Configuración avanzada de Id. verificada por Microsoft Entra

  • Artículo

La configuración avanzada de Id. verificada es la forma clásica de configurarla donde, como administrador, tiene que configurar Azure KeyVault, encargarse de registrar el identificador descentralizado y comprobar el dominio.

En este tutorial, aprenderá a usar la configuración avanzada para configurar el inquilino de Microsoft Entra para que use el servicio de credenciales verificables.

Específicamente, aprenderá sobre lo siguiente:

  • Crear una instancia de Azure Key Vault.
  • Configure el servicio de Id. verificada mediante la configuración avanzada.
  • Registre una aplicación en Microsoft Entra ID.

En el diagrama siguiente se muestra la arquitectura de Verified ID y el componente que configure.

Diagram that illustrates the Microsoft Entra Verified ID architecture.

Requisitos previos

Creación de un Almacén de claves

Azure Key Vault es un servicio en la nube que permite el almacenamiento seguro y la administración de acceso de secretos y claves. El servicio de Verified ID almacena las claves públicas y privadas en Azure Key Vault. Estas claves se usan para firmar y comprobar las credenciales.

Si no dispone de una instancia de Azure Key Vault, siga estos pasos para crear un almacén de claves mediante Azure Portal.

Nota

De manera predeterminada, la cuenta que crea un almacén es la única con acceso. El servicio de Verified ID necesita acceso al almacén de claves. Debe autenticar el almacén de claves, lo que permite que la cuenta usada durante la configuración cree y elimine claves. La cuenta que se usó durante la configuración también necesita permisos para firmar de manera que pueda crear el enlace de dominio para Verified ID. Si usa la misma cuenta mientras realiza las pruebas, modifique la directiva predeterminada para conceder el permiso de firma de la cuenta, además de los permisos predeterminados concedidos a los creadores del almacén.

Administración del acceso al almacén de claves

Para poder configurar el identificador comprobado, debe proporcionar a Key Vault acceso. Esto define si un administrador especificado puede realizar operaciones en secretos y claves de Key Vault. Proporcione permisos de acceso al almacén de claves tanto para la cuenta de administrador de identificadores comprobados como para la entidad de seguridad de API de servicio de solicitud que creó.

Después de crear el almacén de claves, credenciales verificables genera un conjunto de claves que se usa para proporcionar seguridad de mensajes. Estas claves se almacenan en Key Vault. Use un conjunto de claves para firmar, actualizar y recuperar credenciales verificables.

Configuración de Verified ID

Screenshot that shows how to set up Verifiable Credentials.

Para configurar Verified ID, siga estos pasos:

  1. Inicie sesión en el centro de administración de Microsoft Entra por lo menos como administrador global.

  2. Seleccione Verified ID.

  3. En el menú de la izquierda, seleccione Configuración.

  4. En el menú central, seleccione Configurar la configuración de la organización.

  5. Configure la organización; para ello, proporcione la siguiente información:

    1. Nombre de la organización: escriba un nombre que haga referencia a su empresa en las identificaciones verificadas. Los clientes no ven este nombre.

    2. Dominio de confianza: introduzca el dominio especificado que se agrega a un punto de conexión de servicio del documento de identidad descentralizada (DID). El dominio es lo que enlaza la DID a algo tangible que el usuario puede saber sobre su empresa. Microsoft Authenticator y otras carteras digitales usan esta información para validar que el DID se ha vinculado al dominio. Si la cartera puede verificar el DID, se muestra un símbolo de verificación. Si la cartera no puede verificar el DID, esta informa al usuario de que la credencial fue emitida por una organización que no ha podido validar.

      Importante

      El dominio no puede ser un redireccionamiento. De lo contrario, la DID y el dominio no se pueden vincular. Asegúrese de usar HTTPS para el dominio. Por ejemplo: https://did.woodgrove.com.

    3. Almacén de claves: seleccione el almacén de claves que creó anteriormente.

  6. Seleccione Guardar.

    Screenshot that shows how to set up Verifiable Credentials first step.

Registro de una aplicación en Microsoft Entra ID

La aplicación debe obtener tokens de acceso cuando quiera llamar a la id. verificada por Microsoft Entra para que pueda emitir o comprobar las credenciales. Para obtener tokens de acceso, registre una aplicación web y conceda permiso de API para el servicio de solicitud de la id. verificada. Por ejemplo, siga estos pasos para una aplicación web:

  1. Inicie sesión en el centro de administración de Microsoft Entra por lo menos como administrador global.

  2. Seleccione Microsoft Entra ID.

  3. En Aplicaciones, seleccione Registros de aplicaciones>Nuevos registros.

    Screenshot that shows how to select a new application registration.

  4. Escriba un nombre para mostrar para la aplicación. Por ejemplo, verifiable-credentials-app.

  5. Para los Tipos de cuenta admitidos, seleccione Solo cuentas de este directorio organizativo (Solo directorio predeterminado: inquilino único) .

  6. Seleccione Registrar para crear la aplicación.

    Screenshot that shows how to register the verifiable credentials app.

Concesión de permisos para obtener tokens de acceso

En este paso, concederá permisos a la entidad de servicio de solicitud de servicio de credenciales verificables.

Para asignar los permisos necesarios, siga estos pasos:

  1. Permanezca en la página de detalles de la aplicación verifiable-credentials-app. Seleccione Permisos de API>Agregar un permiso.

    Screenshot that shows how to add permissions to the verifiable credentials app.

  2. Seleccione API usadas en mi organización.

  3. Busque la entidad de servicio de la solicitud de servicio de credenciales verificables y selecciónelo.

    Screenshot that shows how to select the service principal.

  4. Elija Permiso de aplicación y expanda VerifiableCredential.Create.All.

    Screenshot that shows how to select the required permissions.

  5. Seleccione Agregar permisos.

  6. Seleccione Grant admin consent for (Conceder consentimiento de administrador para) <nombre de inquilino>.

Puede optar por conceder permisos de emisión y presentación por separado si prefiere separar los ámbitos a diferentes aplicaciones.

Screenshot that shows how to select granular permissions for issuance or presentation.

Registrar id. descentralizado y comprobar la propiedad del dominio

Una vez que Azure Key Vault está configurado y el servicio tiene una clave de firma, debe completar los pasos 2 y 3 de la configuración.

Screenshot that shows how to set up Verifiable Credentials step 2 and 3.

  1. Inicie sesión en el centro de administración de Microsoft Entra por lo menos como administrador global.
  2. Seleccione Credenciales verificables.
  3. En el menú de la izquierda, seleccione Configuración.
  4. En el menú central, seleccione Registrar id. descentralizado para registrar el documento DID, según las instrucciones del artículo Cómo registrar el identificador descentralizado para did:web. Debe completar este paso para poder continuar comprobando el dominio. Si seleccionó did:ion como sistema de confianza, debe omitir este paso.
  5. En el menú central, seleccione Comprobar la propiedad del dominio para comprobar el dominio, según las instrucciones del artículo Comprobar la propiedad del dominio en el identificador descentralizado (DID)

Una vez que haya completado correctamente los pasos de comprobación y tenga marcas de verificación verdes en los tres pasos, estará listo para continuar con el siguiente tutorial.

Pasos siguientes