Sdílet prostřednictvím

Pokročilé nastavení Ověřené ID Microsoft Entra

  • Článek

Nastavení rozšířeného ověřeného ID je klasický způsob nastavení ověřeného ID, kde vy jako správce musíte nakonfigurovat Službu Azure KeyVault, postarat se o registraci decentralizovaného ID a ověření domény.

V tomto kurzu se dozvíte, jak pomocí rozšířeného nastavení nakonfigurovat tenanta Microsoft Entra tak, aby používal ověřitelnou službu přihlašovacích údajů.

Konkrétně se naučíte:

  • Vytvořit instanci služby Key Vault.
  • Nakonfigurujte službu Ověření ID pomocí rozšířeného nastavení.
  • Registrace aplikace v Microsoft Entra ID.

Následující diagram znázorňuje architekturu ověřeného ID a komponentu, kterou nakonfigurujete.

Diagram znázorňující architekturu Ověřené ID Microsoft Entra

Požadavky

Vytvořte trezor klíčů.

Poznámka:

Služba Azure Key Vault, kterou používáte k nastavení služby Ověřené ID, musí mít pro svůj model oprávnění zásady přístupu ke službě Key Vault. V současné době platí omezení, pokud má Key Vault řízení přístupu na základě role v Azure.

Azure Key Vault je cloudová služba, která umožňuje zabezpečenou správu úložiště a přístupu tajných kódů a klíčů. Služba Ověřené ID ukládá veřejné a privátní klíče ve službě Azure Key Vault. Tyto klíče slouží k podepisování a ověřování přihlašovacích údajů.

Pokud nemáte k dispozici instanci služby Azure Key Vault, pomocí těchto kroků vytvořte trezor klíčů pomocí webu Azure Portal, služba Azure Key Vault, kterou používáte k nastavení služby Ověřené ID, musí mít pro svůj model oprávnění zásady přístupu služby Key Vault místo řízení přístupu na základě role Azure, které je aktuálně výchozí při vytváření služby Azure Key Vault.

Poznámka:

Ve výchozím nastavení je účet, který vytvoří trezor, jediným účtem s přístupem. Služba Ověřené ID potřebuje přístup k trezoru klíčů. Musíte ověřit trezor klíčů, který umožňuje účtu použitému během konfigurace vytvářet a odstraňovat klíče. Účet použitý během konfigurace také vyžaduje oprávnění k podepsání, aby mohl vytvořit vazbu domény pro ověřené ID. Pokud při testování používáte stejný účet, upravte výchozí zásady tak, aby udělily oprávnění k podpisu účtu, kromě výchozích oprávnění udělených tvůrcům trezoru.

Správa přístupu k trezoru klíčů

Než budete moct nastavit ověřené ID, musíte poskytnout přístup ke službě Key Vault. Tím se definuje, jestli může zadaný správce provádět operace s tajnými klíči a klíči služby Key Vault. Zadejte přístupová oprávnění k vašemu trezoru klíčů pro účet správce ověřeného ID i pro instanční objekt rozhraní API požadavku, který jste vytvořili.

Po vytvoření trezoru klíčů vygenerují ověřitelné přihlašovací údaje sadu klíčů sloužících k zajištění zabezpečení zpráv. Tyto klíče jsou uložené ve službě Key Vault. Pro podepisování, aktualizaci a obnovení ověřitelných přihlašovacích údajů použijete sadu klíčů.

Nastavení ověřeného ID

Snímek obrazovky, který ukazuje, jak nastavit ověřitelné přihlašovací údaje

Pokud chcete nastavit ověřené ID, postupujte takto:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako globální správce.

  2. Vyberte Ověřené ID.

  3. V nabídce vlevo vyberte Instalační program.

  4. V prostřední nabídce vyberte Konfigurovat nastavení organizace.

  5. Nastavte svoji organizaci tak, že poskytnete následující informace:

    1. Název organizace: Zadejte název, který bude odkazovat na vaši firmu v rámci ověřených ID. Vaši zákazníci tento název nevidí.

    2. Důvěryhodná doména: Do dokumentu decentralizované identity (DID) zadejte doménu přidanou do koncového bodu služby. Doména je to, co sváže vaše DID s něčím hmatatelným, co by uživatel mohl vědět o vaší firmě. Microsoft Authenticator a další digitální peněženky používají tyto informace k ověření, že je váš DID propojený s vaší doménou. Pokud peněženka může ověřit DID, zobrazí ověřený symbol. Pokud peněženka nemůže ověřit DID, informuje uživatele, že přihlašovací údaje vydala organizace, kterou nemohla ověřit.

      Důležité

      Doména nemůže být přesměrování. V opačném případě není možné propojit DOMÉNU a DID. Ujistěte se, že pro doménu používáte HTTPS. Například: https://did.woodgrove.com.

    3. Trezor klíčů: Vyberte trezor klíčů, který jste vytvořili dříve.

  6. Zvolte Uložit.

    Snímek obrazovky, který ukazuje, jak nastavit ověřitelné přihlašovací údaje jako první krok

Registrace aplikace v Microsoft Entra ID

Aplikace potřebuje získat přístupové tokeny, když chce volat do Ověřené ID Microsoft Entra, aby mohl vydávat nebo ověřovat přihlašovací údaje. Pokud chcete získat přístupové tokeny, musíte zaregistrovat aplikaci a udělit rozhraní API oprávnění pro službu žádosti o ověřené ID. Například pro webovou aplikaci použijte následující kroky:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako globální správce.

  2. Vyberte Microsoft Entra ID.

  3. V části Aplikace vyberte Registrace aplikací> Nová registrace.

    Snímek obrazovky, který ukazuje, jak vybrat novou registraci aplikace

  4. Zadejte zobrazovaný název aplikace. Příklad: ověřitelná-credentials-app.

  5. U podporovaných typů účtů vyberte Pouze účty v tomto adresáři organizace (pouze výchozí adresář – jeden tenant).

  6. Výběrem možnosti Registrovat aplikaci vytvořte.

    Snímek obrazovky, který ukazuje, jak zaregistrovat ověřitelnou aplikaci s přihlašovacími údaji

Udělení oprávnění pro získání přístupových tokenů

V tomto kroku udělíte oprávnění ověřitelnému instančnímu objektu žádosti o přihlašovací údaje.

Chcete-li přidat požadovaná oprávnění, postupujte takto:

  1. Zůstaňte na stránce s podrobnostmi o ověřitelných přihlašovacích údajích aplikace . Vyberte Oprávnění rozhraní API>Přidat oprávnění.

    Snímek obrazovky, který ukazuje, jak přidat oprávnění do ověřitelné aplikace s přihlašovacími údaji

  2. Vyberte Rozhraní API, která používá moje organizace.

  3. Vyhledejte instanční objekt žádosti o ověřitelné přihlašovací údaje a vyberte ho.

    Snímek obrazovky znázorňující výběr instančního objektu

  4. Zvolte Oprávnění aplikace a rozbalte Položku OvěřitiableCredential.Create.All.

    Snímek obrazovky, který ukazuje, jak vybrat požadovaná oprávnění

  5. Vyberte Přidat oprávnění.

  6. Vyberte Udělení souhlasu správce pro <název> vašeho tenanta.

Pokud dáváte přednost oddělení oborů různým aplikacím, můžete udělovat oprávnění k vystavování a prezentaci samostatně.

Snímek obrazovky, který ukazuje, jak vybrat podrobná oprávnění pro vystavování nebo prezentaci

Registrace decentralizovaného ID a ověření vlastnictví domény

Jakmile je služba Azure Key Vault nastavená a služba má podpisový klíč, musíte v nastavení dokončit krok 2 a 3.

Snímek obrazovky, který ukazuje, jak nastavit ověřitelné přihlašovací údaje krok 2 a 3

  1. Přihlaste se do Centra pro správu Microsoft Entra jako globální správce.
  2. Vyberte Ověřitelné přihlašovací údaje.
  3. V nabídce vlevo vyberte Instalační program.
  4. V prostřední nabídce vyberte Zaregistrovat decentralizované ID a zaregistrujte dokument DID podle pokynů v článku Postup registrace decentralizovaného ID pro did:web. Než budete moct pokračovat v ověření domény, musíte tento krok dokončit. Pokud jste jako systém důvěryhodnosti vybrali funkci did:ion, měli byste tento krok přeskočit.
  5. V prostřední nabídce vyberte Ověřit vlastnictví domény a podle pokynů v článku Ověření vlastnictví domény u decentralizovaného identifikátoru (DID)

Jakmile úspěšně dokončíte ověřovací kroky a u všech tří kroků budete mít zelené značky zaškrtnutí, budete připraveni pokračovat k dalšímu kurzu.

Další kroky