Sdílet prostřednictvím

Ověřte vlastnictví domény u svého decentralizovaného identifikátoru

V tomto článku si projdeme kroky potřebné k ověření vlastnictví názvu domény, který používáte pro decentralizovaný identifikátor (DID).

Požadavky

Pokud chcete ověřit vlastnictví domény u vašeho DID, musíte:

Ověření vlastnictví domény a distribuce souboru did-configuration.json

Doména, kterou ověříte vlastnictví vašeho DID, je definována v části přehledu. Doména musí být doménou pod vaší kontrolou a měla by být ve formátu https://www.example.com/.

  1. V Centru pro správu Microsoft Entra zvolte stránku Ověřené ID .

  2. Vyberte Přehled a v této části zvolte Ověřit vlastnictví domény.

  3. Vyberte Ověřit pro doménu.

  4. Zkopírujte nebo stáhněte did-configuration.json soubor.

    Snímek obrazovky znázorňující stažení dobře známé konfigurace

  5. Hostujte did-configuration.json soubor v zadaném umístění. Pokud jste například zadali doménu https://www.example.com, musí být soubor hostován na https://www.example.com/.well-known/did-configuration.jsonadrese . V adrese URL nemůže být žádná jiná cesta kromě .well-known path jména.

  6. Pokud je did-configuration.json veřejně dostupná na .well-known/did-configuration.json adrese URL, ověřte ji výběrem Aktualizovat stav ověření.

    Snímek obrazovky znázorňující ověřenou dobře známou konfiguraci

  7. Otestujte vydávání nebo prezentaci pomocí microsoft Authenticatoru a ověřte je. Ujistěte se, že je zapnuté nastavení Upozornění na nebezpečné aplikace v aplikaci Authenticator. Nastavení je zapnuto ve výchozím stavu.

Jak můžu ověřit, že ověření funguje?

Portál ověří, jestli je did-configuration.json dostupný přes internet a platný, když vyberete Aktualizovat stav ověření. Authenticator nerespektuje přesměrování HTTP. Měli byste také zvážit ověření, že můžete požádat o tuto adresu URL v prohlížeči, abyste se vyhnuli chybám, jako je použití protokolu HTTPS, chybný certifikát TLS/SSL nebo adresa URL, která není veřejná. Pokud nelze soubor v prohlížeči nebo prostřednictvím nástrojů, jako je did-configuration.json, anonymně vyžádat bez upozornění či chyb, portál nemůže dokončit krok curl.

Poznámka:

Pokud máte problémy s aktualizací stavu ověření, můžete ho vyřešit spuštěním curl -Iv https://yourdomain.com/.well-known/did-configuration.json na počítači s operačním systémem Ubuntu. Subsystém Windows pro Linux s Ubuntu funguje také. Pokud curl selže, aktualizace stavu ověření nebude fungovat.

Proč potřebuji ověřit vlastnictví domény našeho DID?

Funkce DID začíná jako identifikátor, který není ukotvený k existujícím systémům. Funkce DID je užitečná, protože ji uživatel nebo organizace může vlastnit a řídit ji. Pokud entita, která komunikuje s organizací, nezná "kdo", do které objektu DID patří, pak funkce DID není tak užitečná.

Propojení DID s doménou řeší počáteční problém důvěryhodnosti tím, že jakékoli entitě umožní kryptograficky ověřit vztah mezi DID a doménou.

Ověřené ID se řídí dobře známou specifikací konfigurace DID a vytvoří propojení. Služba pro ověřitelné přihlašovací údaje propojuje vaše DID a doménu. Služba obsahuje informace o doméně, které jste zadali ve svém DID, a vygeneruje známý konfigurační soubor:

  1. Ověřené ID používá informace o doméně, které zadáte během instalace organizace, k zápisu koncového bodu služby v dokumentu DID. Všechny strany, které komunikují s vaším DID, uvidí doménu, ke které vaše DID prohlašuje, že je přidružena.

    "service": [
  {
    "id": "#linkeddomains",
    "type": "LinkedDomains",
    "serviceEndpoint": {
      "origins": [
        "https://verifiedid.contoso.com/"
      ]
    }
  }
]

  2. Ověřitelná služba přihlašovacích údajů v ověřeném ID generuje kompatibilní dobře známý konfigurační prostředek, který musíte hostovat ve své doméně. Konfigurační soubor obsahuje ověřitelné přihlašovací údaje typu DomainLinkageCredential, vydané samotným držitelem, podepsané pomocí vašeho DID, které mají původ ve vaší doméně. Tady je příklad konfiguračního souboru uloženého na adrese URL kořenové domény.

    {
  "@context": "https://identity.foundation/.well-known/contexts/did-configuration-v0.0.jsonld",
  "linked_dids": [
    "jwt..."
  ]
}

Uživatelská zkušenost v peněžence

Když uživatel prochází tokem vystavování nebo prezentuje ověřitelné přihlašovací údaje, měl by vědět něco o organizaci a její DID. Authenticator ověří vztah DID s doménou v dokumentu DID a v závislosti na výsledku prezentuje uživatelům dvě různé možnosti.

Ověřená doména

Než Authenticator zobrazí ikonu Ověřená , musí být splněno několik bodů:

  • DID podepisující vlastní požadavek na OpenID (SIOP) musí mít koncový bod služby pro propojenou doménu.
  • Kořenová doména nepoužívá přesměrování a používá HTTPS.
  • Doména uvedená v dokumentu DID má přeložitelný dobře známý prostředek.
  • Dobře známé přihlašovací údaje prostředku jsou podepsané stejným identifikátorem DID, který se použil k podepsání SIOP, který Authenticator použil k spuštění toku.

Pokud jsou všechny výše uvedené body pravdivé, authenticator zobrazí ověřenou stránku a zahrne ověřenou doménu.

Snímek obrazovky znázorňující novou žádost o oprávnění

Neověřená doména

Pokud některý z předchozích bodů není pravdivý, Authenticator zobrazí upozornění přes celou stránku, že doména není ověřená. Uživatel je varován, že je uprostřed potenciální rizikové transakce a měl by pokračovat s opatrností. Možná se rozhodli tuto trasu provést, protože:

  • FUNKCE DID není ukotvená k doméně.
  • Konfigurace nebyla správně nastavena.
  • DID, s níž uživatel interaguje, může být škodlivá a nemůže prokázat, že vlastní propojenou doménu.

Je velmi důležité propojit svůj DID s doménou, která je rozpoznatelná pro uživatele.

Snímek obrazovky s upozorněním na neověřenou doménu na obrazovce Přidat přihlašovací údaje

Jak můžu aktualizovat propojenou doménu na svém DID?

V systému důvěryhodnosti webu není aktualizace propojené domény podporovaná. Musíte se odhlásit a znovu se zaregistrovat.

Propojená doména je pro vývojáře jednoduchá

Poznámka:

Aby registrace DID byla úspěšná, musí být dokument DID veřejně dostupný.

Nejjednodušší způsob, jak vývojář získat doménu pro propojenou doménu, je použít funkci statického webu Azure Storage. Nemůžete řídit, co je název domény, s tím rozdílem, že obsahuje název vašeho účtu úložiště jako součást názvu hostitele.

Rychlé nastavení domény pro propojenou doménu:

  1. Vytvořte si účet úložiště. Během vytváření vyberte StorageV2 (účet pro obecné účely v2) a místně redundantní úložiště (LRS).
  2. Přejděte do účtu úložiště a v nabídce úplně vlevo vyberte Statický web a povolte statický web. Pokud položku nabídky Statický web nevidíte, nevytvořili jste účet úložiště V2 .
  3. Zkopírujte název primárního koncového bodu, který se zobrazí po uložení. Tato hodnota je název vaší domény. Vypadá to jako https://<your-storageaccountname>.z6.web.core.windows.net/.

Když je čas nahrát did-configuration.json soubor:

  1. Přejděte do účtu úložiště a v nabídce úplně vlevo vyberte Kontejnery . Pak vyberte kontejner s názvem $web.
  2. Vyberte Nahrát a vyberte ikonu složky, aby se soubor našel.
  3. Než nahrajete, otevřete část Upřesnit a do textového pole Nahrát do složky zadejte .well-known.
  4. Nahrajte soubor.

Teď máte soubor veřejně dostupný na adrese URL, která vypadá nějak takto https://<your-storageaccountname>.z6.web.core.windows.net/.well-known/did-configuration.json.

Další kroky