進階 Microsoft Entra 驗證識別碼 設定
進階驗證標識碼設定是設定已驗證標識碼的傳統方式,身為系統管理員必須設定 Azure KeyVault、負責註冊您的分散式標識碼和驗證網域。
在本教學課程中,您將瞭解如何使用進階設定來設定您的 Microsoft Entra 租使用者,以使用可驗證的認證服務。
具體來說,您會瞭解如何:
- 建立 Azure 金鑰保存庫執行個體。
- 使用進階設定來設定您是已驗證的標識元服務。
- 在 Microsoft Entra ID 中註冊應用程式。
下圖說明您設定的已驗證識別碼架構和元件。
必要條件
- 您需要具有作用中訂用帳戶的 Azure 租使用者。 如果您沒有 Azure 訂用帳戶, 請免費建立一個訂用帳戶。
- 請確定您具有您要設定之目錄的 全域管理員 或 驗證原則管理員 許可權。 如果您不是全域管理員,您需要 應用程式管理員 許可權才能完成應用程式註冊,包括授與管理員同意。
- 請確定您具有 Azure 訂用帳戶的參與者角色,或您要在其中部署 Azure 金鑰保存庫 的資源群組。
- 請確定您為 金鑰保存庫 提供訪問許可權。 如需詳細資訊,請參閱使用 Azure 角色型訪問控制提供 金鑰保存庫 密鑰、憑證和秘密的存取權。
建立金鑰保存庫
Azure 金鑰保存庫 是雲端服務,可讓您安全地儲存和存取秘密和密鑰的存取管理。 [已驗證的標識符] 服務會將公用和私鑰儲存在 Azure 金鑰保存庫 中。 這些金鑰可用來簽署和驗證認證。
如果您沒有可用的 Azure 金鑰保存庫 實體,請遵循下列步驟,使用 Azure 入口網站 建立密鑰保存庫。
注意
根據預設,建立保存庫的帳戶是唯一具有存取權的帳戶。 [已驗證的識別碼] 服務需要存取金鑰保存庫。 您必須 驗證金鑰保存庫,讓設定期間使用的帳戶能夠建立和刪除密鑰。 在設定期間使用的帳戶也需要許可權才能簽署,以便建立已驗證標識符的網域系結。 如果您在測試時使用相同的帳戶,請修改默認原則以授與帳戶登入許可權,以及授與保存庫建立者的默認許可權。
管理金鑰保存庫的存取權
您必須先提供 金鑰保存庫 存取權,才能設定 [已驗證的標識符]。 這會定義指定的系統管理員是否可以對 金鑰保存庫 秘密和密鑰執行作業。 針對已驗證的標識碼系統管理員帳戶,以及您建立的要求服務 API 主體,提供密鑰保存庫的訪問許可權。
建立金鑰保存庫之後,可驗證認證會產生一組用來提供訊息安全性的密鑰。 這些金鑰會儲存在 金鑰保存庫 中。 您可以使用金鑰集來簽署、更新及復原可驗證的認證。
設定已驗證的識別碼
若要設定已驗證的識別碼,請遵循下列步驟:
以至少全域 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
選取 [ 已驗證的標識符]。
從左側功能表中,選取 [ 設定]。
從中間功能表中,選取 [ 設定組織設定]。
提供下列資訊,以設定您的組織:
組織名稱:輸入名稱,以參考已驗證標識碼內的公司。 您的客戶看不到此名稱。
信任網域:輸入已新增至分散式身分識別 (DID) 文件中服務端點的網域。 網域可將您的 DID 繫結至使用者可能對您的公司有所了解的有形事物。 Microsoft Authenticator 和其他數位錢包會使用這項資訊來驗證您的 DID 是否已連結至您的網域。 如果錢包可以驗證 DID,則會顯示已驗證的符號。 如果錢包無法驗證 DID,則會通知使用者認證是由無法驗證的組織所簽發。
重要
網域不能是重新導向。 否則,無法連結 DID 和網域。 請務必針對網域使用 HTTPS。 例如:
https://did.woodgrove.com
。金鑰保存庫:選取您稍早建立的金鑰保存庫。
選取 [儲存]。
在 Microsoft Entra 識別碼中註冊應用程式
當您的應用程式想要呼叫 Microsoft Entra 驗證識別碼 時,需要取得存取令牌,才能發出或驗證認證。 若要取得存取令牌,您必須註冊應用程式,並授與已驗證標識碼要求服務的 API 許可權。 例如,針對 Web 應用程式使用下列步驟:
以至少全域 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
選取 [Microsoft Entra ID]。
在 [應用程式] 底下>,選取 [應用程式註冊[新增註冊]。
輸入應用程式的顯示名稱。 例如: verifiable-credentials-app。
針對 [支持的帳戶類型],選取 [僅限此組織目錄中的帳戶] (僅限默認目錄 - 單一租使用者)。
選取 [暫存器] 以建立應用程式。
授與許可權以取得存取令牌
在此步驟中,您會將許可權授與可驗證認證 服務要求 服務主體。
若要新增必要的許可權,請遵循下列步驟:
留在 verifiable-credentials-app 應用程式詳細數據頁面中。 選取 API 權限>新增權限。
選取我組織使用的 API。
搜尋可驗證認證 服務要求 服務主體,然後加以選取。
選擇 [應用程式許可權],然後展開 [VerifiableCredential.Create.All]。
選取新增權限。
選取 [ 授與管理員同意] 以取得 <租用戶名稱>。
如果您想要將範圍區隔到不同的應用程式,您可以選擇個別授與發行和簡報許可權。
註冊分散式標識碼並驗證網域擁有權
在設定 Azure 金鑰保存庫,且服務具有簽署金鑰之後,您必須完成設定中的步驟 2 和 3。
- 以至少全域 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
- 選取 [可驗證的認證]。
- 從左側功能表中,選取 [ 設定]。
- 從中間功能表中,選取 [註冊分散式標識符] 以註冊您的 DID 檔,如如何為 did:web 註冊分散式識別碼一文中的指示。 您必須先完成此步驟,才能繼續驗證網域。 如果您選取了 did:ion 作為信任系統,您應該略過此步驟。
- 從中間功能表中,選取 [ 驗證網域擁有權 ] 以驗證您的網域,如驗證網域擁有權至分散式標識元一文 中的指示(DID)
一旦您成功完成驗證步驟,並在這三個步驟上都有綠色複選標記,您就可以繼續進行下一個教學課程。
下一步
- 瞭解如何從 Web 應用程式發出 Microsoft Entra 驗證識別碼 認證。
- 瞭解如何驗證 Microsoft Entra 驗證識別碼 認證。