Přizpůsobení ověřitelných přihlašovacích údajů

Ověřitelné definice přihlašovacích údajů jsou tvořeny dvěma komponentami, definicemi zobrazení a definicemi pravidel . Definice zobrazení řídí branding přihlašovacích údajů a styl deklarací identity. Definice pravidel určuje, co uživatelé musí poskytnout, než dostanou ověřitelné přihlašovací údaje.

Tento článek vysvětluje, jak upravit oba typy definic tak, aby splňovaly požadavky vaší organizace.

Definice zobrazení: vizuály přihlašovacích údajů peněženky

Ověřené ID Microsoft Entra nabízejí omezenou sadu možností, které se dají použít k vyjádření vaší značky. Tento článek obsahuje pokyny k přizpůsobení přihlašovacích údajů a osvědčených postupů pro navrhování přihlašovacích údajů, které vypadají skvěle po jejich vydání uživatelům.

Microsoft Authenticator, který je decentralizovanou peněženkou identit, zobrazuje ověřitelné přihlašovací údaje vydané uživatelům jako karty. Jako správce VC můžete zvolit barvy karet, ikony a textové řetězce tak, aby odpovídaly značce vaší organizace.

Screenshot of a verified credential card in Authenticator, calling out key elements.

Karty také obsahují přizpůsobitelná pole. Pomocí těchto polí můžete dát uživatelům vědět účel karty, atributy, které obsahuje, a další.

Vytvoření definice zobrazení přihlašovacích údajů

Definice zobrazení je jednoduchý dokument JSON, který popisuje, jak by aplikace peněženky měla zobrazit obsah ověřitelných přihlašovacích údajů.

Poznámka:

Tento model zobrazení aktuálně používá jenom Microsoft Authenticator.

Definice zobrazení má následující strukturu. Identifikátor URI loga, pokud je zadán jako adresa URL, musí být adresa URL veřejně dostupná na internetu.

{
    "locale": "en-US",
    "card": {
      "title": "Verified Credential Expert",
      "issuedBy": "Microsoft",
      "backgroundColor": "#000000",
      "textColor": "#ffffff",
      "logo": {
        "uri": "https://didcustomerplayground.blob.core.windows.net/public/VerifiedCredentialExpert_icon.png",
        "description": "Verified Credential Expert Logo"
      },
      "description": "Use your verified credential to prove to anyone that you know all about verifiable credentials."
    },
    "consent": {
      "title": "Do you want to get your Verified Credential?",
      "instructions": "Sign in with your account to get your card."
    },
    "claims": [
      {
        "claim": "vc.credentialSubject.firstName",
        "label": "First name",
        "type": "String"
      },
      {
        "claim": "vc.credentialSubject.lastName",
        "label": "Last name",
        "type": "String"
      }
    ]
}

Další informace ovlastnostech

Definice pravidel: Požadavky od uživatele

Definice pravidel je jednoduchý dokument JSON, který popisuje důležité vlastnosti ověřitelných přihlašovacích údajů. Konkrétně popisuje, jak se deklarace identity používají k naplnění ověřitelných přihlašovacích údajů a typu přihlašovacích údajů.

{
  "attestations": {
      ...
  },
  "validityInterval":  2592000,
  "vc": {
    "type": [
      "VerifiedCredentialExpert"
    ]
  }
}

Osvědčení

V definici pravidel jsou aktuálně k dispozici následující čtyři typy ověření identity. Jedná se o různé způsoby poskytování deklarací identity používané Ověřené ID Microsoft Entra vydávající službou, která se má vložit do ověřitelných přihlašovacích údajů a ověřit tyto informace pomocí vašeho decentralizovaného identifikátoru (DID). V definici pravidel lze použít více typů ověření identity.

  • Token ID: Pokud je tato možnost nakonfigurovaná, budete muset zadat identifikátor URI konfigurace OpenID Připojení a zahrnout deklarace identity, které by měly být zahrnuty do ověřitelných přihlašovacích údajů. Uživatelům se zobrazí výzva k přihlášení do aplikace Authenticator, aby splnili tento požadavek a přidali přidružené deklarace identity ze svého účtu. Informace o konfiguraci této možnosti najdete v tomto průvodci.

  • Tip tokenu ID: Ukázková aplikace a kurz používají nápovědu tokenu ID. Pokud je tato možnost nakonfigurovaná, aplikace předávající strany bude muset poskytovat deklarace identity, které by měly být zahrnuty do ověřitelných přihlašovacích údajů v žádosti o vystavení rozhraní API služby požadavku. Kde aplikace předávající strany získá deklarace identity z aplikace, ale může pocházet z aktuální přihlašovací relace, z back-endových systémů CRM nebo dokonce ze vstupu uživatele s vlastním tvrzením. Pokud chcete tuto možnost nakonfigurovat, podívejte se na tento postup.

  • Ověřitelné přihlašovací údaje: Konečným výsledkem toku vystavení je vytvoření ověřitelných přihlašovacích údajů, ale můžete také požádat uživatele, aby předložil ověřitelné přihlašovací údaje, aby ho mohl vystavit. Definice pravidel dokáže převzít konkrétní deklarace identity z prezentovaných ověřitelných přihlašovacích údajů a zahrnout tyto deklarace do nově vydaných ověřitelných přihlašovacích údajů z vaší organizace. Pokud chcete tuto možnost nakonfigurovat, podívejte se na tento postup.

  • Self-attested claims: Když je tato možnost vybrána, může uživatel zadat informace přímo do Authenticatoru. V tuto chvíli jsou řetězce jediným podporovaným vstupem pro samoobslužné deklarace identity. Pokud chcete tuto možnost nakonfigurovat, podívejte se na tento postup.

Další informace o modelu JSON pravidel naleznete v tématu typ rulesModel.

Typy referencí

Všechny ověřitelné přihlašovací údaje musí deklarovat jejich typ v definici pravidel. Typ přihlašovacích údajů rozlišuje ověřitelné schéma přihlašovacích údajů od jiných přihlašovacích údajů a zajišťuje interoperabilitu mezi vystaviteli a ověřovateli. Pokud chcete označit typ přihlašovacích údajů, zadejte jeden nebo více typů přihlašovacích údajů, které přihlašovací údaje splňují. Každý typ je reprezentován jedinečným řetězcem. Identifikátor URI se často používá k zajištění globální jedinečnosti. Identifikátor URI nemusí být adresovatelný. Považuje se za řetězec. Například diplomové přihlašovací údaje vydané univerzitou Contoso mohou deklarovat následující typy:

Typ Účel
https://schema.org/EducationalCredential Deklaruje, že diplomy vydané univerzitou Contoso obsahují atributy definované objektem schema.org EducationaCredential .
https://schemas.ed.gov/universityDiploma2020 Deklaruje, že diplomy vydané univerzitou Contoso obsahují atributy definované ministerstvem školství USA.
https://schemas.contoso.edu/diploma2020 Deklaruje, že diplomy vydané univerzitou Contoso obsahují atributy definované univerzitou Contoso.

Když společnost Contoso deklaruje tři typy diplomů, může vydat přihlašovací údaje, které vyhovují různým požadavkům od ověřovatelů. Banka může požádat o sadu EducationCredentials od uživatele a diplom lze použít k uspokojení žádosti. Nebo asociace alumni Contoso University může požádat o přihlašovací údaje typu https://schemas.contoso.edu/diploma2020a diplom může také splňovat požadavek.

Pokud chcete zajistit interoperabilitu vašich přihlašovacích údajů, doporučujeme úzce spolupracovat se souvisejícími organizacemi, abyste definovali typy, schémata a identifikátory URI přihlašovacích údajů pro použití ve vašem odvětví. Mnoho průmyslových subjektů poskytuje pokyny ke struktuře oficiálních dokumentů, které lze změnit na definování obsahu ověřitelných přihlašovacích údajů. Měli byste také úzce spolupracovat s ověřovateli vašich přihlašovacích údajů, abyste pochopili, jak mají v úmyslu požadovat a využívat ověřitelné přihlašovací údaje.

Další kroky

Teď, když máte lepší přehled o ověřitelném návrhu přihlašovacích údajů a o tom, jak vytvořit vlastní přihlašovací údaje, najdete tady: