Avancerad Microsoft Entra – verifierat ID konfiguration

Konfiguration av avancerat verifierat ID är det klassiska sättet att konfigurera verifierat ID där du som administratör måste konfigurera Azure KeyVault, ta hand om att registrera ditt decentraliserade ID och verifiera din domän.

I den här självstudien får du lära dig hur du använder den avancerade konfigurationen för att konfigurera din Microsoft Entra-klient för att använda tjänsten för verifierbara autentiseringsuppgifter.

Mer specifikt lär du dig att:

  • Skapa en Azure Key Vault-instans.
  • Konfigurera dig som verifierad ID-tjänst med hjälp av den avancerade konfigurationen.
  • Registrera ett klientprogram i Microsoft Entra ID.

Följande diagram illustrerar arkitekturen för verifierat ID och den komponent som du konfigurerar.

Diagram that illustrates the Microsoft Entra Verified ID architecture.

Förutsättningar

  • Du behöver en Azure-klient med en aktiv prenumeration. Om du inte har en Azure-prenumeration skapar du en kostnadsfritt.
  • Kontrollera att du har den globala administratören eller administratörsbehörigheten för autentiseringsprincipen för den katalog som du vill konfigurera. Om du inte är global administratör behöver du programadministratörsbehörighet för att slutföra appregistreringen, inklusive att bevilja administratörsmedgivande.
  • Se till att du har deltagarrollen för Azure-prenumerationen eller resursgruppen där du distribuerar Azure Key Vault.
  • Se till att du ger åtkomstbehörigheter för Key Vault. Mer information finns i Ge åtkomst till Key Vault-nycklar, certifikat och hemligheter med en rollbaserad åtkomstkontroll i Azure.

Skapa ett nyckelvalv

Azure Key Vault är en molntjänst som möjliggör säker lagring och åtkomsthantering av hemligheter och nycklar. Tjänsten Verifierat ID lagrar offentliga och privata nycklar i Azure Key Vault. Dessa nycklar används för att signera och verifiera autentiseringsuppgifter.

Om du inte har någon Tillgänglig Azure Key Vault-instans följer du de här stegen för att skapa ett nyckelvalv med hjälp av Azure-portalen.

Kommentar

Som standard är kontot som skapar ett valv det enda med åtkomst. Tjänsten Verifierat ID behöver åtkomst till nyckelvalvet. Du måste autentisera ditt nyckelvalv så att kontot som används under konfigurationen kan skapa och ta bort nycklar. Kontot som används under konfigurationen kräver också behörighet att signera så att det kan skapa domänbindningen för verifierat ID. Om du använder samma konto under testningen ändrar du standardprincipen för att bevilja behörighet för kontosignering, utöver de standardbehörigheter som beviljats valvskapare.

Hantera åtkomst till nyckelvalvet

Innan du kan konfigurera verifierat ID måste du ge Åtkomst till Key Vault. Detta definierar om en angiven administratör kan utföra åtgärder på Key Vault-hemligheter och nycklar. Ge åtkomstbehörigheter till ditt nyckelvalv för både administratörskontot för verifierat ID och för api-huvudnamnet för begärandetjänsten som du skapade.

När du har skapat ditt nyckelvalv genererar verifierbara autentiseringsuppgifter en uppsättning nycklar som används för att tillhandahålla meddelandesäkerhet. Dessa nycklar lagras i Key Vault. Du använder en nyckeluppsättning för signering, uppdatering och återställning av verifierbara autentiseringsuppgifter.

Konfigurera verifierat ID

Screenshot that shows how to set up Verifiable Credentials.

Följ dessa steg för att konfigurera verifierat ID:

  1. Logga in på administrationscentret för Microsoft Entra som minst global administratör.

  2. Välj Verifierat ID.

  3. Välj Installation på den vänstra menyn.

  4. På menyn i mitten väljer du Konfigurera organisationsinställningar.

  5. Konfigurera din organisation genom att ange följande information:

    1. Organisationsnamn: Ange ett namn som refererar till ditt företag i Verifierade ID:er. Dina kunder ser inte det här namnet.

    2. Betrodd domän: Ange en domän som har lagts till i en tjänstslutpunkt i dokumentet om decentraliserad identitet (DID). Domänen är det som binder din DID till något konkret som användaren kanske känner till om ditt företag. Microsoft Authenticator och andra digitala plånböcker använder den här informationen för att verifiera att din DID är länkad till din domän. Om plånboken kan verifiera DID visas en verifierad symbol. Om plånboken inte kan verifiera DID informerar den användaren om att autentiseringsuppgifterna har utfärdats av en organisation som den inte kunde verifiera.

      Viktigt!

      Domänen kan inte vara en omdirigering. Annars kan INTE DID och domänen länkas. Se till att använda HTTPS för domänen. Exempel: https://did.woodgrove.com.

    3. Nyckelvalv: Välj det nyckelvalv som du skapade tidigare.

  6. Välj Spara.

    Screenshot that shows how to set up Verifiable Credentials first step.

Registrera ett program i Microsoft Entra-ID

Ditt program måste hämta åtkomsttoken när det vill anropa till Microsoft Entra – verifierat ID så att det kan utfärda eller verifiera autentiseringsuppgifter. För att få åtkomsttoken måste du registrera ett program och bevilja API-behörighet för tjänsten för verifierad ID-begäran. Använd till exempel följande steg för ett webbprogram:

  1. Logga in på administrationscentret för Microsoft Entra som minst global administratör.

  2. Välj Microsoft Entra ID.

  3. Under Program väljer du Appregistreringar> Ny registrering.

    Screenshot that shows how to select a new application registration.

  4. Ange ett visningsnamn för programmet. Till exempel: verifiable-credentials-app.

  5. För Kontotyper som stöds väljer du Endast Konton i den här organisationskatalogen (endast standardkatalog – enskild klient).

  6. Välj Registrera för att skapa programmet.

    Screenshot that shows how to register the verifiable credentials app.

Bevilja behörigheter för att hämta åtkomsttoken

I det här steget beviljar du behörigheter till tjänstens huvudnamn för verifierbara autentiseringsuppgifter för tjänstbegäran .

Följ dessa steg för att lägga till de behörigheter som krävs:

  1. Stanna kvar på programinformationssidan verifiable-credentials-app . Välj API-behörigheter>Lägg till en behörighet.

    Screenshot that shows how to add permissions to the verifiable credentials app.

  2. Välj API:er som min organisation använder.

  3. Sök efter tjänstens huvudnamn för verifierbara autentiseringsuppgifter och välj det.

    Screenshot that shows how to select the service principal.

  4. Välj Programbehörighet och expandera VerifiableCredential.Create.All.

    Screenshot that shows how to select the required permissions.

  5. Välj Lägg till behörigheter.

  6. Välj Bevilja administratörsmedgivande för <ditt klientnamn>.

Du kan välja att bevilja utfärdande- och presentationsbehörigheter separat om du föredrar att avgränsa omfången till olika program.

Screenshot that shows how to select granular permissions for issuance or presentation.

Registrera decentraliserat ID och verifiera domänägarskapet

När Azure Key Vault har konfigurerats och tjänsten har en signeringsnyckel måste du slutföra steg 2 och 3 i konfigurationen.

Screenshot that shows how to set up Verifiable Credentials step 2 and 3.

  1. Logga in på administrationscentret för Microsoft Entra som minst global administratör.
  2. Välj Verifierbara autentiseringsuppgifter.
  3. Välj Installation på den vänstra menyn.
  4. På menyn i mitten väljer du Registrera decentraliserat ID för att registrera did-dokumentet enligt anvisningarna i artikeln Så här registrerar du ditt decentraliserade ID för did:web. Du måste slutföra det här steget innan du kan fortsätta att verifiera domänen. Om du valde did:ion som ditt förtroendesystem bör du hoppa över det här steget.
  5. På menyn i mitten väljer du Verifiera domänägarskap för att verifiera din domän enligt anvisningarna i artikeln Verifiera domänägarskapet till din decentraliserade identifierare (DID)

När du har slutfört verifieringsstegen och har gröna bockmarkeringar för alla tre stegen är du redo att fortsätta till nästa självstudie.

Nästa steg