Расширенная настройка Проверенные учетные данные Microsoft Entra

  • Статья

Настройка расширенного проверенного идентификатора — это классический способ настройки проверенного идентификатора, в котором администратор должен настроить Azure KeyVault, зарегистрировать децентрализованный идентификатор и проверить домен.

В этом руководстве описано, как использовать расширенную настройку для настройки клиента Microsoft Entra для использования проверяемой службы учетных данных.

В частности, вы узнаете, как выполнять следующие задачи:

  • Создание экземпляра Azure Key Vault.
  • Настройте службу проверенных идентификаторов с помощью расширенной настройки.
  • Зарегистрируйте приложение в Microsoft Entra ID.

На следующей диаграмме показана архитектура проверяемых удостоверений и настраиваемый компонент.

Diagram that illustrates the Microsoft Entra Verified ID architecture.

Необходимые компоненты

Создание хранилища ключей

Azure Key Vault — это облачная служба, которая обеспечивает безопасное хранилище и управление доступом секретов и ключей. Служба проверяемых удостоверений хранит открытые и закрытые ключи в Azure Key Vault. Эти ключи используются для подписания и проверки удостоверений.

Если у вас нет экземпляра Azure Key Vault, выполните приведенные ниже действия, чтобы создать хранилище ключей на портале Azure.

Примечание.

По умолчанию доступ имеет только учетная запись, которая создает хранилище. Для службы проверяемых удостоверений требуется доступ к хранилищу ключей. Необходимо пройти проверку подлинности хранилища ключей, позволяя учетной записи, используемой во время настройки, создавать и удалять ключи. Учетной записи, использованной при настройке, также требуется разрешение на подпись, чтобы создать привязку к домену для службы проверяемых удостоверений. Если вы используете одну и ту же учетную запись во время тестирования, измените политику по умолчанию, чтобы предоставить учетной записи разрешение на подпись в дополнение к разрешениям по умолчанию, предоставляемым создателям хранилища.

Управление доступом к хранилищу ключей

Прежде чем настроить проверенный идентификатор, необходимо предоставить доступ к Key Vault. Это определяет, может ли указанный администратор выполнять операции с секретами и ключами Key Vault. Предоставьте разрешения на доступ к хранилищу ключей как для учетной записи администратора проверенного идентификатора, так и для созданного субъекта API службы запросов.

Когда вы создадите хранилище ключей, служба "Проверяемые удостоверения" создаст набор ключей, используемых для обеспечения безопасности сообщений. Эти ключи хранятся в Key Vault. Этот набор ключей используется для подписывания, обновления и восстановления проверяемых удостоверений.

Настройка проверяемого удостоверения

Screenshot that shows how to set up Verifiable Credentials.

Чтобы настроить проверяемое удостоверение, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум глобальный Администратор istrator.

  2. Выберите проверенный идентификатор.

  3. В меню слева выберите "Настройка".

  4. В среднем меню выберите "Настройка параметров организации".

  5. Настройте организацию, предоставив следующие сведения.

    1. Название организации: введите имя для ссылки на бизнес в проверенных идентификаторах. Ваши клиенты не видят это имя.

    2. Доверенный домен: введите домен, добавленный в конечную точку службы в документе децентрализованного удостоверения (DID). Домен является привязкой вашего пользователя к какому-то важному факту о вашей компании, о котором пользователь может знать. Microsoft Authenticator и другие цифровые кошельки используют эти сведения, чтобы проверить, связан ли ваш DID с вашим доменом. Если кошелек может проверить DID, он отображает символ "проверено". Если кошельку не может проверить DID, он информирует пользователя о том, что учетные данные выданы организацией, которую ему не удалось проверить.

      Внимание

      Домен не может являться перенаправлением. В противном случае DID нельзя привязать к домену. Убедитесь, что для домена используется протокол HTTPS. Например: https://did.woodgrove.com.

    3. Хранилище ключей: выберите хранилище ключей, которое создали ранее.

  6. Выберите Сохранить.

    Screenshot that shows how to set up Verifiable Credentials first step.

Регистрация приложения в идентификаторе Microsoft Entra

Приложению необходимо получить маркеры доступа, когда требуется вызвать проверяемый идентификатор Microsoft Entra, чтобы оно могло выдать или проверить учетные данные. Чтобы получить маркеры доступа, вам нужно зарегистрировать приложение и предоставить разрешение на использование API службы запросов проверяемых идентификаторов. Например, для веб-приложения выполните следующие действия:

  1. Войдите в Центр администрирования Microsoft Entra как минимум глобальный Администратор istrator.

  2. Выберите Microsoft Entra ID.

  3. В разделе "Приложения" выберите регистрацию Регистрация приложений> New.

    Screenshot that shows how to select a new application registration.

  4. Введите отображаемое имя приложения. Например, verifiable-credentials-app.

  5. Для параметра Поддерживаемые типы учетных записей выберите Учетные записи только в этом каталоге организации (только каталог по умолчанию — один клиент)

  6. Выберите Зарегистрировать, чтобы создать приложение.

    Screenshot that shows how to register the verifiable credentials app.

Предоставление разрешений на получение маркеров доступа

На этом шаге вы предоставите разрешения субъекту-службе запросов службе проверяемых удостоверений.

Чтобы добавить требуемые разрешения:

  1. Оставайтесь на странице сведений о приложении verifiable-credentials-app. Выберите Разрешения API>Добавить разрешение.

    Screenshot that shows how to add permissions to the verifiable credentials app.

  2. Выберите API-интерфейсы, которые использует моя организация.

  3. Найдите субъект-службу запроса проверяемых учетных данных и выберите его.

    Screenshot that shows how to select the service principal.

  4. Выберите Разрешение приложения и разверните узел VerifiableCredential.Create.All.

    Screenshot that shows how to select the required permissions.

  5. Выберите Добавить разрешения.

  6. Выберите Предоставить согласие администратора для <имя арендатора>.

Вы можете предоставить разрешения на выдачу и презентацию отдельно, если вы предпочитаете разделить область на разные приложения.

Screenshot that shows how to select granular permissions for issuance or presentation.

Регистрация децентрализованного идентификатора и проверка владения доменом

После настройки Azure Key Vault и службы есть ключ подписывания, необходимо выполнить шаг 2 и 3 в настройке.

Screenshot that shows how to set up Verifiable Credentials step 2 and 3.

  1. Войдите в Центр администрирования Microsoft Entra как минимум глобальный Администратор istrator.
  2. Выберите проверяемые учетные данные.
  3. В меню слева выберите "Настройка".
  4. В среднем меню выберите "Зарегистрировать децентрализованный идентификатор", чтобы зарегистрировать документ DID, как описано в статье "Как зарегистрировать децентрализованный идентификатор для did:web". Прежде чем продолжить проверку домена, необходимо выполнить этот шаг. Если вы выбрали :ion в качестве системы доверия, этот шаг следует пропустить.
  5. В среднем меню выберите "Проверить владение доменом" , чтобы проверить ваш домен, как по инструкциям в статье "Проверка владения доменом" для децентрализованного идентификатора (DID)

После успешного выполнения шагов проверки и получения зеленых проверка меток на всех трех шагах вы будете готовы продолжить работу со следующим руководством.

Следующие шаги