Konfiguracja zaawansowana Zweryfikowany identyfikator Microsoft Entra

  • Artykuł

Konfiguracja zaawansowanego zweryfikowanego identyfikatora to klasyczny sposób konfigurowania zweryfikowanego identyfikatora, w którym jako administrator musisz skonfigurować usługę Azure KeyVault, dbać o rejestrowanie zdecentralizowanego identyfikatora i weryfikowanie domeny.

Z tego samouczka dowiesz się, jak za pomocą konfiguracji zaawansowanej skonfigurować dzierżawę firmy Microsoft Entra do korzystania z weryfikowalnej usługi poświadczeń.

W szczególności dowiesz się, jak wykonywać następujące działania:

  • Utwórz wystąpienie usługi Azure Key Vault.
  • Skonfiguruj usługę zweryfikowanego identyfikatora przy użyciu konfiguracji zaawansowanej.
  • Rejestrowanie aplikacji w usłudze Microsoft Entra ID.

Na poniższym diagramie przedstawiono architekturę zweryfikowanego identyfikatora i skonfigurowany składnik.

Diagram that illustrates the Microsoft Entra Verified ID architecture.

Wymagania wstępne

Tworzenie magazynu kluczy

Azure Key Vault to usługa w chmurze, która umożliwia bezpieczne zarządzanie magazynem i dostępem do wpisów tajnych i kluczy. Usługa Zweryfikowany identyfikator przechowuje klucze publiczne i prywatne w usłudze Azure Key Vault. Te klucze są używane do podpisywania i weryfikowania poświadczeń.

Jeśli nie masz dostępnego wystąpienia usługi Azure Key Vault, wykonaj następujące kroki , aby utworzyć magazyn kluczy przy użyciu witryny Azure Portal.

Uwaga

Domyślnie konto, które tworzy magazyn, jest jedynym kontem z dostępem. Usługa Zweryfikowany identyfikator wymaga dostępu do magazynu kluczy. Musisz uwierzytelnić magazyn kluczy, zezwalając kontu używanemu podczas konfiguracji na tworzenie i usuwanie kluczy. Konto używane podczas konfiguracji wymaga również uprawnień do podpisania, aby można było utworzyć powiązanie domeny dla zweryfikowanego identyfikatora. Jeśli używasz tego samego konta podczas testowania, zmodyfikuj domyślne zasady, aby udzielić uprawnień do podpisywania konta, oprócz uprawnień domyślnych przyznanych twórcom magazynu.

Zarządzanie dostępem do magazynu kluczy

Przed skonfigurowaniem zweryfikowanego identyfikatora należy zapewnić dostęp do usługi Key Vault. Określa to, czy określony administrator może wykonywać operacje na wpisach tajnych i kluczach usługi Key Vault. Podaj uprawnienia dostępu do magazynu kluczy zarówno dla konta administratora zweryfikowanego identyfikatora, jak i dla utworzonej jednostki interfejsu API żądania usługi.

Po utworzeniu magazynu kluczy weryfikowalne poświadczenia generują zestaw kluczy używanych do zapewnienia zabezpieczeń komunikatów. Te klucze są przechowywane w usłudze Key Vault. Zestaw kluczy służy do podpisywania, aktualizowania i odzyskiwania weryfikowalnych poświadczeń.

Konfigurowanie zweryfikowanego identyfikatora

Screenshot that shows how to set up Verifiable Credentials.

Aby skonfigurować zweryfikowany identyfikator, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej administrator globalny Administracja istrator.

  2. Wybierz pozycję Zweryfikowany identyfikator.

  3. W menu po lewej stronie wybierz pozycję Konfiguracja.

  4. W środkowym menu wybierz pozycję Konfiguruj ustawienia organizacji.

  5. Skonfiguruj organizację, podając następujące informacje:

    1. Nazwa organizacji: wprowadź nazwę, aby odwoływać się do twojej firmy w obszarze Zweryfikowane identyfikatory. Twoi klienci nie widzą tej nazwy.

    2. Zaufana domena: wprowadź domenę dodaną do punktu końcowego usługi w dokumencie zdecentralizowanej tożsamości (DID). Domena jest powiązana z czymś konkretnym, co użytkownik może wiedzieć o Twojej firmie. Program Microsoft Authenticator i inne portfele cyfrowe używają tych informacji do sprawdzania, czy twój program DID jest połączony z twoją domeną. Jeśli portfel może zweryfikować DID, wyświetla zweryfikowany symbol. Jeśli portfel nie może zweryfikować wartości DID, informuje użytkownika, że poświadczenia zostały wystawione przez organizację, której nie może zweryfikować.

      Ważne

      Domena nie może być przekierowania. W przeciwnym razie nie można połączyć domeny DID i domeny. Upewnij się, że używasz protokołu HTTPS dla domeny. Na przykład: https://did.woodgrove.com.

    3. Magazyn kluczy: wybierz utworzony wcześniej magazyn kluczy.

  6. Wybierz pozycję Zapisz.

    Screenshot that shows how to set up Verifiable Credentials first step.

Rejestrowanie aplikacji w identyfikatorze Entra firmy Microsoft

Aplikacja musi uzyskać tokeny dostępu, gdy chce wywołać metodę do Zweryfikowany identyfikator Microsoft Entra, aby mogła wystawiać lub weryfikować poświadczenia. Aby uzyskać tokeny dostępu, musisz zarejestrować aplikację i udzielić uprawnień interfejsu API dla usługi zweryfikowanego żądania identyfikatora. Na przykład wykonaj następujące kroki dla aplikacji internetowej:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej administrator globalny Administracja istrator.

  2. Wybierz Microsoft Entra ID.

  3. W obszarze Aplikacje wybierz pozycję Rejestracje aplikacji> Nowa rejestracja.

    Screenshot that shows how to select a new application registration.

  4. Wprowadź nazwę wyświetlaną aplikacji. Na przykład: weryfikowalne-credentials-app.

  5. W obszarze Obsługiwane typy kont wybierz pozycję Konta tylko w tym katalogu organizacyjnym (tylko katalog domyślny — pojedyncza dzierżawa).

  6. Wybierz pozycję Zarejestruj, aby utworzyć aplikację.

    Screenshot that shows how to register the verifiable credentials app.

Udzielanie uprawnień do uzyskiwania tokenów dostępu

W tym kroku przyznasz uprawnienia do jednostki usługi żądania poświadczeń weryfikowalnych.

Aby dodać wymagane uprawnienia, wykonaj następujące kroki:

  1. Pozostań na stronie weryfikowalnej-credentials-app details aplikacji . Wybierz przycisk Uprawnienia API>Dodaj uprawnienie.

    Screenshot that shows how to add permissions to the verifiable credentials app.

  2. Wybierz Interfejsy API używane przez organizację.

  3. Wyszukaj jednostkę usługi Żądania obsługi poświadczeń weryfikowalnych i wybierz ją.

    Screenshot that shows how to select the service principal.

  4. Wybierz pozycję Uprawnienie aplikacji i rozwiń węzeł VerifiableCredential.Create.All.

    Screenshot that shows how to select the required permissions.

  5. Wybierz Przyznaj uprawnienia.

  6. Wybierz pozycję Udziel zgody administratora dla <swojej nazwy> dzierżawy.

Jeśli wolisz rozdzielić zakresy do różnych aplikacji, możesz przyznać uprawnienia wystawiania i prezentacji oddzielnie.

Screenshot that shows how to select granular permissions for issuance or presentation.

Rejestrowanie zdecentralizowanego identyfikatora i weryfikowanie własności domeny

Po skonfigurowaniu usługi Azure Key Vault i utworzeniu klucza podpisywania należy wykonać krok 2 i 3 w konfiguracji.

Screenshot that shows how to set up Verifiable Credentials step 2 and 3.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej administrator globalny Administracja istrator.
  2. Wybierz pozycję Weryfikowalne poświadczenia.
  3. W menu po lewej stronie wybierz pozycję Konfiguracja.
  4. W środkowym menu wybierz pozycję Zarejestruj zdecentralizowany identyfikator , aby zarejestrować dokument DID, zgodnie z instrukcjami w artykule Jak zarejestrować zdecentralizowany identyfikator dla witryny did:web. Przed kontynuowanie weryfikacji domeny należy wykonać ten krok. Jeśli wybrano opcję nie:ion jako system zaufania, należy pominąć ten krok.
  5. W środkowym menu wybierz pozycję Weryfikuj własność domeny, aby zweryfikować domenę, zgodnie z instrukcjami w artykule Weryfikowanie własności domeny do zdecentralizowanego identyfikatora (DID)

Po pomyślnym wykonaniu kroków weryfikacji i wprowadzeniu zielonych znaczników wyboru we wszystkich trzech krokach możesz przejść do następnego samouczka.

Następne kroki