorkomt prestatie- en latentieproblemen.
3. Voltooi het instellen van uw Verifiable Credentials-service. U moet uw aanmeldingsgegevens opnieuw maken.
   1. Als uw tenant moet worden geconfigureerd als uitgever, is het raadzaam dat uw opslagaccount zich in de Europese regio bevindt als uw Verifiable Credentials-service.
   2. U moet ook nieuwe aanmeldingsgegevens uitgeven omdat uw tenant nu een nieuwe DID bevat.

Hoe kan ik de regio van mijn Microsoft Entra-tenant controleren?

1. Ga in Azure Portal naar Microsoft Entra-id voor het abonnement dat u gebruikt voor uw Microsoft Entra geverifieerde ID-implementatie.
2. Selecteer Onder Beheren eigenschappen
3. Bekijk de waarde voor Land of Regio. Als de waarde een land of regio in Europa is, wordt uw Microsoft Entra geverifieerde ID service ingesteld in Europa.

Ondersteunt Microsoft Entra geverifieerde ID ION als de DID-methode?

Geverifieerde id ondersteunde de DID:ION-methode in preview tot december 2023, waarna deze werd stopgezet.

Hoe kan ik verplaatst naar did:web van did:ion?

Als u wilt overstappen did:webdid:ion, kunt u deze stappen volgen via de Beheer-API. Voor het wijzigen van de instantie is heruitgifte van alle referenties vereist:

Bestaande did:ion referentiedefinities exporteren

1. Voor de did:ion instantie gebruikt u de portal om alle weergave- en regelsdefinities van de bestaande referenties te kopiëren.
2. Als u meer dan één instantie hebt, moet u de Beheer API's gebruiken als de did:ion instantie niet de standaardinstantie is. Maak op de tenant Geverifieerde id verbinding met behulp van Beheer-API en vermeld de autoriteiten om de instantie-id voor de did:ion instantie op te halen. Gebruik vervolgens de API voor lijstcontracten om ze te exporteren en het resultaat op te slaan in een bestand, zodat u ze opnieuw kunt maken.

Nieuwe did:web-instantie maken

1. Maak de nieuwe did:web instantie met behulp van de onboard-API. Als uw tenant slechts één did:ion-instantie heeft, kunt u ook een opt-out voor de service uitvoeren, gevolgd door een opt-in-bewerking om opnieuw op te starten met geverifieerde id-configuraties. In dit geval kunt u kiezen tussen Snelle en Handmatige installatie.
2. Als u een did:web-instantie instelt met behulp van Beheer-API, moet u een DID-document aanroepen om uw deed-document te genereren en het genereren van bekende documenten aan te roepen en vervolgens JSON-bestanden te uploaden naar het desbetreffende bekende pad.

Referentiesdefinities opnieuw maken

Nadat u de nieuwe did:web instantie hebt gemaakt, moet u uw referentiesdefinities opnieuw maken. U kunt dit doen via de portal als u zich hebt afgemeld en opnieuw bent gekoppeld, of u moet de contract-API maken gebruiken om ze opnieuw te maken.

Bestaande toepassingen bijwerken

1. Werk een van uw bestaande toepassingen (verlener-/verifier-apps) bij om de nieuwe did:web authoritytoepassing te gebruiken. Werk voor uitgifte-apps ook de URL van het referentiemanifest bij.
2. Test uitgifte- en verificatiestromen van de nieuwe did:web-instantie. Zodra de tests zijn geslaagd, gaat u verder met de volgende stap voor het verwijderen van de did:ion-instantie.

Verwijderen deed:ion-instantie

Als u zich niet hebt afgekeerd en opnieuw aan boord bent getreden, moet u uw oude did:ion autoriteit verwijderen. Gebruik de INSTANTIE-API voor verwijderen om de did:ion-instantie te verwijderen.

Als ik de Microsoft Entra geverifieerde ID-service opnieuw configureer, moet ik mijn DID opnieuw koppelen aan mijn domein?

Ja, nadat u uw service opnieuw hebt geconfigureerd, gebruikt uw tenant een nieuw DID om aanmeldingsgegevens uit te geven en te verifiëren. U moet uw nieuwe DID koppelen aan uw domein.

Is het mogelijk om Microsoft te verzoeken om 'oude DID's' op te halen?

Nee, op dit moment is het niet mogelijk om de DID van uw tenant te behouden nadat u zich hebt afgemeld voor de service.

Ik kan ngrok niet gebruiken, wat moet ik doen?

In de zelfstudies voor het implementeren en uitvoeren van de voorbeelden wordt het gebruik van het ngrok hulpprogramma beschreven als een toepassingsproxy. Dit hulpprogramma wordt soms geblokkeerd doordat IT-beheerders niet kunnen worden gebruikt in bedrijfsnetwerken. Een alternatief is het implementeren van het voorbeeld in Azure-app Service en uitvoeren in de cloud. Met de volgende koppelingen kunt u het betreffende voorbeeld implementeren in Azure-app Service. De gratis prijscategorie is voldoende voor het hosten van het voorbeeld. Voor elke zelfstudie moet u eerst het Azure-app Service-exemplaar maken en vervolgens het maken van de app overslaan, omdat u al een app hebt en vervolgens verdergaan met de zelfstudie met het implementeren ervan.

• Dotnet - Publiceren naar App Service
• Knooppunt - Implementeren in App Service
• Java - Implementeren in App Service. U moet de Maven-invoegtoepassing voor Azure-app Service toevoegen aan het voorbeeld.
• Python - Implementeren met Visual Studio Code

Ongeacht de taal van het voorbeeld dat u gebruikt, wordt de Azure-app Service-hostnaam https://something.azurewebsites.net gebruikt als het openbare eindpunt. U hoeft iets extra's niet te configureren om het te laten werken. Als u wijzigingen aanbrengt in de code of configuratie, moet u het voorbeeld opnieuw implementeren in Azure-app Services. Probleemoplossing/foutopsporing is niet zo eenvoudig als het uitvoeren van het voorbeeld op uw lokale computer, waarbij traceringen naar het consolevenster u fouten laten zien, maar u kunt bijna hetzelfde bereiken met behulp van de Logboekstroom.

Volgende stappen

• Uw verifieerbare aanmeldingsgegevens aanpassen