Configurazione avanzata ID verificato di Microsoft Entra

La configurazione avanzata dell'ID verificato è il modo classico di configurare l'ID verificato in cui l'amministratore deve configurare Azure KeyVault, occuparsi della registrazione dell'ID decentralizzato e della verifica del dominio.

In questa esercitazione si apprenderà come usare la configurazione avanzata per configurare il tenant di Microsoft Entra per l'uso del servizio credenziali verificabili.

In particolare, si apprenderà come:

  • Creare un'istanza di Azure Key Vault.
  • Configurare il servizio ID verificato usando la configurazione avanzata.
  • Registra un’applicazione in Microsoft Entra ID.

Il diagramma seguente illustra l'architettura di ID verificato e il componente configurato.

Diagram that illustrates the Microsoft Entra Verified ID architecture.

Prerequisiti

  • È necessario un tenant di Azure con una sottoscrizione attiva. Se non si ha una sottoscrizione di Azure, crearne una gratuitamente.
  • Assicurarsi di avere l'amministratore globale o l'autorizzazione di amministratore dei criteri di autenticazione per la directory che si vuole configurare. Se non si è l'amministratore globale, è necessaria l'autorizzazione dell'amministratore dell'applicazione per completare la registrazione dell'app, inclusa la concessione del consenso amministratore.
  • Assicurarsi di avere il ruolo di collaboratore per la sottoscrizione di Azure o il gruppo di risorse in cui si distribuisce Azure Key Vault.
  • Assicurarsi di fornire le autorizzazioni di accesso per Key Vault. Per altre informazioni, vedere Fornire l'accesso a chiavi, certificati e segreti di Key Vault con un controllo degli accessi in base al ruolo di Azure.

Creare un insieme di credenziali delle chiavi

Azure Key Vault è un servizio cloud che consente la gestione sicura di archiviazione e accesso di segreti e chiavi. Il servizio ID verificato archivia le chiavi pubbliche e private in Azure Key Vault. Queste chiavi vengono usate per firmare e verificare le credenziali.

Se non è disponibile un'istanza di Azure Key Vault, seguire questa procedura per creare un insieme di credenziali delle chiavi usando il portale di Azure.

Nota

Per impostazione predefinita, l'account che crea un insieme di credenziali è l'unico con accesso. Il servizio ID verificato deve accedere all'insieme di credenziali delle chiavi. È necessario autenticare l'insieme di credenziali delle chiavi, consentendo all'account usato durante la configurazione di creare ed eliminare chiavi. L'account usato durante la configurazione richiede anche le autorizzazioni per firmare in modo che possa creare l'associazione di dominio per ID verificato. Se si usa lo stesso account durante il test, modificare i criteri predefiniti per concedere l'autorizzazione di firma dell'account, oltre alle autorizzazioni predefinite concesse agli autori dell'insieme di credenziali.

Gestire l'accesso all'insieme di credenziali delle chiavi

Prima di poter configurare l'ID verificato, è necessario fornire l'accesso a Key Vault. In questo modo viene definito se un amministratore specificato può eseguire operazioni sui segreti e sulle chiavi di Key Vault. Fornire le autorizzazioni di accesso all'insieme di credenziali delle chiavi sia per l'account amministratore id verificato che per l'entità API del servizio richiesta creata.

Dopo aver creato l'insieme di credenziali delle chiavi, le credenziali verificabili generano un set di chiavi usate per fornire la sicurezza dei messaggi. Queste chiavi vengono archiviate in Key Vault. Si usa un set di chiavi per firmare, aggiornare e ripristinare le credenziali verificabili.

Configurare l'ID verificato

Screenshot that shows how to set up Verifiable Credentials.

Per configurare l'ID verificato, seguire questa procedura:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator globale.

  2. Selezionare ID verificato.

  3. Nel menu a sinistra selezionare Setup (Imposta).

  4. Dal menu centrale selezionare Configura le impostazioni dell'organizzazione.

  5. Configurare l'organizzazione specificando le informazioni seguenti:

    1. Nome organizzazione: immettere un nome per fare riferimento all'azienda all'interno degli ID verificati. Questo nome non è visibile ai clienti.

    2. Dominio attendibile: immettere un dominio aggiunto a un endpoint di servizio nel documento di identità decentralizzata (DID). Il dominio è ciò che associa il DID a qualcosa di tangibile che l'utente potrebbe conoscere della propria azienda. Microsoft Authenticator e altri portafogli digitali usano queste informazioni per verificare che il DID sia collegato al dominio. Se il portafoglio può verificare il DID, visualizza un simbolo che indica che la verifica è stata eseguita. Se il portafoglio non è in grado di verificare il DID, informa l'utente che le credenziali sono state rilasciate da un'organizzazione che non è stato possibile convalidare.

      Importante

      Il dominio non può essere un reindirizzamento. In caso contrario, l'operazione DID e il dominio non possono essere collegati. Assicurarsi di usare HTTPS per il dominio. Ad esempio: https://did.woodgrove.com.

    3. Insieme di credenziali delle chiavi: selezionare l'insieme di credenziali delle chiavi creato in precedenza.

  6. Seleziona Salva.

    Screenshot that shows how to set up Verifiable Credentials first step.

Registrare un'applicazione in Microsoft Entra ID

L'applicazione deve ottenere i token di accesso quando vuole chiamare ID verificato di Microsoft Entra in modo che possa emettere o verificare le credenziali. Per ottenere i token di accesso, è necessario registrare un'applicazione e concedere l'autorizzazione API per il servizio di richiesta ID verificato. Ad esempio, usare la procedura seguente per un'applicazione Web:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator globale.

  2. Selezionare Microsoft Entra ID.

  3. In Applicazioni selezionare Registrazioni app> Nuova registrazione.

    Screenshot that shows how to select a new application registration.

  4. Immettere un nome visualizzato per l'applicazione. Ad esempio: verificabile-credentials-app.

  5. Per Tipi di account supportati, selezionare Account solo in questa directory organizzativa (Solo directory predefinita - Tenant singolo).For Supported account types, select Accounts in this organizational directory only (Default Directory only - Single tenant)).

  6. Selezionare Registra per creare l'applicazione.

    Screenshot that shows how to register the verifiable credentials app.

Concedere le autorizzazioni per ottenere i token di accesso

In questo passaggio si concedono le autorizzazioni all'entità servizio Richiesta servizio credenziali verificabili.

Per aggiungere le autorizzazioni necessarie, seguire questa procedura:

  1. Rimanere nella pagina dei dettagli dell'applicazione verificabile-credentials-app . Seleziona Autorizzazioni API>Aggiungi un'autorizzazione.

    Screenshot that shows how to add permissions to the verifiable credentials app.

  2. Seleziona API utilizzate dall'organizzazione.

  3. Cercare l'entità servizio Richiesta servizio credenziali verificabili e selezionarla.

    Screenshot that shows how to select the service principal.

  4. Scegliere Autorizzazione applicazionee espandere VerificaableCredential.Create.All.

    Screenshot that shows how to select the required permissions.

  5. Selezionare Aggiungi autorizzazioni.

  6. Selezionare Concedi consenso amministratore per <il nome> del tenant.

È possibile scegliere di concedere separatamente le autorizzazioni di rilascio e presentazione se si preferisce separare gli ambiti in applicazioni diverse.

Screenshot that shows how to select granular permissions for issuance or presentation.

Registrare l'ID decentralizzato e verificare la proprietà del dominio

Dopo l'installazione di Azure Key Vault e il servizio ha una chiave di firma, è necessario completare il passaggio 2 e 3 nella configurazione.

Screenshot that shows how to set up Verifiable Credentials step 2 and 3.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator globale.
  2. Selezionare Credenziali verificabili.
  3. Nel menu a sinistra selezionare Setup (Imposta).
  4. Dal menu centrale selezionare Registra ID decentralizzato per registrare il documento DID, come indicato nell'articolo Come registrare l'ID decentralizzato per did:web. È necessario completare questo passaggio prima di poter continuare a verificare il dominio. Se è stato selezionato did:ion come sistema di attendibilità, è consigliabile ignorare questo passaggio.
  5. Dal menu centrale selezionare Verifica la proprietà del dominio per verificare il dominio, come indicato nell'articolo Verificare la proprietà del dominio per l'identificatore decentralizzato (DID)

Dopo aver completato correttamente i passaggi di verifica e avere segni di spunta verdi su tutti e tre i passaggi, si è pronti per continuare con l'esercitazione successiva.

Passaggi successivi