Propojení domény s decentralizovaným identifikátorem (DID)

Poznámka

Ověřitelné přihlašovací údaje Azure Active Directory jsou teď Ověřené ID Microsoft Entra a jsou součástí Microsoft Entra řady produktů. Přečtěte si další informace o Microsoft Entra rodině řešení identit a začněte v jednotném centru pro správu Microsoft Entra.

Požadavky

Pokud chcete propojit did s vaší doménou, musíte mít dokončené následující:

OBJEKT DID začíná jako identifikátor, který není ukotvený k existujícím systémům. DID je užitečné, protože ho může vlastnit a řídit uživatel nebo organizace. Pokud entita, která komunikuje s organizací, neví, komu did patří, pak did není tak užitečný.

Propojení did s doménou vyřeší počáteční problém důvěryhodnosti tím, že umožní jakékoli entitě kryptograficky ověřit vztah mezi DID a doménou.

Kdy potřebujete aktualizovat doménu v did?

V případě, že se změní doména přidružená k vaší společnosti, budete také muset změnit doménu v dokumentu DID. Doménu v did můžete aktualizovat přímo v okně Ověřené ID Microsoft Entra v Azure Portal.

Při vytváření odkazu postupujeme podle dobře známé specifikace konfigurace DID . Služba ověřitelných přihlašovacích údajů propojuje vaše did a doménu. Služba zahrnuje informace o doméně, které jste zadali v did, a vygeneruje dobře známý konfigurační soubor:

  1. Azure AD použije informace o doméně, které zadáte při nastavování organizace, k zápisu koncového bodu služby v dokumentu DID. Všechny strany, které komunikují s vaším nástrojem DID, uvidí doménu, ke které je vaše funkce DID přidružená.

    "service": [
      {
        "id": "#linkeddomains",
        "type": "LinkedDomains",
        "serviceEndpoint": {
          "origins": [
            "https://www.contoso.com/"
          ]
        }
      }
    ]
    
  2. Ověřitelná služba přihlašovacích údajů v Azure AD vygeneruje vyhovující dobře známý konfigurační prostředek, který můžete hostovat ve své doméně. Konfigurační soubor obsahuje ověřitelné přihlašovací údaje credentialType 'DomainLinkageCredential' podepsané s vaším identifikátorem DID, které mají původ vaší domény. Tady je příklad konfiguračního dokumentu, který je uložený na adrese URL kořenové domény.

    {
      "@context": "https://identity.foundation/.well-known/contexts/did-configuration-v0.0.jsonld",
      "linked_dids": [
        "jwt..."
      ]
    }
    

Jakmile budete mít dobře známý konfigurační soubor, musíte soubor zpřístupnit pomocí názvu domény, který jste zadali při povolení Azure AD pro ověřitelné přihlašovací údaje.

  • Hostujte dobře známý konfigurační soubor DID v kořenovém adresáři domény.
  • Nepoužívejte přesměrování.
  • K distribuci konfiguračního souboru použijte https.

Důležité

Microsoft Authenticator nedodržuje přesměrování, zadaná adresa URL musí být konečná cílová adresa URL.

Uživatelské prostředí v peněžence

Když uživatel prochází tokem vystavování nebo prezentuje ověřitelné přihlašovací údaje, měl by něco vědět o organizaci a jejím did. Microsoft Authenticator ověří vztah DID s doménou v dokumentu DID a nabídne uživatelům dvě různá prostředí v závislosti na výsledku.

Ověřená doména

Než Microsoft Authenticator zobrazí ikonu Ověřeno, musí být splněno několik věcí:

  • Podepisující požadavek SIOP (Self-vystavené open ID) musí mít koncový bod služby pro propojenou doménu.
  • Kořenová doména nepoužívá přesměrování a používá https.
  • Doména uvedená v dokumentu DID má přeložitelný dobře známý prostředek.
  • Ověřitelné přihlašovací údaje dobře známého prostředku jsou podepsané stejným identifikátorem DID, který se použil k podepsání SIOP, který Microsoft Authenticator použil k zahájení toku.

Pokud jsou všechny výše uvedené hodnoty pravdivé, pak Microsoft Authenticator zobrazí ověřenou stránku a zahrne doménu, která byla ověřena.

nová žádost o oprávnění

Neověřená doména

Pokud některá z výše uvedených skutečností není pravdivá, Microsoft Authenticator zobrazí uživateli upozornění na celou stránku s oznámením, že doména není ověřená. Uživatel je upozorněn, že se nachází uprostřed potenciálně rizikové transakce, a měl by postupovat opatrně. Tuto trasu jsme zvolili z těchto důvodů:

  • Položka DID není ukotvená k doméně.
  • Konfigurace nebyla správně nastavena.
  • Hodnota DID, se kterou uživatel komunikuje, může být škodlivá a ve skutečnosti nemůže prokázat, že je vlastníkem propojené domény.

Je velmi důležité, abyste svůj DID propojili s doménou rozpoznatelnou pro uživatele.

upozornění na neověřenou doménu na obrazovce pro přidání přihlašovacích údajů

Jak aktualizujete propojenou doménu ve vašem did?

  1. V Azure Portal přejděte na Ověřené ID.
  2. Na levé straně stránky vyberte Registrace.
  3. Do pole Doména zadejte nový název domény.
  4. Vyberte Publikovat.

Zvolte tlačítko publikovat, aby se změny změnily na

Pokud je systém důvěryhodnosti ION, může trvat až dvě hodiny, než se dokument DID aktualizuje v síti ION informacemi o nové doméně. Před publikováním změn nejsou v doméně možné žádné další změny. Pokud je systém důvěryhodnosti Web, změny budou veřejné, jakmile na webovém serveru nahradíte soubor did-configuration.json.

Poznámka

Pokud jsou vaše změny úspěšné, budete muset ověřit nově přidanou doménu.

Jakmile se dokončí proces publikování, musíte doménu ověřit.

Musím počkat na aktualizaci dokumentu DID, aby se ověřily nově přidané domény?

Ano. Než soubor config.json publikujete pomocí hostitelského umístění vaší domény, musíte počkat, až se soubor config.json aktualizuje.

Návody vědět, kdy se aktualizace propojené domény úspěšně dokončila?

Pokud je systém důvěryhodnosti ION, po publikování změn domény do ion se v části domény ve službě Ověřené ID Microsoft Entra zobrazí stav Publikováno a vy byste měli být schopni v doméně provádět nové změny. Pokud je systém důvěryhodnosti Web, změny budou veřejné, jakmile na webovém serveru nahradíte soubor did-configuration.json.

Důležité

Během publikování nejsou možné žádné změny vaší domény.

Distribuce dobře známé konfigurace

  1. V Azure Portal přejděte na stránku Ověřené ID. Vyberte Registrace a zvolte Ověřit pro doménu.

  2. Stáhněte si soubor did-configuration.json zobrazený na následujícím obrázku.

    Stáhnout dobře známou konfiguraci

  3. Zkopírujte hodnotu linked_did (JWT), otevřete https://jwt.ms/, vložte JWT a ověřte správnost domény.

  4. Zkopírujte soubor DID a otevřete Průzkumníka sítě ION , abyste ověřili, že je v dokumentu DID zahrnuta stejná doména.

  5. Hostujte dobře známý konfigurační prostředek v zadaném umístění. Příklad: https://www.example.com/.well-known/did-configuration.json

  6. Otestujte vystavování nebo prezentaci pomocí Microsoft Authenticatoru a ověřte ho. Ujistěte se, že je v authenticatoru zapnuté nastavení Upozorňovat na nebezpečné aplikace.

Poznámka

Ve výchozím nastavení je zapnutá možnost Upozorňovat na nebezpečné aplikace.

Blahopřejeme, teď jste nastartovali web důvěryhodnosti s vaším did!

Jak můžu ověřit, že ověření funguje?

Portál ověří, že did-configuration.json je dostupný a správný, když kliknete na tlačítko Aktualizovat stav ověření . Měli byste také zvážit ověření, že můžete požádat o tuto adresu URL v prohlížeči, abyste se vyhnuli chybám, jako je nepoužívat https, chybný certifikát SSL nebo že adresa URL není veřejná. did-configuration.json Pokud soubor nelze vyžádat anonymně v prohlížeči nebo prostřednictvím nástrojů, jako curlje , bez upozornění nebo chyb, nebude portál moct dokončit ani krok stavu ověření aktualizace.

Poznámka

Pokud máte potíže s aktualizací stavu ověření, můžete je vyřešit spuštěním curl -Iv https://yourdomain.com/.well-known/did-configuration.json na počítači s operačním systémem Ubuntu. Subsystém Windows pro Linux s Ubuntu bude také fungovat. Pokud funkce curl selže, aktualizace stavu ověření nebude fungovat.

Propojená doména usnadňuje vývojářům

Nejjednodušším způsobem, jak může vývojář získat doménu pro propojenou doménu, je použít funkci statického webu služby Azure Storage. Nemůžete určit, jaký bude název domény, kromě toho, že bude obsahovat název vašeho účtu úložiště jako součást názvu hostitele.

Pokud chcete rychle nastavit doménu, která se má používat pro propojenou doménu, postupujte následovně:

  1. Vytvořte účet Azure Storage. Při vytváření účtu úložiště zvolte StorageV2 (účet pro obecné účely v2) a Místně redundantní úložiště (LRS).
  2. Přejděte na tento účet úložiště a v nabídce vlevo vyberte Statický web a povolte statický web. Pokud položku nabídky Statický web nevidíte, nevytvořili jste účet úložiště verze 2 .
  3. Zkopírujte název primárního koncového bodu, který se zobrazí po uložení. Tato hodnota je název vaší domény. Vypadá nějak takto https://<your-storageaccountname>.z6.web.core.windows.net/: .

Až přijde čas nahrát did-configuration.json soubor, proveďte následující kroky:

  1. Přejděte na tento účet úložiště a v nabídce vlevo vyberte Kontejnery . Pak vyberte kontejner s názvem $web.
  2. Vyberte Nahrát a výběrem ikony složky vyhledejte soubor.
  3. Před nahráním otevřete část Upřesnit a zadejte .well-known do textového pole Nahrát do složky .
  4. Nahrajte soubor.

Teď máte soubor veřejně dostupný na adrese URL, která vypadá nějak takto https://<your-storageaccountname>.z6.web.core.windows.net/.well-known/did-configuration.json: .

Další kroky