Erweiterte Einrichtung von Microsoft Entra Verified ID

Die erweiterte Einrichtung von Verified ID ist die klassische Methode zum Einrichten von Verified ID, bei der Sie als Administrator Azure KeyVault konfigurieren müssen, sich um die Registrierung Ihrer dezentralen ID und die Überprüfung Ihrer Domäne kümmern.

In diesem Tutorial erfahren Sie, wie Sie Ihren Microsoft Entra-Mandanten mit der erweiterten Einrichtung so konfigurieren, dass er diesen Nachweisdienst verwenden kann.

Dabei wird insbesondere Folgendes vermittelt:

  • Erstellen einer Azure Key Vault-Instanz
  • Konfigurieren Sie den Verified ID-Dienst mithilfe der erweiterten Einrichtung.
  • Registrieren Sie eine Anwendung in Microsoft Entra ID.

Das folgende Diagramm veranschaulicht die Microsoft Entra Verified ID-Architektur und die von Ihnen konfigurierte Komponente.

Diagram that illustrates the Microsoft Entra Verified ID architecture.

Voraussetzungen

Erstellen eines Schlüsseltresors

Azure Key Vault ist ein Clouddienst, der das sichere Speichern uns die Zugriffsverwaltung von Geheimnissen und Schlüsseln ermöglicht. Der Nachweisdienst speichert öffentliche und private Schlüssel in Azure Key Vault. Diese Schlüssel werden zum Signieren und Überprüfen von Nachweisen verwendet.

Wenn Sie nicht über eine Azure Key Vault-Instanz verfügen, führen Sie diese Schritte aus, um mithilfe des Azure-Portals einen Schlüsseltresor zu erstellen.

Hinweis

Standardmäßig ist das Konto, mit dem ein Tresor erstellt wird, das einzige mit Zugriff. Der Dienst für überprüfbare Anmeldeinformationen benötigt Zugriff auf den Schlüsseltresor. Sie müssen Ihren Schlüsseltresor authentifizieren, damit das während der Konfiguration verwendete Konto Schlüssel erstellen und löschen kann. Das während der Konfiguration verwendete Konto erfordert außerdem die Berechtigung zum Signieren, um die Domänenbindung für Verified ID zu erstellen. Wenn Sie beim Testen dasselbe Konto verwenden, ändern Sie die Standardrichtlinie, um dem Konto die Berechtigung „Signieren“ zusätzlich zu den Standardberechtigungen zu erteilen, die Tresorerstellern erteilt wurden.

Verwalten des Zugriffs auf den Schlüsseltresor

Bevor Sie eine verifizierte ID einrichten können, müssen Sie Key Vault Zugriffgewähren. Dadurch wird festgelegt, ob ein bestimmter Administrator Vorgänge für Key Vault-Geheimnisse und -Schlüssel ausführen kann. Stellen Sie Zugriffsberechtigungen für Ihren Schlüsseltresor sowohl für das Administratorkonto mit der verifizierten ID als auch für den erstellten Prinzipal der Anforderungsdienst-API fest.

Nach der Erstellung Ihres Schlüsseltresors werden mit Nachweisen Schlüssel generiert, die die Nachrichtensicherheit gewährleisten. Diese Schlüssel werden in Key Vault gespeichert. Sie verwenden einen Schlüsselsatz zum Signieren, Aktualisieren und Wiederherstellen von Nachweisen.

Verifizierte ID einrichten.

Screenshot that shows how to set up Verifiable Credentials.

Führen Sie die folgenden Schritte aus, um Verified ID einzurichten.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Globaler Administrator an.

  2. Wählen Sie dann Verified ID aus.

  3. Klicken Sie im linken Menü auf Einrichten.

  4. Wählen Sie im mittleren Menü Organisationseinstellungen konfigurieren aus.

  5. Richten Sie Ihre Organisation ein, indem Sie die folgenden Informationen bereitstellen:

    1. Organisationsname: Geben Sie einen Namen ein, um in Verified ID auf Ihr Unternehmen zu verweisen. Dieser Name wird Kunden nicht angezeigt.

    2. Vertrauenswürdige Domäne: Geben Sie eine Domäne ein, die einem Dienstendpunkt in Ihrem DID-Dokument (Decentralized Identity, dezentralisierte Identität) hinzugefügt wird. Die Domäne bindet Ihre DID an etwas Konkretes, das der Benutzer möglicherweise über Ihr Unternehmen kennt. Microsoft Authenticator und andere digitale Geldbörsen überprüfen anhand dieser Informationen, ob Ihre DID mit Ihrer Domäne verknüpft ist. Wenn das Wallet die DID überprüfen kann, wird ein verifiziertes Symbol angezeigt. Wenn das Wallet die DID nicht überprüfen kann, wird der Benutzer darüber informiert, dass die Anmeldeinformationen von einer Organisation ausgestellt wurden, die nicht überprüfen werden konnte.

      Wichtig

      Die Domäne kann keine Umleitung sein. Andernfalls können DID und Domäne nicht verknüpft werden. Achten Sie darauf, HTTPS für die Domäne zu verwenden. Beispiel: https://did.woodgrove.com.

    3. Schlüsseltresor: Wählen Sie den Schlüsseltresor aus, den Sie zuvor erstellt haben.

  6. Wählen Sie Speichern.

    Screenshot that shows how to set up Verifiable Credentials first step.

Registrieren einer Anwendung in Microsoft Entra ID

Ihre Anwendung muss Zugriffstoken abrufen, wenn sie Microsoft Entra Verified ID aufrufen möchte, um Anmeldeinformationen ausstellen oder überprüfen zu können. Zum Abrufen von Zugriffstoken müssen Sie eine Anwendung registrieren und dem Verified ID-Anforderungsdienst eine API-Berechtigung gewähren. Befolgen Sie beispielsweise für eine Webanwendung die folgenden Schritte:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Globaler Administrator an.

  2. Wählen Sie Microsoft Entra ID aus.

  3. Wählen Sie unter Anwendungen Folgendes aus: App-Registrierungen>Neue Registrierung.

    Screenshot that shows how to select a new application registration.

  4. Geben Sie einen Anzeigenamen für Ihre Anwendung ein. Beispiel: verifiable-credentials-app

  5. Wählen Sie unter Unterstützte Kontotypen die Option Nur Konten in diesem Organisationsverzeichnis (nur Standardverzeichnis – einzelner Mandant) aus.

  6. Wählen Sie Registrieren aus, um die Anwendung zu erstellen.

    Screenshot that shows how to register the verifiable credentials app.

Erteilen von Berechtigungen zum Abrufen von Zugriffstoken

In diesem Schritt erteilen Sie dem Prinzipal des Nachweisanforderungsdiensts Berechtigungen.

Führen Sie die folgenden Schritte aus, um die erforderlichen Berechtigungen hinzuzufügen:

  1. Bleiben Sie auf der Seite mit den Details für die Anwendung verifiable-credentials-app. Klicken Sie auf API-Berechtigungen>Berechtigung hinzufügen.

    Screenshot that shows how to add permissions to the verifiable credentials app.

  2. Wählen Sie Von meiner Organisation verwendete APIs aus.

  3. Suchen Sie nach dem Dienstprinzipal Nachweisdienstanforderung, und wählen Sie ihn aus.

    Screenshot that shows how to select the service principal.

  4. Wählen Sie Anwendungsberechtigung aus, und erweitern Sie VerifiableCredential.Create.All.

    Screenshot that shows how to select the required permissions.

  5. Wählen Sie Berechtigungen hinzufügen aus.

  6. Wählen Sie Administratorzustimmung erteilen für <Name Ihres Mandanten> aus.

Sie können die Ausstellungs- und Präsentationsberechtigungen separat erteilen, wenn Sie die Bereiche für unterschiedliche Anwendungen trennen möchten.

Screenshot that shows how to select granular permissions for issuance or presentation.

Eine dezentrale ID registrieren und den Domänenbesitz überprüfen

Nachdem Azure Key Vault eingerichtet wurde und der Dienst über einen Signaturschlüssel verfügt, müssen Sie die Schritte 2 und 3 im Setup ausführen.

Screenshot that shows how to set up Verifiable Credentials step 2 and 3.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Globaler Administrator an.
  2. Wählen Sie Nachweise aus.
  3. Klicken Sie im linken Menü auf Einrichten.
  4. Wählen Sie im mittleren Menü dezentralisierte ID registrieren aus, um Ihr DID-Dokument zu registrieren, wie im Artikel Registrieren Ihrer dezentralen ID für did:web beschrieben. Sie müssen diesen Schritt ausführen, bevor Sie mit der Überprüfung Ihrer Domäne fortfahren können. Wenn Sie „did:ion“ als Vertrauenssystem ausgewählt haben, sollten Sie diesen Schritt überspringen.
  5. Wählen Sie im mittleren Menü Domänenbesitz überprüfen aus, um Ihre Domäne zu überprüfen, wie im Artikel Domänenbesitz auf Ihren dezentralen Bezeichner (DID) überprüfen beschrieben.

Nachdem Sie die Überprüfungsschritte erfolgreich abgeschlossen haben, und alle drei Schritte mit grünen Häkchen versehen sind, können Sie mit dem nächsten Tutorial fortfahren.

Nächste Schritte