進階 Microsoft Entra 驗證識別碼 設定

  • 發行項

進階驗證標識碼設定是設定已驗證標識碼的傳統方式,身為系統管理員必須設定 Azure KeyVault、負責註冊您的分散式標識碼和驗證網域。

在本教學課程中,您將瞭解如何使用進階設定來設定您的 Microsoft Entra 租使用者,以使用可驗證的認證服務。

具體來說,您會瞭解如何:

  • 建立 Azure 金鑰保存庫執行個體。
  • 使用進階設定來設定您是已驗證的標識元服務。
  • 在 Microsoft Entra ID 中註冊應用程式。

下圖說明您設定的已驗證識別碼架構和元件。

Diagram that illustrates the Microsoft Entra Verified ID architecture.

必要條件

  • 您需要具有作用中訂用帳戶的 Azure 租使用者。 如果您沒有 Azure 訂用帳戶, 請免費建立一個訂用帳戶。
  • 請確定您具有您要設定之目錄的 全域管理員驗證原則管理員 許可權。 如果您不是全域管理員,您需要 應用程式管理員 許可權才能完成應用程式註冊,包括授與管理員同意。
  • 請確定您具有 Azure 訂用帳戶的參與者角色,或您要在其中部署 Azure 金鑰保存庫 的資源群組。
  • 請確定您為 金鑰保存庫 提供訪問許可權。 如需詳細資訊,請參閱使用 Azure 角色型訪問控制提供 金鑰保存庫 密鑰、憑證和秘密的存取權。

建立金鑰保存庫

Azure 金鑰保存庫 是雲端服務,可讓您安全地儲存和存取秘密和密鑰的存取管理。 [已驗證的標識符] 服務會將公用和私鑰儲存在 Azure 金鑰保存庫 中。 這些金鑰可用來簽署和驗證認證。

如果您沒有可用的 Azure 金鑰保存庫 實體,請遵循下列步驟,使用 Azure 入口網站 建立密鑰保存庫。

注意

根據預設,建立保存庫的帳戶是唯一具有存取權的帳戶。 [已驗證的識別碼] 服務需要存取金鑰保存庫。 您必須 驗證金鑰保存庫,讓設定期間使用的帳戶能夠建立和刪除密鑰。 在設定期間使用的帳戶也需要許可權才能簽署,以便建立已驗證標識符的網域系結。 如果您在測試時使用相同的帳戶,請修改默認原則以授與帳戶登入許可權,以及授與保存庫建立者的默認許可權。

管理金鑰保存庫的存取權

您必須先提供 金鑰保存庫 存取權,才能設定 [已驗證的標識符]。 這會定義指定的系統管理員是否可以對 金鑰保存庫 秘密和密鑰執行作業。 針對已驗證的標識碼系統管理員帳戶,以及您建立的要求服務 API 主體,提供密鑰保存庫的訪問許可權。

建立金鑰保存庫之後,可驗證認證會產生一組用來提供訊息安全性的密鑰。 這些金鑰會儲存在 金鑰保存庫 中。 您可以使用金鑰集來簽署、更新及復原可驗證的認證。

設定已驗證的識別碼

Screenshot that shows how to set up Verifiable Credentials.

若要設定已驗證的識別碼,請遵循下列步驟:

  1. 以至少全域 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 選取 [ 已驗證的標識符]。

  3. 從左側功能表中,選取 [ 設定]。

  4. 從中間功能表中,選取 [ 設定組織設定]。

  5. 提供下列資訊,以設定您的組織:

    1. 組織名稱:輸入名稱,以參考已驗證標識碼內的公司。 您的客戶看不到此名稱。

    2. 信任網域:輸入已新增至分散式身分識別 (DID) 文件中服務端點的網域。 網域可將您的 DID 繫結至使用者可能對您的公司有所了解的有形事物。 Microsoft Authenticator 和其他數位錢包會使用這項資訊來驗證您的 DID 是否已連結至您的網域。 如果錢包可以驗證 DID,則會顯示已驗證的符號。 如果錢包無法驗證 DID,則會通知使用者認證是由無法驗證的組織所簽發。

      重要

      網域不能是重新導向。 否則,無法連結 DID 和網域。 請務必針對網域使用 HTTPS。 例如: https://did.woodgrove.com

    3. 金鑰保存庫:選取您稍早建立的金鑰保存庫。

  6. 選取 [儲存]。

    Screenshot that shows how to set up Verifiable Credentials first step.

在 Microsoft Entra 識別碼中註冊應用程式

當您的應用程式想要呼叫 Microsoft Entra 驗證識別碼 時,需要取得存取令牌,才能發出或驗證認證。 若要取得存取令牌,您必須註冊應用程式,並授與已驗證標識碼要求服務的 API 許可權。 例如,針對 Web 應用程式使用下列步驟:

  1. 以至少全域 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 選取 [Microsoft Entra ID]。

  3. 在 [應用程式] 底>,選取 [應用程式註冊[新增註冊]。

    Screenshot that shows how to select a new application registration.

  4. 輸入應用程式的顯示名稱。 例如: verifiable-credentials-app

  5. 針對 [支持的帳戶類型],選取 [僅限此組織目錄中的帳戶] (僅限默認目錄 - 單一租使用者)。

  6. 選取 [暫存器] 以建立應用程式。

    Screenshot that shows how to register the verifiable credentials app.

授與許可權以取得存取令牌

在此步驟中,您會將許可權授與可驗證認證 服務要求 服務主體。

若要新增必要的許可權,請遵循下列步驟:

  1. 留在 verifiable-credentials-app 應用程式詳細數據頁面中。 選取 API 權限>新增權限

    Screenshot that shows how to add permissions to the verifiable credentials app.

  2. 選取我組織使用的 API

  3. 搜尋可驗證認證 服務要求 服務主體,然後加以選取。

    Screenshot that shows how to select the service principal.

  4. 選擇 [應用程式許可權],然後展開 [VerifiableCredential.Create.All]。

    Screenshot that shows how to select the required permissions.

  5. 選取新增權限

  6. 選取 [ 授與管理員同意] 以取得 <租用戶名稱>

如果您想要將範圍區隔到不同的應用程式,您可以選擇個別授與發行和簡報許可權。

Screenshot that shows how to select granular permissions for issuance or presentation.

註冊分散式標識碼並驗證網域擁有權

在設定 Azure 金鑰保存庫,且服務具有簽署金鑰之後,您必須完成設定中的步驟 2 和 3。

Screenshot that shows how to set up Verifiable Credentials step 2 and 3.

  1. 以至少全域 管理員 istrator 身分登入 Microsoft Entra 系統管理中心
  2. 選取 [可驗證的認證]。
  3. 從左側功能表中,選取 [ 設定]。
  4. 從中間功能表中,選取 [註冊分散式標識符] 以註冊您的 DID 檔,如如何為 did:web 註冊分散式識別碼一文中的指示。 您必須先完成此步驟,才能繼續驗證網域。 如果您選取了 did:ion 作為信任系統,您應該略過此步驟。
  5. 從中間功能表中,選取 [ 驗證網域擁有權 ] 以驗證您的網域,如驗證網域擁有權至分散式標識元一文 中的指示(DID)

一旦您成功完成驗證步驟,並在這三個步驟上都有綠色複選標記,您就可以繼續進行下一個教學課程。

下一步