Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
V tomto článku si projdeme kroky potřebné k ověření vlastnictví názvu domény, který používáte pro decentralizovaný identifikátor (DID).
Požadavky
Pokud chcete ověřit vlastnictví domény u vašeho DID, musíte:
- Dokončete Začátečnický balíček a následující sadu tutoriálů.
Ověření vlastnictví domény a distribuce souboru did-configuration.json
Doména, kterou ověříte vlastnictví vašeho DID, je definována v části přehledu. Doména musí být doménou pod vaší kontrolou a měla by být ve formátu https://www.example.com/
.
V Centru pro správu Microsoft Entra zvolte stránku Ověřené ID .
Vyberte Přehled a v této části zvolte Ověřit vlastnictví domény.
Vyberte Ověřit pro doménu.
Zkopírujte nebo stáhněte
did-configuration.json
soubor.Hostujte
did-configuration.json
soubor v zadaném umístění. Pokud jste například zadali doménuhttps://www.example.com
, musí být soubor hostován nahttps://www.example.com/.well-known/did-configuration.json
adrese . V adrese URL nemůže být žádná jiná cesta kromě.well-known path
jména.Pokud je
did-configuration.json
veřejně dostupná na.well-known/did-configuration.json
adrese URL, ověřte ji výběrem Aktualizovat stav ověření.Otestujte vydávání nebo prezentaci pomocí microsoft Authenticatoru a ověřte je. Ujistěte se, že je zapnuté nastavení Upozornění na nebezpečné aplikace v aplikaci Authenticator. Nastavení je zapnuto ve výchozím stavu.
Jak můžu ověřit, že ověření funguje?
Portál ověří, jestli je did-configuration.json
dostupný přes internet a platný, když vyberete Aktualizovat stav ověření. Authenticator nerespektuje přesměrování HTTP. Měli byste také zvážit ověření, že můžete požádat o tuto adresu URL v prohlížeči, abyste se vyhnuli chybám, jako je použití protokolu HTTPS, chybný certifikát TLS/SSL nebo adresa URL, která není veřejná. Pokud nelze soubor v prohlížeči nebo prostřednictvím nástrojů, jako je did-configuration.json
, anonymně vyžádat bez upozornění či chyb, portál nemůže dokončit krok curl
.
Poznámka:
Pokud máte problémy s aktualizací stavu ověření, můžete ho vyřešit spuštěním curl -Iv https://yourdomain.com/.well-known/did-configuration.json
na počítači s operačním systémem Ubuntu. Subsystém Windows pro Linux s Ubuntu funguje také. Pokud curl selže, aktualizace stavu ověření nebude fungovat.
Proč potřebuji ověřit vlastnictví domény našeho DID?
Funkce DID začíná jako identifikátor, který není ukotvený k existujícím systémům. Funkce DID je užitečná, protože ji uživatel nebo organizace může vlastnit a řídit ji. Pokud entita, která komunikuje s organizací, nezná "kdo", do které objektu DID patří, pak funkce DID není tak užitečná.
Propojení DID s doménou řeší počáteční problém důvěryhodnosti tím, že jakékoli entitě umožní kryptograficky ověřit vztah mezi DID a doménou.
Jak ověřené ID propojuje identifikátory DID a domény?
Ověřené ID se řídí dobře známou specifikací konfigurace DID a vytvoří propojení. Služba pro ověřitelné přihlašovací údaje propojuje vaše DID a doménu. Služba obsahuje informace o doméně, které jste zadali ve svém DID, a vygeneruje známý konfigurační soubor:
Ověřené ID používá informace o doméně, které zadáte během instalace organizace, k zápisu koncového bodu služby v dokumentu DID. Všechny strany, které komunikují s vaším DID, uvidí doménu, ke které vaše DID prohlašuje, že je přidružena.
"service": [ { "id": "#linkeddomains", "type": "LinkedDomains", "serviceEndpoint": { "origins": [ "https://verifiedid.contoso.com/" ] } } ]
Ověřitelná služba přihlašovacích údajů v ověřeném ID generuje kompatibilní dobře známý konfigurační prostředek, který musíte hostovat ve své doméně. Konfigurační soubor obsahuje ověřitelné přihlašovací údaje typu
DomainLinkageCredential
, vydané samotným držitelem, podepsané pomocí vašeho DID, které mají původ ve vaší doméně. Tady je příklad konfiguračního souboru uloženého na adrese URL kořenové domény.{ "@context": "https://identity.foundation/.well-known/contexts/did-configuration-v0.0.jsonld", "linked_dids": [ "jwt..." ] }
Uživatelská zkušenost v peněžence
Když uživatel prochází tokem vystavování nebo prezentuje ověřitelné přihlašovací údaje, měl by vědět něco o organizaci a její DID. Authenticator ověří vztah DID s doménou v dokumentu DID a v závislosti na výsledku prezentuje uživatelům dvě různé možnosti.
Ověřená doména
Než Authenticator zobrazí ikonu Ověřená , musí být splněno několik bodů:
- DID podepisující vlastní požadavek na OpenID (SIOP) musí mít koncový bod služby pro propojenou doménu.
- Kořenová doména nepoužívá přesměrování a používá HTTPS.
- Doména uvedená v dokumentu DID má přeložitelný dobře známý prostředek.
- Dobře známé přihlašovací údaje prostředku jsou podepsané stejným identifikátorem DID, který se použil k podepsání SIOP, který Authenticator použil k spuštění toku.
Pokud jsou všechny výše uvedené body pravdivé, authenticator zobrazí ověřenou stránku a zahrne ověřenou doménu.
Neověřená doména
Pokud některý z předchozích bodů není pravdivý, Authenticator zobrazí upozornění přes celou stránku, že doména není ověřená. Uživatel je varován, že je uprostřed potenciální rizikové transakce a měl by pokračovat s opatrností. Možná se rozhodli tuto trasu provést, protože:
- FUNKCE DID není ukotvená k doméně.
- Konfigurace nebyla správně nastavena.
- DID, s níž uživatel interaguje, může být škodlivá a nemůže prokázat, že vlastní propojenou doménu.
Je velmi důležité propojit svůj DID s doménou, která je rozpoznatelná pro uživatele.
Jak můžu aktualizovat propojenou doménu na svém DID?
V systému důvěryhodnosti webu není aktualizace propojené domény podporovaná. Musíte se odhlásit a znovu se zaregistrovat.
Propojená doména je pro vývojáře jednoduchá
Poznámka:
Aby registrace DID byla úspěšná, musí být dokument DID veřejně dostupný.
Nejjednodušší způsob, jak vývojář získat doménu pro propojenou doménu, je použít funkci statického webu Azure Storage. Nemůžete řídit, co je název domény, s tím rozdílem, že obsahuje název vašeho účtu úložiště jako součást názvu hostitele.
Rychlé nastavení domény pro propojenou doménu:
- Vytvořte si účet úložiště. Během vytváření vyberte StorageV2 (účet pro obecné účely v2) a místně redundantní úložiště (LRS).
- Přejděte do účtu úložiště a v nabídce úplně vlevo vyberte Statický web a povolte statický web. Pokud položku nabídky Statický web nevidíte, nevytvořili jste účet úložiště V2 .
- Zkopírujte název primárního koncového bodu, který se zobrazí po uložení. Tato hodnota je název vaší domény. Vypadá to jako
https://<your-storageaccountname>.z6.web.core.windows.net/
.
Když je čas nahrát did-configuration.json
soubor:
- Přejděte do účtu úložiště a v nabídce úplně vlevo vyberte Kontejnery . Pak vyberte kontejner s názvem $web.
- Vyberte Nahrát a vyberte ikonu složky, aby se soubor našel.
- Než nahrajete, otevřete část Upřesnit a do textového pole Nahrát do složky zadejte .well-known.
- Nahrajte soubor.
Teď máte soubor veřejně dostupný na adrese URL, která vypadá nějak takto https://<your-storageaccountname>.z6.web.core.windows.net/.well-known/did-configuration.json
.