Microsoft Entra の検証済み ID の詳細設定

検証済み ID の詳細設定は、検証済み ID を設定する従来の方法であり、管理者が Azure KeyVault を構成し、分散型 ID の登録とドメインの検証を行う必要があります。

このチュートリアルでは、詳細設定を使用して、検証可能な資格情報サービスを使用するように Microsoft Entra テナントを構成する方法について説明します。

具体的には、次の方法を学習します。

  • Azure Key Vault インスタンスを作成する。
  • 詳細設定を使用して、検証済み ID サービスを構成する。
  • アプリケーションを Microsoft Entra ID に登録します。

次の図は、確認済み ID のアーキテクチャと、構成するコンポーネントです。

Diagram that illustrates the Microsoft Entra Verified ID architecture.

前提条件

Key Vault を作成します

Azure Key Vault は、シークレットとキーを安全に保管してアクセスを管理できるようにするクラウド サービスです。 確認済み ID サービスでは、公開キーと秘密キーが Azure Key Vault に格納されます。 これらのキーは、資格情報の署名と検証に使用されます。

Azure Key Vault インスタンスが利用できない場合は、次の手順に従って、Azure portal を使用してキー コンテナーを作成します。

Note

既定では、コンテナーを作成したアカウントのみにアクセス権があります。 確認済み ID サービスはキー コンテナーにアクセスする必要があります。 キー コンテナーで認証を行って、構成時に使われるアカウントがキーを作成および削除できるようにする必要があります。 構成中に使われるアカウントには、確認済み ID のドメイン バインドを作成できるように、署名のためのアクセス許可も必要です。 テスト中に同じアカウントを使用する場合は、コンテナーの作成者に既定で付与されるアクセス許可のほかに、署名するためのアクセス許可をそのアカウントに付与するように既定のポリシーを変更してください。

キー コンテナーへのアクセスを管理する

検証済み ID を設定するには、その前に Key Vault のアクセス権を提供する必要があります。 これは、指定された管理者が Key Vault のシークレットとキーに対して操作を実行できるかどうかを定義します。 検証済み ID 管理者アカウントと、作成した Request Service API プリンシパルの両方に、キー コンテナーに対するアクセス許可を提供します。

キー コンテナーを作成すると、検証可能な資格情報によって、メッセージ セキュリティを確保するために使用される一連のキーが生成されます。 これらのキーは、Key Vault に格納されます。 キー セットは、検証可能な資格情報の署名、更新、および回復に使用します。

確認済み ID を設定する

Screenshot that shows how to set up Verifiable Credentials.

確認済み ID を設定するには、次の手順のようにします。

  1. Microsoft Entra 管理センター に 少なくともグローバル管理者 としてサインインします。

  2. [検証済み ID] を選びます。

  3. 左側のメニューから、[設定] を選択します。

  4. 中央のメニューで、[組織の設定を構成] を選びます。

  5. 次の情報を指定して、組織を設定します。

    1. 組織名: 検証済み ID で自分のビジネスを参照する名前を入力します。 顧客にこの名前は表示されません。

    2. 信頼される側のドメイン: 分散化 ID (DID) ドキュメントのサービス エンドポイントに追加されるドメインを入力します。 ドメインは、ユーザーがお客様のビジネスについて知っている具体的な何かに DID をバインドするものです。 Microsoft Authenticator とその他のデジタル ウォレットでは、DID がドメインにリンクされていることを検証するために、この情報を使用します。 DID を検証できる場合、ウォレットには検証済み記号が表示されます。 ウォレットで DID を検証できない場合、検証できない資格情報が組織によって発行されたことがユーザーに通知されます。

      重要

      ドメインはリダイレクトしないようにします。 そうしないと、DID とドメインはリンクできません。 ドメインに HTTPS を使用してください。 (例: https://did.woodgrove.com)。

    3. キー コンテナー: 前に作成したキー コンテナーを選択します。

  6. [保存] を選択します。

    Screenshot that shows how to set up Verifiable Credentials first step.

アプリケーションを Microsoft Entra ID に登録します

アプリケーションは、資格情報を発行または検証できるように Microsoft Entra 確認済み ID を呼び出す必要があるときに、アクセス トークンを取得する必要があります。 アクセス トークンを取得するには、アプリケーションを登録し、確認済み ID 要求サービスに対する API アクセス許可を付与する必要があります。 たとえば、Web アプリケーションには次の手順を使用します。

  1. Microsoft Entra 管理センター に 少なくともグローバル管理者 としてサインインします。

  2. [Microsoft Entra ID] を選びます。

  3. [アプリケーション][アプリの登録]>[新規登録] の順に選択します。

    Screenshot that shows how to select a new application registration.

  4. アプリケーションの表示名を入力します。 たとえば、verifiable-credentials-app と指定します。

  5. [サポートされているアカウントの種類] で、 [Accounts in this organizational directory only (Default Directory only - Single tenant)](この組織ディレクトリのアカウントのみ (既定のディレクトリのみ - シングル テナント)) を選択します。

  6. [登録] を選択して、アプリケーションを作成します。

    Screenshot that shows how to register the verifiable credentials app.

アクセス トークンを取得するためにアクセス許可を付与する

この手順では、検証可能な資格情報サービス要求のサービス プリンシパルにアクセス許可を付与します。

必要なアクセス許可を追加するには、次の手順に従います。

  1. verifiable-credentials-app アプリケーション詳細ページで作業を続けます。 [API のアクセス許可][アクセス許可の追加] の順に選択します。

    Screenshot that shows how to add permissions to the verifiable credentials app.

  2. [所属する組織で使用している API] を選択します。

  3. 検証可能な資格情報サービス要求サービス プリンシパルを検索し、選択します。

    Screenshot that shows how to select the service principal.

  4. [アプリケーションのアクセス許可] を選択し、 [VerifiableCredential.Create.All] を展開します。

    Screenshot that shows how to select the required permissions.

  5. [アクセス許可の追加] を選択します.

  6. [<テナント名> に管理者の同意を与えます] を選択します。

範囲を異なるアプリケーションに分離する場合、発行とプレゼンテーションのアクセス許可を別々に付与することを選択できます。

Screenshot that shows how to select granular permissions for issuance or presentation.

分散化 ID を登録してドメインの所有権を確認する

Azure Key Vault がセットアップされ、サービスに署名キーが設定されたら、セットアップの手順 2 と 3 を完了する必要があります。

Screenshot that shows how to set up Verifiable Credentials step 2 and 3.

  1. Microsoft Entra 管理センター に 少なくともグローバル管理者 としてサインインします。
  2. [検証可能な資格情報] を選択します。
  3. 左側のメニューから、[設定] を選択します。
  4. 中央のメニューから、記事「did:web に分散化 ID を登録する方法」の手順に従って、[Register decentralized ID] (分散化 ID の登録) を選択して DID ドキュメントを登録します。 ドメインの確認を続けるには、先にこの手順を完了しておく必要があります。 信頼システムとして did:ion を選択した場合は、この手順はスキップしてください。
  5. 中央のメニューで、記事「分散化識別子 (DID) に対するドメイン所有権を確認する」の手順に従って、[ドメインの所有権を確認します] を選択してドメインを確認します

検証手順が正常に完了し、3 つすべての手順に緑のチェックマークが付いたら、次のチュートリアルに進む準備が整っています。

次の手順