Speciális Microsoft Entra Ellenőrzött azonosító beállítása

  • Cikk

A speciális ellenőrzött azonosító beállítása az ellenőrzött azonosító beállításának klasszikus módja, ahol rendszergazdaként konfigurálnia kell az Azure KeyVaultot, gondoskodnia kell a decentralizált azonosító regisztrálásáról és a tartomány ellenőrzéséről.

Ebben az oktatóanyagban megtudhatja, hogyan konfigurálhatja a Microsoft Entra-bérlőt a ellenőrizhető hitelesítő adatok szolgáltatás használatára a speciális beállítással.

Pontosabban az alábbiakat sajátíthatja el:

  • Egy Azure Key Vault-példány létrehozása.
  • Konfigurálja, hogy Ön az Ellenőrzött azonosító szolgáltatás a speciális beállítással.
  • Regisztráljon egy alkalmazást a Microsoft Entra ID-ban.

Az alábbi ábra az ellenőrzött azonosító architektúráját és a konfigurált összetevőt mutatja be.

Diagram that illustrates the Microsoft Entra Verified ID architecture.

Előfeltételek

Kulcstartó létrehozása

Az Azure Key Vault egy felhőalapú szolgáltatás, amely lehetővé teszi a titkos kódok és kulcsok biztonságos tárolását és hozzáférés-kezelését. Az Ellenőrzött azonosító szolgáltatás nyilvános és privát kulcsokat tárol az Azure Key Vaultban. Ezek a kulcsok a hitelesítő adatok aláírására és ellenőrzésére szolgálnak.

Ha nem érhető el Azure Key Vault-példány, az alábbi lépéseket követve hozzon létre egy kulcstartót az Azure Portal használatával.

Feljegyzés

Alapértelmezés szerint a tárolót létrehozó fiók az egyetlen hozzáféréssel. Az ellenőrzött azonosító szolgáltatásnak hozzá kell férnie a kulcstartóhoz. Hitelesítenie kell a kulcstartót, lehetővé téve a konfiguráció során használt fiók számára a kulcsok létrehozását és törlését. A konfiguráció során használt fiók aláírási engedélyeket is igényel, hogy létrehozhassa az ellenőrzött azonosítóhoz tartozó tartománykötést. Ha ugyanazt a fiókot használja a tesztelés során, módosítsa az alapértelmezett szabályzatot, hogy a tár létrehozóinak megadott alapértelmezett engedélyek mellett a fiók-aláírási engedélyt is megadja.

A kulcstartóhoz való hozzáférés kezelése

Az ellenőrzött azonosító beállítása előtt meg kell adnia a Key Vault-hozzáférést. Ez határozza meg, hogy egy megadott rendszergazda végrehajthat-e műveleteket a Key Vault titkos kulcsai és kulcsai esetében. Adjon hozzáférési engedélyeket a kulcstartóhoz mind az ellenőrzött azonosító rendszergazdai fiókjához, mind a létrehozott Kérelemszolgáltatás API-tagjához.

A kulcstartó létrehozása után az ellenőrizhető hitelesítő adatok létrehoznak egy kulcskészletet, amely az üzenetbiztonságot biztosítja. Ezek a kulcsok a Key Vaultban vannak tárolva. Egy kulcskészletet használ az ellenőrizhető hitelesítő adatok aláírásához, frissítéséhez és helyreállításához.

Ellenőrzött azonosító beállítása

Screenshot that shows how to set up Verifiable Credentials.

Az ellenőrzött azonosító beállításához kövesse az alábbi lépéseket:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább globális Rendszergazda istratorként.

  2. Válassza az Ellenőrzött azonosító lehetőséget.

  3. A bal oldali menüben válassza a Telepítő lehetőséget.

  4. A középső menüben válassza a Szervezeti beállítások konfigurálása lehetőséget.

  5. A szervezet beállítása a következő információk megadásával:

    1. Szervezet neve: Adjon meg egy nevet, amely az ellenőrzött azonosítókon belül hivatkozik a vállalkozására. Az ügyfelek nem látják ezt a nevet.

    2. Megbízható tartomány: Adjon meg egy olyan tartományt, amely a decentralizált identitás (DID) dokumentum szolgáltatásvégpontjához lett hozzáadva. A tartomány köti a DID-t valami kézzelfoghatóhoz, amelyet a felhasználó esetleg tud a vállalkozásáról. A Microsoft Authenticator és más digitális tárcák ezeket az információkat használják annak ellenőrzésére, hogy a DID kapcsolódik-e a tartományához. Ha a pénztárca képes ellenőrizni a DID-t, egy ellenőrzött szimbólumot jelenít meg. Ha a tárca nem tudja ellenőrizni a DID-t, tájékoztatja a felhasználót, hogy a hitelesítő adatokat egy olyan szervezet adta ki, amelyet nem tudott érvényesíteni.

      Fontos

      A tartomány nem lehet átirányítás. Ellenkező esetben a DID és a tartomány nem csatolható. Ügyeljen arra, hogy HTTPS-t használjon a tartományhoz. Például: https://did.woodgrove.com

    3. Key Vault: Válassza ki a korábban létrehozott kulcstartót.

  6. Válassza a Mentés lehetőséget.

    Screenshot that shows how to set up Verifiable Credentials first step.

Alkalmazás regisztrálása a Microsoft Entra-azonosítóban

Az alkalmazásnak hozzáférési jogkivonatokat kell beszereznie, amikor be szeretne hívni Microsoft Entra Ellenőrzött azonosító, hogy hitelesítő adatokat állíthass ki vagy ellenőrizzen. A hozzáférési jogkivonatok beszerzéséhez regisztrálnia kell egy alkalmazást, és API-engedélyt kell adnia az ellenőrzött azonosító kérési szolgáltatáshoz. Használja például a következő lépéseket egy webalkalmazáshoz:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább globális Rendszergazda istratorként.

  2. Válassza ki a Microsoft Entra ID.

  3. Az Alkalmazások területen válassza a Alkalmazásregisztrációk> Új regisztráció lehetőséget.

    Screenshot that shows how to select a new application registration.

  4. Adja meg az alkalmazás megjelenítendő nevét. Például: ellenőrizhető-credentials-app.

  5. Támogatott fióktípusok esetén válassza a Csak ebben a szervezeti címtárban lévő Fiókok lehetőséget (csak alapértelmezett címtár – egyetlen bérlő).

  6. Válassza a Regisztráció elemet az alkalmazás létrehozásához.

    Screenshot that shows how to register the verifiable credentials app.

Hozzáférési jogkivonatok lekéréséhez szükséges engedélyek megadása

Ebben a lépésben engedélyeket ad az ellenőrizhető hitelesítő adatok szolgáltatáskérési szolgáltatásnévnek.

A szükséges engedélyek hozzáadásához kövesse az alábbi lépéseket:

  1. Maradjon az ellenőrizhető hitelesítő adatok alkalmazás részletei oldalon. API-engedélyek>kiválasztása Engedély hozzáadása.

    Screenshot that shows how to add permissions to the verifiable credentials app.

  2. Válassza ki a szervezet által használt API-kat.

  3. Keresse meg az Ellenőrizhető hitelesítő adatok szolgáltatáskérés szolgáltatásnevet, és válassza ki.

    Screenshot that shows how to select the service principal.

  4. Válassza az Alkalmazásengedély lehetőséget, majd bontsa ki a VerifiableCredential.Create.All elemet.

    Screenshot that shows how to select the required permissions.

  5. Jelölje be az Engedélyek hozzáadása lehetőséget.

  6. Válassza a bérlő nevének> rendszergazdai <hozzájárulásának megadása lehetőséget.

Ha külön szeretné elkülöníteni a hatóköröket a különböző alkalmazásokhoz, a kiállítási és bemutatói engedélyeket külön is megadhatja.

Screenshot that shows how to select granular permissions for issuance or presentation.

Decentralizált azonosító regisztrálása és a tartomány tulajdonjogának ellenőrzése

Miután az Azure Key Vault be lett állítva, és a szolgáltatás rendelkezik aláíró kulccsal, el kell végeznie a 2. és a 3. lépést a beállításban.

Screenshot that shows how to set up Verifiable Credentials step 2 and 3.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább globális Rendszergazda istratorként.
  2. Válassza az Ellenőrizhető hitelesítő adatok lehetőséget.
  3. A bal oldali menüben válassza a Telepítő lehetőséget.
  4. A középső menüben válassza a Decentralizált azonosító regisztrálása lehetőséget a DID-dokumentum regisztrálásához, a did:web decentralizált azonosítójának regisztrálása című cikk utasításainak megfelelően. A tartomány ellenőrzéséhez el kell végeznie ezt a lépést. Ha a did:ion értéket választotta megbízhatósági rendszerként, hagyja ki ezt a lépést.
  5. A középső menüben válassza a Tartomány tulajdonjogának ellenőrzése lehetőséget a tartomány ellenőrzéséhez a decentralizált azonosító (DID) tartomány tulajdonjogának ellenőrzése című cikk utasításai szerint.

Miután sikeresen elvégezte az ellenőrzési lépéseket, és mind a három lépésen zöld pipa van, készen áll a következő oktatóanyag folytatására.

Következő lépések