Настройка средства проверки проверяемых удостоверений Microsoft Entra

Статья
02/01/2024

В Проверенные учетные данные Microsoft Entra учетных данных из приложения вы узнаете, как выдавать и проверять учетные данные с помощью того же клиента Microsoft Entra. В реальном сценарии, где издатель и проверяющий являются отдельными организациями, проверяющий использует свой собственный клиент Microsoft Entra для проверки учетных данных, выданных другой организацией. С помощью этого учебника мы выполним действия, необходимые для предъявления и проверки вашего первого проверяемого удостоверения — карточки эксперта с проверенным удостоверением.

Как проверяющий вы предоставите привилегии субъектам, у которых есть карточки эксперта с проверенным удостоверением. С помощью этого учебника вы запустите на локальном компьютере пример приложения, которое потребует предъявить карточку эксперта с проверенным удостоверением, а затем проверит ее.

Вы узнаете, как выполнять следующие задачи:

Скачивание кода примера приложения на локальный компьютер.
Настройка Проверенные учетные данные Microsoft Entra в клиенте Microsoft Entra
Сбор сведений об удостоверениях и средах для настройки примера приложения и добавления в него сведений о карточке эксперта с проверенным удостоверением.
запустить пример приложения и начать процесс выдачи проверяемых удостоверений.

Необходимые компоненты

Настройка арендатора для службы "Проверенные учетные данные Microsoft Entra".
Чтобы клонировать репозиторий с примером приложения, установите Git.
Visual Studio Code, Visual Studio или аналогичный редактор кода.
.NET 7.0.
Скачайте ngrok и зарегистрируйтесь для получения бесплатной учетной записи. Если вы не можете использовать ngrok в организации, ознакомьтесь с этим вопросом и ответами.
Мобильное устройство с последней версией Microsoft Authenticator.

Сбор сведений об арендаторе для настройки примера приложения

После настройки службы проверенного идентификатора Azure AD можно собрать некоторые сведения о среде и настроенных проверяемых удостоверениях. Эти сведения необходимы для настройки примера приложения.

В разделе Проверяемое удостоверение выберите Параметры организации.
Скопируйте значение параметра Идентификатор арендатора и сохраните его для дальнейшего использования.
Скопируйте значение параметра Децентрализованное удостоверение и сохраните его для дальнейшего использования.

На следующем снимке экрана показано, как скопировать необходимые значения:

Снимок экрана, на котором показано, как скопировать необходимые значения из проверенного идентификатора Microsoft Entra.

Скачивание примера кода

Пример приложения .NET доступен в репозитории GitHub. Сначала скачайте пример кода из репозитория GitHub или клонируйте репозиторий на локальный компьютер:

git clone git@github.com:Azure-Samples/active-directory-verifiable-credentials-dotnet.git

Настройка приложения для проверки проверяемых удостоверений

Создайте секрет клиента для зарегистрированного приложения, которое вы создали. Приложение использует секрет клиента для подтверждения подлинности при запросе токенов.

В идентификаторе Microsoft Entra перейдите к Регистрация приложений.
Выберите приложение verifiable-credentials-app, которое вы создали ранее.
Щелкните имя приложения, чтобы открыть страницу сведений о регистрации приложений.
Скопируйте значение параметра Идентификатор приложения (клиента) и сохраните для последующего использования.
На странице Сведения о регистрации приложений в разделе главного меню Управление выберите Сертификаты и секреты.
Щелкните Создать секрет клиента.
1. В поле Описание введите описание секрета клиента (например, vc-sample-secret).
2. Для параметра Истекает выберите срок действия секрета (например, "6 месяцев"). Нажмите кнопку Добавить.
3. Запишите значение секрета в поле Значение. Это значение потребуется на следующем шаге. Это значение больше не будет показано. Его нельзя получить никаким другим способом, поэтому запишите его, как только оно появится.

На этом этапе у вас должны быть все необходимые сведения для настройки примера приложения.

Изменение примера приложения

Мы внесли изменения в код издателя примера приложения, чтобы обновить его, используя URL-адрес проверяемого удостоверения. Это позволяет выдавать проверяемые удостоверения с помощью вашего собственного клиента.

В каталоге active-directory-verifiable-credentials-dotnet-main откройте Visual Studio Code. Выберите проект в каталоге 1. asp-net-core-api-idtokenhint.
В корневой папке проекта откройте файл appsettings.json. Этот файл содержит сведения об учетных данных в среде проверенного идентификатора Microsoft Entra. Обновите следующие свойства, указав сведения, записанные на предыдущих шагах.
1. Tenant ID: идентификатор арендатора.
2. Client ID: идентификатор клиента.
3. Client Secret: секрет клиента.
4. DidAuthority: ваш децентрализованный идентификатор
5. CredentialType: тип учетных данных
CredentialManifest требуется только для выдачи, поэтому если все, что вы хотите сделать, это презентация, она строго не нужна.
Сохраните файл appsettings.json.

В следующем коде JSON показано, как должен выглядеть файл appsettings.json:

{
  "VerifiedID": {
    "Endpoint": "https://verifiedid.did.msidentity.com/v1.0/verifiableCredentials/",
    "VCServiceScope": "3db474b9-6a0c-4840-96ac-1fceb342124f/.default",
    "Instance": "https://login.microsoftonline.com/",
    "TenantId": "12345678-0000-0000-0000-000000000000",
    "ClientId": "33333333-0000-0000-0000-000000000000",
    "ClientSecret": "123456789012345678901234567890",
    "CertificateName": "[Or instead of client secret: Enter here the name of a certificate (from the user cert store) as registered with your application]",
    "DidAuthority": "did:web:...your-decentralized-identifier...",
    "CredentialType": "VerifiedCredentialExpert",
    "CredentialManifest":  "https://verifiedid.did.msidentity.com/v1.0/12345678-0000-0000-0000-000000000000/verifiableCredentials/contracts/VerifiedCredentialExpert"
  }
}

Запуск и проверка примера приложения

Теперь вы можете запустить пример приложения, чтобы предъявить и проверить карточку эксперта с поверенным удостоверением.

В Visual Studio Code запустите проект Verifiable_credentials_DotNet. или в командной оболочке выполните следующие команды:
```
cd active-directory-verifiable-credentials-dotnet\1-asp-net-core-api-idtokenhint
dotnet build "AspNetCoreVerifiableCredentials.csproj" -c Debug -o .\bin\Debug\net6
dotnet run
```
В другом терминале выполните приведенную ниже команду. Эта команда запускает ngrok, чтобы настроить URL-адрес на порту 5000 и сделать его общедоступным в Интернете.
```
ngrok http 5000 
```
Примечание.

На некоторых компьютерах может потребоваться выполнить команду в таком формате: ./ngrok http 5000.
Откройте URL-адрес HTTPS, созданный службой ngrok.
В веб-браузере нажмите кнопку Verify Credential (Проверить удостоверение).
На мобильном устройстве отсканируйте QR-код в приложении Authenticator или в приложении камеры.
В предупреждении о том, что это приложение или веб-сайт могут представлять риск, щелкните Дополнительно. Это предупреждение отображается, потому что ваш домен не проверен. При работе с этим учебником вы можете пропустить регистрацию домена.
В предупреждении выберите Все равно продолжить (небезопасно).
Одобрите запрос, нажав кнопку Разрешить.
После одобрения запроса появится сообщение о том, что он одобрен. Вы также можете проверить это в журнале. Чтобы просмотреть журнал, выберите проверяемое удостоверение.
Выберите Недавние действия.
На странице Недавние действия будут показаны последние действия, выполнявшиеся с проверяемым удостоверением.
Вернитесь в приложение. В нем появится сообщение о том, что проверяемое удостоверение было предъявлено.