Gelişmiş Microsoft Entra Kimlik Doğrulama kurulumu

  • Makale

Gelişmiş Doğrulanmış Kimlik kurulumu, yönetici olarak Azure KeyVault'u yapılandırmanız, merkezi olmayan kimliğinizi kaydetmeniz ve etki alanınızı doğrulamanız gereken Doğrulanmış Kimliği ayarlamanın klasik yoludur.

Bu öğreticide, Microsoft Entra kiracınızı doğrulanabilir kimlik bilgileri hizmetini kullanacak şekilde yapılandırmak için gelişmiş kurulumu kullanmayı öğreneceksiniz.

Özellikle şunların nasıl yapılacağını öğrenirsiniz:

  • Azure Key Vault örneği oluşturun.
  • Gelişmiş kurulumu kullanarak Doğrulanmış Kimlik hizmeti olduğunuzu yapılandırın.
  • Microsoft Entra Kimliğinde bir uygulama kaydedin.

Aşağıdaki diyagramda Doğrulanmış Kimlik mimarisi ve yapılandırdığınız bileşen gösterilmektedir.

Diagram that illustrates the Microsoft Entra Verified ID architecture.

Önkoşullar

  • Etkin aboneliği olan bir Azure kiracısı gerekir. Azure aboneliğiniz yoksa ücretsiz bir abonelik oluşturun.
  • Yapılandırmak istediğiniz dizin için genel yöneticiye veya kimlik doğrulama ilkesi yöneticisi iznine sahip olduğunuzdan emin olun. Genel yönetici değilseniz, yönetici onayı vermek de dahil olmak üzere uygulama kaydını tamamlamak için uygulama yöneticisi iznine ihtiyacınız vardır.
  • Azure Key Vault'un dağıtıldığı Azure aboneliği veya kaynak grubu için katkıda bulunan rolüne sahip olduğunuzdan emin olun.
  • Key Vault için erişim izinleri sağladığınıza emin olun. Daha fazla bilgi için bkz . Azure rol tabanlı erişim denetimiyle Key Vault anahtarlarına, sertifikalarına ve gizli dizilerine erişim sağlama.

Anahtar kasası oluşturma

Azure Key Vault , gizli dizilerin ve anahtarların güvenli depolama ve erişim yönetimini sağlayan bir bulut hizmetidir. Doğrulanmış Kimlik hizmeti, Azure Key Vault'ta genel ve özel anahtarları depolar. Bu anahtarlar kimlik bilgilerini imzalamak ve doğrulamak için kullanılır.

Kullanılabilir bir Azure Key Vault örneğiniz yoksa, Azure portalını kullanarak bir anahtar kasası oluşturmak için bu adımları izleyin.

Not

Varsayılan olarak, kasa oluşturan hesap erişimi olan tek hesaptır. Doğrulanmış Kimlik hizmetinin anahtar kasasına erişmesi gerekir. Anahtar kasanızın kimliğini doğrulamanız ve yapılandırma sırasında kullanılan hesabın anahtarları oluşturmasına ve silmesine izin vermelisiniz. Yapılandırma sırasında kullanılan hesabın, Doğrulanmış Kimlik için etki alanı bağlaması oluşturabilmesi için imzalama izinleri de gerekir. Test sırasında aynı hesabı kullanıyorsanız, kasa oluşturucularına verilen varsayılan izinlere ek olarak, hesap imzalama izni vermek için varsayılan ilkeyi değiştirin.

Anahtar kasasına erişimi yönetme

Doğrulanmış Kimlik'i ayarlayabilmeniz için önce Key Vault erişimi sağlamanız gerekir. Bu, belirtilen bir yöneticinin Key Vault gizli dizileri ve anahtarları üzerinde işlem gerçekleştirip gerçekleştiremeyeceğini tanımlar. Anahtar kasanıza hem Doğrulanmış Kimlik yönetici hesabı hem de oluşturduğunuz İstek Hizmeti API'si sorumlusu için erişim izinleri sağlayın.

Anahtar kasanızı oluşturduktan sonra, Doğrulanabilir Kimlik Bilgileri ileti güvenliği sağlamak için kullanılan bir anahtar kümesi oluşturur. Bu anahtarlar Key Vault'ta depolanır. Doğrulanabilir kimlik bilgilerini imzalamak, güncelleştirmek ve kurtarmak için bir anahtar kümesi kullanırsınız.

Doğrulanmış Kimliği Ayarlama

Screenshot that shows how to set up Verifiable Credentials.

Doğrulanmış Kimlik'i ayarlamak için şu adımları izleyin:

  1. Microsoft Entra yönetim merkezinde en azından Genel Yönetici istrator olarak oturum açın.

  2. Doğrulanmış Kimlik'i seçin.

  3. Soldaki menüden Kurulum'u seçin.

  4. Ortadaki menüden Kuruluş ayarlarını yapılandır'ı seçin.

  5. Aşağıdaki bilgileri sağlayarak kuruluşunuzu ayarlayın:

    1. Kuruluş adı: Doğrulanmış kimlikler içindeki işletmenize başvurmak için bir ad girin. Müşterileriniz bu adı görmüyor.

    2. Güvenilen etki alanı: Merkezi olmayan kimlik (DID) belgenizde hizmet uç noktasına eklenmiş bir etki alanı girin. Etki alanı, DID'nizi kullanıcının işletmeniz hakkında bilebileceği somut bir şeye bağlar. Microsoft Authenticator ve diğer dijital cüzdanlar, DID'nizin etki alanınıza bağlı olduğunu doğrulamak için bu bilgileri kullanır. Cüzdan DID'yi doğrulayabilirse doğrulanmış bir simge görüntüler. Cüzdan DID'yi doğrulayamazsa, kullanıcıya kimlik bilgilerinin doğrulayamadığı bir kuruluş tarafından verildiğini bildirir.

      Önemli

      Etki alanı yeniden yönlendirme olamaz. Aksi takdirde, DID ve etki alanı bağlanamaz. Etki alanı için HTTPS kullandığınızdan emin olun. Örneğin: https://did.woodgrove.com.

    3. Anahtar kasası: Daha önce oluşturduğunuz anahtar kasasını seçin.

  6. Kaydet'i seçin.

    Screenshot that shows how to set up Verifiable Credentials first step.

Microsoft Entra Id'de uygulama kaydetme

Uygulamanızın kimlik bilgilerini verebilmesi veya doğrulayabilmesi için Microsoft Entra Kimlik Doğrulama çağırmak istediğinde erişim belirteçleri alması gerekir. Erişim belirteçlerini almak için bir uygulama kaydetmeniz ve Doğrulanmış Kimlik İsteği Hizmeti için API izni vermeniz gerekir. Örneğin, bir web uygulaması için aşağıdaki adımları kullanın:

  1. Microsoft Entra yönetim merkezinde en azından Genel Yönetici istrator olarak oturum açın.

  2. Microsoft Entra Kimlik'i seçin.

  3. Uygulamalar'ın altında Uygulama kayıtları> Yeni kayıt'ı seçin.

    Screenshot that shows how to select a new application registration.

  4. Uygulamanız için bir görünen ad girin. Örneğin: verifiable-credentials-app.

  5. Desteklenen hesap türleri için Yalnızca bu kuruluş dizinindeki hesaplar (Yalnızca Varsayılan Dizin - Tek kiracı) seçeneğini belirleyin.

  6. Uygulamayı kaydetmek için Kaydet'i seçin.

    Screenshot that shows how to register the verifiable credentials app.

Erişim belirteçleri alma izinleri verme

Bu adımda, Doğrulanabilir Kimlik Bilgileri Hizmeti İstek Hizmeti sorumlusuna izinler verirsiniz.

Gerekli izinleri eklemek için şu adımları izleyin:

  1. Verifiable-credentials-app uygulama ayrıntıları sayfasında kalın. API izinleri>İzin ekle'yi seçin.

    Screenshot that shows how to add permissions to the verifiable credentials app.

  2. Kuruluşumun kullandığı API'ler'i seçin.

  3. Doğrulanabilir Kimlik Bilgileri Hizmet İsteği hizmet sorumlusunu arayın ve seçin.

    Screenshot that shows how to select the service principal.

  4. Uygulama İzni'ni seçin ve VerifiableCredential.Create.All öğesini genişletin.

    Screenshot that shows how to select the required permissions.

  5. İzinler ekle'yi seçin.

  6. Kiracı adınız> için <Yönetici onayı ver'i seçin.

Kapsamları farklı uygulamalara ayırmayı tercih ediyorsanız verme ve sunu izinlerini ayrı olarak vermeyi seçebilirsiniz.

Screenshot that shows how to select granular permissions for issuance or presentation.

Merkezi olmayan kimliği kaydetme ve etki alanı sahipliğini doğrulama

Azure Key Vault kurulumu tamamlandıktan ve hizmetin bir imzalama anahtarı olduktan sonra kurulumda 2. ve 3. adımları tamamlamanız gerekir.

Screenshot that shows how to set up Verifiable Credentials step 2 and 3.

  1. Microsoft Entra yönetim merkezinde en azından Genel Yönetici istrator olarak oturum açın.
  2. Doğrulanabilir kimlik bilgileri'ne tıklayın.
  3. Soldaki menüden Kurulum'u seçin.
  4. Did:web için merkezi olmayan kimliğinizi kaydetme makalesindeki yönergelere göre, ortadaki menüden DID belgenizi kaydetmek için Merkezi olmayan kimliği kaydet'i seçin. Etki alanınızı doğrulamaya devam etmeden önce bu adımı tamamlamanız gerekir. Güven sisteminiz olarak did:ion seçeneğini belirlediyseniz bu adımı atlamalısınız.
  5. Ortadaki menüden Etki alanı sahipliğini doğrula'yı seçerek etki alanınızı doğrulayın makalesindeki yönergelere göre Etki alanı sahipliğini Merkezi Olmayan Tanımlayıcınıza (DID) doğrulama

Doğrulama adımlarını başarıyla tamamladıktan ve üç adımda da yeşil onay işaretlerine sahip olduktan sonra sonraki öğreticiye devam etmeye hazır olursunuz.

Sonraki adımlar