Pokročilé nastavení Ověřené ID Microsoft Entra

Nastavení rozšířeného ověřeného ID je klasický způsob nastavení ověřeného ID, kde vy jako správce musíte nakonfigurovat Službu Azure KeyVault, postarat se o registraci decentralizovaného ID a ověření domény.

V tomto kurzu se dozvíte, jak pomocí rozšířeného nastavení nakonfigurovat tenanta Microsoft Entra tak, aby používal ověřitelnou službu přihlašovacích údajů.

Konkrétně se naučíte:

  • Vytvořit instanci služby Key Vault.
  • Nakonfigurujte službu Ověření ID pomocí rozšířeného nastavení.
  • Registrace aplikace v Microsoft Entra ID.

Následující diagram znázorňuje architekturu ověřeného ID a komponentu, kterou nakonfigurujete.

Diagram that illustrates the Microsoft Entra Verified ID architecture.

Požadavky

Vytvořte trezor klíčů.

Azure Key Vault je cloudová služba, která umožňuje zabezpečenou správu úložiště a přístupu tajných kódů a klíčů. Služba Ověřené ID ukládá veřejné a privátní klíče ve službě Azure Key Vault. Tyto klíče slouží k podepisování a ověřování přihlašovacích údajů.

Pokud nemáte k dispozici instanci služby Azure Key Vault, pomocí následujícího postupu vytvořte trezor klíčů pomocí webu Azure Portal.

Poznámka:

Ve výchozím nastavení je účet, který vytvoří trezor, jediným účtem s přístupem. Služba Ověřené ID potřebuje přístup k trezoru klíčů. Musíte ověřit trezor klíčů, který umožňuje účtu použitému během konfigurace vytvářet a odstraňovat klíče. Účet použitý během konfigurace také vyžaduje oprávnění k podepsání, aby mohl vytvořit vazbu domény pro ověřené ID. Pokud při testování používáte stejný účet, upravte výchozí zásady tak, aby udělily oprávnění k podpisu účtu, kromě výchozích oprávnění udělených tvůrcům trezoru.

Správa přístupu k trezoru klíčů

Než budete moct nastavit ověřené ID, musíte poskytnout přístup ke službě Key Vault. Tím se definuje, jestli může zadaný správce provádět operace s tajnými klíči a klíči služby Key Vault. Zadejte přístupová oprávnění k vašemu trezoru klíčů pro účet správce ověřeného ID i pro instanční objekt rozhraní API požadavku, který jste vytvořili.

Po vytvoření trezoru klíčů vygenerují ověřitelné přihlašovací údaje sadu klíčů sloužících k zajištění zabezpečení zpráv. Tyto klíče jsou uložené ve službě Key Vault. Pro podepisování, aktualizaci a obnovení ověřitelných přihlašovacích údajů použijete sadu klíčů.

Nastavení ověřeného ID

Screenshot that shows how to set up Verifiable Credentials.

Pokud chcete nastavit ověřené ID, postupujte takto:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako aspoň globální Správa istrator.

  2. Vyberte Ověřené ID.

  3. V nabídce vlevo vyberte Instalační program.

  4. V prostřední nabídce vyberte Konfigurovat nastavení organizace.

  5. Nastavte svoji organizaci tak, že poskytnete následující informace:

    1. Název organizace: Zadejte název, který bude odkazovat na vaši firmu v rámci ověřených ID. Vaši zákazníci tento název nevidí.

    2. Důvěryhodná doména: Do dokumentu decentralizované identity (DID) zadejte doménu přidanou do koncového bodu služby. Doména je to, co sváže vaše DID s něčím hmatatelným, co by uživatel mohl vědět o vaší firmě. Microsoft Authenticator a další digitální peněženky používají tyto informace k ověření, že je váš DID propojený s vaší doménou. Pokud peněženka může ověřit DID, zobrazí ověřený symbol. Pokud peněženka nemůže ověřit DID, informuje uživatele, že přihlašovací údaje vydala organizace, kterou nemohla ověřit.

      Důležité

      Doména nemůže být přesměrování. V opačném případě není možné propojit DOMÉNU a DID. Ujistěte se, že pro doménu používáte HTTPS. Například: https://did.woodgrove.com.

    3. Trezor klíčů: Vyberte trezor klíčů, který jste vytvořili dříve.

  6. Zvolte Uložit.

    Screenshot that shows how to set up Verifiable Credentials first step.

Registrace aplikace v Microsoft Entra ID

Aplikace potřebuje získat přístupové tokeny, když chce volat do Ověřené ID Microsoft Entra, aby mohl vydávat nebo ověřovat přihlašovací údaje. Pokud chcete získat přístupové tokeny, musíte zaregistrovat aplikaci a udělit rozhraní API oprávnění pro službu žádosti o ověřené ID. Například pro webovou aplikaci použijte následující kroky:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako aspoň globální Správa istrator.

  2. Vyberte Microsoft Entra ID.

  3. V části Aplikace vyberte Registrace aplikací> Nová registrace.

    Screenshot that shows how to select a new application registration.

  4. Zadejte zobrazovaný název aplikace. Příklad: ověřitelná-credentials-app.

  5. U podporovaných typů účtů vyberte Pouze účty v tomto adresáři organizace (pouze výchozí adresář – jeden tenant).

  6. Výběrem možnosti Registrovat aplikaci vytvořte.

    Screenshot that shows how to register the verifiable credentials app.

Udělení oprávnění pro získání přístupových tokenů

V tomto kroku udělíte oprávnění ověřitelnému instančnímu objektu žádosti o přihlašovací údaje.

Chcete-li přidat požadovaná oprávnění, postupujte takto:

  1. Zůstaňte na stránce s podrobnostmi o ověřitelných přihlašovacích údajích aplikace . Vyberte Oprávnění rozhraní API>Přidat oprávnění.

    Screenshot that shows how to add permissions to the verifiable credentials app.

  2. Vyberte Rozhraní API, která používá moje organizace.

  3. Vyhledejte instanční objekt žádosti o ověřitelné přihlašovací údaje a vyberte ho.

    Screenshot that shows how to select the service principal.

  4. Zvolte Oprávnění aplikace a rozbalte Položku OvěřitiableCredential.Create.All.

    Screenshot that shows how to select the required permissions.

  5. Vyberte Přidat oprávnění.

  6. Vyberte Udělení souhlasu správce pro <název> vašeho tenanta.

Pokud dáváte přednost oddělení oborů různým aplikacím, můžete udělovat oprávnění k vystavování a prezentaci samostatně.

Screenshot that shows how to select granular permissions for issuance or presentation.

Registrace decentralizovaného ID a ověření vlastnictví domény

Jakmile je služba Azure Key Vault nastavená a služba má podpisový klíč, musíte v nastavení dokončit krok 2 a 3.

Screenshot that shows how to set up Verifiable Credentials step 2 and 3.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako aspoň globální Správa istrator.
  2. Vyberte Ověřitelné přihlašovací údaje.
  3. V nabídce vlevo vyberte Instalační program.
  4. V prostřední nabídce vyberte Zaregistrovat decentralizované ID a zaregistrujte dokument DID podle pokynů v článku Postup registrace decentralizovaného ID pro did:web. Než budete moct pokračovat v ověření domény, musíte tento krok dokončit. Pokud jste jako systém důvěryhodnosti vybrali funkci did:ion, měli byste tento krok přeskočit.
  5. V prostřední nabídce vyberte Ověřit vlastnictví domény a podle pokynů v článku Ověření vlastnictví domény u decentralizovaného identifikátoru (DID)

Jakmile úspěšně dokončíte ověřovací kroky a u všech tří kroků budete mít zelené značky zaškrtnutí, budete připraveni pokračovat k dalšímu kurzu.

Další kroky