Teilen über


Erweiterte Einrichtung von Microsoft Entra Verified ID

Die erweiterte Einrichtung von Verified ID ist die klassische Methode zum Einrichten von Verified ID, bei der Sie als Administrator Azure KeyVault konfigurieren müssen, sich um die Registrierung Ihrer dezentralen ID und die Überprüfung Ihrer Domäne kümmern.

In diesem Tutorial erfahren Sie, wie Sie Ihren Microsoft Entra-Mandanten mit der erweiterten Einrichtung so konfigurieren, dass er diesen Nachweisdienst verwenden kann.

Dabei wird insbesondere Folgendes vermittelt:

  • Erstellen einer Azure Key Vault-Instanz
  • Konfigurieren Sie den Verified ID-Dienst mithilfe der erweiterten Einrichtung.
  • Registrieren Sie eine Anwendung in Microsoft Entra ID.

Das folgende Diagramm veranschaulicht die Microsoft Entra Verified ID-Architektur und die von Ihnen konfigurierte Komponente.

Diagramm zur Veranschaulichung der Microsoft Entra Verified ID-Architektur

Voraussetzungen

Erstellen eines Schlüsseltresors

Hinweis

Der Azure Key Vault, den Sie zum Einrichten des Verified ID-Dienstes verwenden, muss über Key Vault Access Policy für sein Berechtigungsmodell verfügen. Momentan gibt es eine Einschränkung, wenn der Schlüsseltresor über eine rollenbasierte Zugriffskontrolle von Azure verfügt

Azure Key Vault ist ein Clouddienst, der das sichere Speichern uns die Zugriffsverwaltung von Geheimnissen und Schlüsseln ermöglicht. Der Nachweisdienst speichert öffentliche und private Schlüssel in Azure Key Vault. Diese Schlüssel werden zum Signieren und Überprüfen von Nachweisen verwendet.

Wenn Sie keine Azure Key Vault-Instanz zur Verfügung haben, befolgen Sie diese Schritte, um einen Key Vault über das Azure-Portal zu erstellen. Der Azure Key Vault, den Sie zum Einrichten des Verified ID-Dienstes verwenden, muss als Berechtigungsmodell eine Key Vault-Zugriffsrichtlinie haben, anstatt der auf Azure-Rollen basierten Zugriffskontrolle, die momentan der Standard beim Erstellen eines Azure Key Vault ist.

Hinweis

Standardmäßig ist das Konto, mit dem ein Tresor erstellt wird, das einzige mit Zugriff. Der Dienst für überprüfbare Anmeldeinformationen benötigt Zugriff auf den Schlüsseltresor. Sie müssen Ihren Schlüsseltresor authentifizieren, damit das während der Konfiguration verwendete Konto Schlüssel erstellen und löschen kann. Das während der Konfiguration verwendete Konto erfordert außerdem die Berechtigung zum Signieren, um die Domänenbindung für Verified ID zu erstellen. Wenn Sie beim Testen dasselbe Konto verwenden, ändern Sie die Standardrichtlinie, um dem Konto die Berechtigung „Signieren“ zusätzlich zu den Standardberechtigungen zu erteilen, die Tresorerstellern erteilt wurden.

Verwalten des Zugriffs auf den Schlüsseltresor

Bevor Sie eine verifizierte ID einrichten können, müssen Sie Key Vault Zugriffgewähren. Dadurch wird festgelegt, ob ein bestimmter Administrator Vorgänge für Key Vault-Geheimnisse und -Schlüssel ausführen kann. Stellen Sie Zugriffsberechtigungen für Ihren Schlüsseltresor sowohl für das Administratorkonto mit der verifizierten ID als auch für den erstellten Prinzipal der Anforderungsdienst-API fest.

Nach der Erstellung Ihres Schlüsseltresors werden mit Nachweisen Schlüssel generiert, die die Nachrichtensicherheit gewährleisten. Diese Schlüssel werden in Key Vault gespeichert. Sie verwenden einen Schlüsselsatz zum Signieren, Aktualisieren und Wiederherstellen von Nachweisen.

Verifizierte ID einrichten.

Screenshot: Einrichten von Nachweisen

Führen Sie die folgenden Schritte aus, um Verified ID einzurichten.

  1. Melden Sie sich beim Microsoft Entra-Admin Center als Globaler Administrator an.

  2. Wählen Sie dann Verified ID aus.

  3. Klicken Sie im linken Menü auf Einrichten.

  4. Wählen Sie im mittleren Menü Organisationseinstellungen konfigurieren aus.

  5. Richten Sie Ihre Organisation ein, indem Sie die folgenden Informationen bereitstellen:

    1. Organisationsname: Geben Sie einen Namen ein, um in Verified ID auf Ihr Unternehmen zu verweisen. Dieser Name wird Kunden nicht angezeigt.

    2. Vertrauenswürdige Domäne: Geben Sie eine Domäne ein, die einem Dienstendpunkt in Ihrem DID-Dokument (Decentralized Identity, dezentralisierte Identität) hinzugefügt wird. Die Domäne bindet Ihre DID an etwas Konkretes, das der Benutzer möglicherweise über Ihr Unternehmen kennt. Microsoft Authenticator und andere digitale Geldbörsen überprüfen anhand dieser Informationen, ob Ihre DID mit Ihrer Domäne verknüpft ist. Wenn das Wallet die DID überprüfen kann, wird ein verifiziertes Symbol angezeigt. Wenn das Wallet die DID nicht überprüfen kann, wird der Benutzer darüber informiert, dass die Anmeldeinformationen von einer Organisation ausgestellt wurden, die nicht überprüfen werden konnte.

      Wichtig

      Die Domäne kann keine Umleitung sein. Andernfalls können DID und Domäne nicht verknüpft werden. Achten Sie darauf, HTTPS für die Domäne zu verwenden. Beispiel: https://did.woodgrove.com.

    3. Schlüsseltresor: Wählen Sie den Schlüsseltresor aus, den Sie zuvor erstellt haben.

  6. Wählen Sie Speichern.

    Screenshot, der den ersten Schritt der Einrichtung von Nachweisen zeigt.

Registrieren einer Anwendung in Microsoft Entra ID

Ihre Anwendung muss Zugriffstoken abrufen, wenn sie Microsoft Entra Verified ID aufrufen möchte, um Anmeldeinformationen ausstellen oder überprüfen zu können. Zum Abrufen von Zugriffstoken müssen Sie eine Anwendung registrieren und dem Verified ID-Anforderungsdienst eine API-Berechtigung gewähren. Befolgen Sie beispielsweise für eine Webanwendung die folgenden Schritte:

  1. Melden Sie sich beim Microsoft Entra-Admin Center als Globaler Administrator an.

  2. Wählen Sie Microsoft Entra ID aus.

  3. Wählen Sie unter Anwendungen Folgendes aus: App-Registrierungen>Neue Registrierung.

    Screenshot: Auswählen einer neuen Anwendungsregistrierung

  4. Geben Sie einen Anzeigenamen für Ihre Anwendung ein. Beispiel: verifiable-credentials-app

  5. Wählen Sie unter Unterstützte Kontotypen die Option Nur Konten in diesem Organisationsverzeichnis (nur Standardverzeichnis – einzelner Mandant) aus.

  6. Wählen Sie Registrieren aus, um die Anwendung zu erstellen.

    Screenshot: Registrieren der Nachweis-App

Erteilen von Berechtigungen zum Abrufen von Zugriffstoken

In diesem Schritt erteilen Sie dem Prinzipal des Nachweisanforderungsdiensts Berechtigungen.

Führen Sie die folgenden Schritte aus, um die erforderlichen Berechtigungen hinzuzufügen:

  1. Bleiben Sie auf der Seite mit den Details für die Anwendung verifiable-credentials-app. Klicken Sie auf API-Berechtigungen>Berechtigung hinzufügen.

    Screenshot: Hinzufügen von Berechtigungen zur Nachweis-App

  2. Wählen Sie Von meiner Organisation verwendete APIs aus.

  3. Suchen Sie nach dem Dienstprinzipal Nachweisdienstanforderung, und wählen Sie ihn aus.

    Screenshot: Auswählen des Dienstprinzipals

  4. Wählen Sie Anwendungsberechtigung aus, und erweitern Sie VerifiableCredential.Create.All.

    Screenshot: Auswählen der erforderlichen Berechtigungen

  5. Wählen Sie Berechtigungen hinzufügen aus.

  6. Wählen Sie Administratorzustimmung erteilen für <Name Ihres Mandanten> aus.

Sie können die Ausstellungs- und Präsentationsberechtigungen separat erteilen, wenn Sie die Bereiche für unterschiedliche Anwendungen trennen möchten.

Screenshot: Auswählen der detaillierten Berechtigungen für die Ausstellung oder Präsentation

Eine dezentrale ID registrieren und den Domänenbesitz überprüfen

Nachdem Azure Key Vault eingerichtet wurde und der Dienst über einen Signaturschlüssel verfügt, müssen Sie die Schritte 2 und 3 im Setup ausführen.

Screenshot, der die Schritte 2 und 3 der Einrichtung von Nachweisen zeigt.

  1. Melden Sie sich beim Microsoft Entra-Admin Center als Globaler Administrator an.
  2. Wählen Sie Nachweise aus.
  3. Klicken Sie im linken Menü auf Einrichten.
  4. Wählen Sie im mittleren Menü dezentralisierte ID registrieren aus, um Ihr DID-Dokument zu registrieren, wie im Artikel Registrieren Ihrer dezentralen ID für did:web beschrieben. Sie müssen diesen Schritt ausführen, bevor Sie mit der Überprüfung Ihrer Domäne fortfahren können. Wenn Sie „did:ion“ als Vertrauenssystem ausgewählt haben, sollten Sie diesen Schritt überspringen.
  5. Wählen Sie im mittleren Menü Domänenbesitz überprüfen aus, um Ihre Domäne zu überprüfen, wie im Artikel Domänenbesitz auf Ihren dezentralen Bezeichner (DID) überprüfen beschrieben.

Nachdem Sie die Überprüfungsschritte erfolgreich abgeschlossen haben, und alle drei Schritte mit grünen Häkchen versehen sind, können Sie mit dem nächsten Tutorial fortfahren.

Nächste Schritte