Anpassa dina verifierbara autentiseringsuppgifter

  • Artikel

Verifierbara definitioner av autentiseringsuppgifter består av två komponenter, visningsdefinitioner och regeldefinitioner . En visningsdefinition styr varumärkesanpassningen av anspråkens autentiseringsuppgifter och formatering. En regeldefinition avgör vad användarna behöver ange innan de får en verifierbar autentiseringsuppgift.

Den här artikeln beskriver hur du ändrar båda typerna av definitioner för att uppfylla organisationens krav.

Visningsdefinition: visuella autentiseringsuppgifter för plånbok

Microsoft Entra – verifierat ID erbjuder en begränsad uppsättning alternativ som kan användas för att återspegla ditt varumärke. Den här artikeln innehåller instruktioner för hur du anpassar dina autentiseringsuppgifter och metodtips för att utforma autentiseringsuppgifter som ser bra ut när de har utfärdats till användare.

Microsoft Authenticator, som är en decentraliserad plånbok för identiteter, visar verifierbara autentiseringsuppgifter som utfärdas till användare som kort. Som VC-administratör kan du välja kortfärger, ikoner och textsträngar som matchar organisationens varumärke.

Skärmbild av ett verifierat autentiseringskort i Authenticator som visar viktiga element.

Kort innehåller också anpassningsbara fält. Du kan använda de här fälten för att informera användarna om syftet med kortet, de attribut som det innehåller med mera.

Skapa en visningsdefinition för autentiseringsuppgifter

Visningsdefinitionen är ett enkelt JSON-dokument som beskriver hur plånboksappen ska visa innehållet i dina verifierbara autentiseringsuppgifter.

Kommentar

Den här visningsmodellen används för närvarande endast av Microsoft Authenticator.

Visningsdefinitionen har följande struktur. Logotyp-URI:n, om den anges som en URL, måste vara en url som är offentligt tillgänglig på Internet.

{
    "locale": "en-US",
    "card": {
      "title": "Verified Credential Expert",
      "issuedBy": "Microsoft",
      "backgroundColor": "#000000",
      "textColor": "#ffffff",
      "logo": {
        "uri": "https://didcustomerplayground.blob.core.windows.net/public/VerifiedCredentialExpert_icon.png",
        "description": "Verified Credential Expert Logo"
      },
      "description": "Use your verified credential to prove to anyone that you know all about verifiable credentials."
    },
    "consent": {
      "title": "Do you want to get your Verified Credential?",
      "instructions": "Sign in with your account to get your card."
    },
    "claims": [
      {
        "claim": "vc.credentialSubject.firstName",
        "label": "First name",
        "type": "String"
      },
      {
        "claim": "vc.credentialSubject.lastName",
        "label": "Last name",
        "type": "String"
      }
    ]
}

Mer information om egenskaper finns i displayModel-typ.

Regeldefinition: Krav från användaren

Regeldefinitionen är ett enkelt JSON-dokument som beskriver viktiga egenskaper för verifierbara autentiseringsuppgifter. I synnerhet beskrivs hur anspråk används för att fylla i dina verifierbara autentiseringsuppgifter och typ av autentiseringsuppgifter.

{
  "attestations": {
      ...
  },
  "validityInterval":  2592000,
  "vc": {
    "type": [
      "VerifiedCredentialExpert"
    ]
  }
}

Intyg

Följande fyra attesteringstyper är för närvarande tillgängliga för att konfigureras i regeldefinitionen. Det är olika sätt att tillhandahålla anspråk som används av den Microsoft Entra – verifierat ID utfärdande tjänsten som ska infogas i en verifierbar autentiseringsuppgift och intyga den informationen med din decentraliserade identifierare (DID). Flera attesteringstyper kan användas i regeldefinitionen.

  • ID-token: När det här alternativet har konfigurerats måste du ange en OpenID-Anslut konfigurations-URI och inkludera de anspråk som ska ingå i den verifierbara autentiseringsuppgiften. Användarna uppmanas att logga in i Authenticator-appen för att uppfylla detta krav och lägga till de associerade anspråken från sitt konto. Information om hur du konfigurerar det här alternativet finns i hur du vägleder

  • ID-tokentips: Exempelappen och självstudien använder ID-tokentipset. När det här alternativet har konfigurerats måste den förlitande partappen tillhandahålla anspråk som ska ingå i den verifierbara autentiseringsuppgiften i begäran om API-utfärdande av begäran för begäran. Där den förlitande partappen hämtar anspråken från är upp till appen, men den kan komma från den aktuella inloggningssessionen, från serverdelens CRM-system eller till och med från självsäkra användarindata. Information om hur du konfigurerar det här alternativet finns i guiden

  • Verifierbara autentiseringsuppgifter: Slutresultatet av ett utfärdandeflöde är att skapa en verifierbar autentiseringsuppgift, men du kan också be användaren att presentera en verifierbar autentiseringsuppgift för att utfärda en. Regeldefinitionen kan ta specifika anspråk från den visade verifierbara autentiseringsuppgiften och inkludera dessa anspråk i den nyligen utfärdade verifierbara autentiseringsuppgiften från din organisation. Information om hur du konfigurerar det här alternativet finns i guiden

  • Självbestyrkta anspråk: När det här alternativet har valts kan användaren ange information direkt i Authenticator. För närvarande är strängar de enda indata som stöds för självbetjäningsanspråk. Information om hur du konfigurerar det här alternativet finns i guiden

Mer information om JSON-modellen för regler finns i rulesModel type (ReglerModelltyp).

Merittyper

Alla verifierbara autentiseringsuppgifter måste deklarera sin typ i regeldefinitionen. Typ av autentiseringsuppgifter skiljer ett schema för verifierbara autentiseringsuppgifter från andra autentiseringsuppgifter och säkerställer samverkan mellan utfärdare och verifierare. Ange en eller flera typer av autentiseringsuppgifter som autentiseringsuppgifterna uppfyller för att ange en typ av autentiseringsuppgifter. Varje typ representeras av en unik sträng. Ofta används en URI för att säkerställa global unikhet. URI:n behöver inte vara adresserbar. Den behandlas som en sträng. Till exempel kan ett examensbevis utfärdat av Contoso University deklarera följande typer:

Typ Syfte
https://schema.org/EducationalCredential Deklarerar att diplom som utfärdats av Contoso University innehåller attribut som definierats av objektet schema.org EducationaCredential .
https://schemas.ed.gov/universityDiploma2020 Deklarerar att diplom som utfärdats av Contoso University innehåller attribut som definierats av U.S. Department of Education.
https://schemas.contoso.edu/diploma2020 Intygar att diplom som utfärdats av Contoso University innehåller attribut som definierats av Contoso University.

Genom att deklarera tre typer av diplom kan Contoso utfärda autentiseringsuppgifter som uppfyller olika begäranden från kontrollanter. En bank kan begära en uppsättning EducationCredentials från en användare och diplomet kan användas för att uppfylla begäran. Eller contoso University Alumni Association kan begära en autentiseringsuppgift av typen https://schemas.contoso.edu/diploma2020, och diplomet kan också uppfylla begäran.

För att säkerställa samverkan mellan dina autentiseringsuppgifter rekommenderar vi att du har ett nära samarbete med relaterade organisationer för att definiera typer av autentiseringsuppgifter, scheman och URI:er för användning i din bransch. Många branschorganisationer ger vägledning om strukturen för officiella dokument som kan återanvändas för att definiera innehållet i verifierbara autentiseringsuppgifter. Du bör också ha ett nära samarbete med verifierarna för dina autentiseringsuppgifter för att förstå hur de tänker begära och använda dina verifierbara autentiseringsuppgifter.

Nästa steg

Nu när du har en bättre förståelse för verifierbar design av autentiseringsuppgifter och hur du skapar din egen kan du läsa: