Configuration avancée de la Vérification d’identité Microsoft Entra

  • Article

La configuration avancée de la Vérification d’identité est la méthode classique de configuration quand vous, administrateur, devez configurer Azure KeyVault, inscrire votre ID décentralisé et vérifier votre domaine.

Dans ce tutoriel, vous apprenez à utiliser la configuration avancée pour configurer votre locataire Microsoft Entra afin qu’il utilise le service de justificatifs vérifiables.

Plus précisément, vous apprenez à :

  • Créer une instance Azure Key Vault
  • Configurez le service Vérification d’identité avec la configuration avancée.
  • Inscrivez une application dans Microsoft Entra ID.

Le diagramme suivant illustre l’architecture Vérification d’identité et le composant que vous configurez.

Diagram that illustrates the Microsoft Entra Verified ID architecture.

Prérequis

Création d’un coffre de clés

Azure Key Vault est un service cloud qui permet le stockage sécurisé et la gestion d’accès aux secrets et aux clés. Le service Vérification d’ID stocke les clés publiques et privées dans Azure Key Vault. Ces clés sont utilisées pour signer et vérifier les justificatifs.

Si vous n’avez pas d’instance d’Azure Key Vault disponible, procédez comme suit pour créer un coffre de clés à l’aide du Portail Azure.

Notes

Par défaut, le compte qui crée un coffre est le seul à pouvoir y accéder. Le service de vérification d’ID doit avoir accès au coffre de clés. Vous devez authentifier votre coffre de clés, ce qui permet au compte utilisé pendant la configuration de créer et de supprimer des clés. Le compte utilisé lors de la configuration nécessite également des autorisations pour signer pour qu’il puisse créer la liaison de domaine pour l’ID vérifié. Si vous utilisez le même compte lors des tests, modifiez la stratégie par défaut pour accorder au compte l’autorisation de signature, en plus des autorisations par défaut accordées aux créateurs de coffres.

Gérer l’accès au coffre de clés

Avant de pouvoir configurer le Verified ID, vous devez fournir l’accès Key Vault. Cela définit si un administrateur spécifié peut effectuer des opérations sur les clés et secrets Key Vault. Fournissez des autorisations d’accès dans votre coffre de clés pour le compte d’administrateur Verified ID et pour le principal d’API du service de requête que vous avez créé.

Une fois votre coffre de clés créé, Justificatifs vérifiables génère un jeu de clés utilisé pour assurer la sécurité des messages. Ces clés sont stockées dans le coffre de clés. Vous utilisez un jeu de clés pour signer, mettre à jour et récupérer des justificatifs vérifiables.

Configurer un ID vérifié

Screenshot that shows how to set up Verifiable Credentials.

Pour configurer un ID vérifié, procédez comme suit :

  1. Connectez-vous au Centre d’administration Microsoft Entra au moins en tant qu’Administrateur d’utilisateurs.

  2. Sélectionnez Vérification d’identité.

  3. Dans le menu de gauche, sélectionnez Configuration.

  4. Dans le menu central, sélectionnez Configurer les paramètres de l’organisation.

  5. Configurez votre organisation en fournissant les informations suivantes :

    1. Nom de l’organisation : Entrez un nom pour faire référence à votre entreprise dans le cadre des ID vérifiés. Vos clients ne voient pas ce nom.

    2. Domaine approuvé : Entrez un domaine ajouté à un point de terminaison de service dans votre document d’identité décentralisée (DID). Le domaine est ce qui lie votre DID à un élément tangible que l’utilisateur peut connaître sur votre entreprise. Microsoft Authenticator et d’autres portefeuilles numériques utilisent ces informations pour s’assurer que votre DID est lié à votre domaine. Si le portefeuille peut vérifier le DID, il affiche un symbole vérifié. Dans le cas contraire, il informe l’utilisateur que des justificatifs ont été émis par une organisation qu’il n’a pas pu valider.

      Important

      Le domaine ne peut pas être une redirection. Dans le cas contraire, le DID et le domaine ne peuvent pas être liés. Veillez à utiliser le protocole HTTPS pour le domaine. Par exemple : https://did.woodgrove.com.

    3. Coffre de clés : sélectionnez le coffre de clés que vous avez créé précédemment.

  6. Sélectionnez Enregistrer.

    Screenshot that shows how to set up Verifiable Credentials first step.

Inscrivez une application dans Microsoft Entra ID

Votre application doit obtenir des jetons d’accès quand elle a besoin d’appeler le service Vérification d’identité Microsoft Entra afin d’émettre ou de vérifier des informations d’identification. Pour obtenir des jetons d’accès, vous devez inscrire une application et accorder les autorisations d’API nécessaires pour le principal de service de demande de vérification d’identité. Par exemple, effectuez les étapes suivantes pour une application web :

  1. Connectez-vous au Centre d’administration Microsoft Entra au moins en tant qu’Administrateur d’utilisateurs.

  2. Sélectionnez Microsoft Entra ID.

  3. Sous Applications, sélectionnez Inscriptions d’applications>Nouvelle inscription.

    Screenshot that shows how to select a new application registration.

  4. Entrez un nom d’affichage pour votre application. Par exemple : verifiable-credentials-app.

  5. Pour Types de comptes pris en charge, sélectionnez Comptes dans cet annuaire organisationnel uniquement (Annuaire par défaut uniquement – Locataire unique) .

  6. Sélectionnez Inscrire pour créer l’application.

    Screenshot that shows how to register the verifiable credentials app.

Accorder des autorisations pour obtenir des jetons d’accès

Lors de cette étape, vous accordez des autorisations au principal de service de demande de service de justificatifs vérifiables.

Pour ajouter les autorisations requises, suivez ces étapes :

  1. Restez dans la page des détails de l’application verifiable-credentials-app. Sélectionnez Autorisations de l’API>Ajouter une autorisation.

    Screenshot that shows how to add permissions to the verifiable credentials app.

  2. Sélectionnez API utilisées par mon organisation.

  3. Recherchez le principal de service Demande de service de justificatifs vérifiables et sélectionnez-le.

    Screenshot that shows how to select the service principal.

  4. Choisissez Permission d’application et développez VerifiableCredential.Create.All.

    Screenshot that shows how to select the required permissions.

  5. Sélectionnez Ajouter des autorisations.

  6. Sélectionnez Accorder le consentement administrateur pour <nom de votre locataire>.

Vous pouvez choisir d’accorder des autorisations d’émission et de présentation séparément si vous préférez séparer les étendues à différentes applications.

Screenshot that shows how to select granular permissions for issuance or presentation.

Inscrire l’ID décentralisé et vérifier la propriété du domaine

Après la configuration d’Azure Key Vault et que le service dispose d’une clé de signature, vous devez effectuer les étapes 2 et 3 de l’installation.

Screenshot that shows how to set up Verifiable Credentials step 2 and 3.

  1. Connectez-vous au Centre d’administration Microsoft Entra au moins en tant qu’Administrateur d’utilisateurs.
  2. Sélectionner Justificatifs vérifiables.
  3. Dans le menu de gauche, sélectionnez Configuration.
  4. Dans le menu central, sélectionnez Inscrire l’ID décentralisé pour inscrire votre document DID, selon les instructions de l’article Comment inscrire votre ID décentralisé pour did:web. Vous devez effectuer cette étape avant de pouvoir continuer la vérification de votre domaine. Vous devez ignorer cette étape si vous avez sélectionné did:ion comme système d’approbation.
  5. Dans le menu central, sélectionnez Vérifier la propriété du domaine pour vérifier votre domaine, selon les instructions de l’article Vérifier la propriété du domaine vers votre identificateur décentralisé (DID)

Une fois que vous avez terminé les étapes de vérification et que les trois étapes portent une encoche verte, vous êtes prêt à passer au tutoriel suivant.

Étapes suivantes