Verifizieren des Domänenbesitzes für den dezentralen Bezeichner

  • Artikel

In diesem Artikel erläutern wir die Schritte, die erforderlich sind, um den Besitz des Domänennamens zu überprüfen, den Sie für Ihren dezentralen Bezeichner (DID) verwenden.

Voraussetzungen

Um den Domänenbesitz für Ihren dezentralen Bezeichner (Decentralized Identifier, DID) zu verifizieren, müssen Sie:

Verifizieren des Domänenbesitzes und Verteilen der Datei „did-configuration.json“

Die Domäne, deren Besitz Sie für Ihren DID verifizieren, ist im Abschnitt mit der Übersicht definiert. Die Domäne muss eine Domäne sein, die von Ihnen kontrolliert wird, und sie sollte das Format https://www.example.com/ haben.

  1. Gehen Sie vom Azure-Portal zur Seite Nachweise.

  2. Wählen Sie Setup>Domänenbesitz überprüfen aus, und wählen Sie Überprüfen für die Domäne aus.

  3. Kopieren Sie die Datei did-configuration.json, oder laden Sie sie herunter.

    Screenshot, der das Herunterladen der bekannten Konfiguration zeigt

  4. Hosten Sie die did-configuration.json-Datei am angegebenen Speicherort. Beispiel: Wenn Sie die Domäne https://www.example.com angegeben haben, muss die Datei unter https://www.example.com/.well-known/did-configuration.json gehostet werden. Es kann kein anderer Pfad in der URL vorhanden sein, mit Ausnahme des .well-known path Namens.

  5. Wenn did-configuration.json unter der .well-known/did-configuration.json URL öffentlich verfügbar ist, überprüfen Sie sie, indem Sie Überprüfungsstatus aktualisieren auswählen.

    Screenshot der verifizierten bekannten Konfiguration

  6. Testen Sie zur Validierung das Ausstellen oder Präsentieren mit Microsoft Authenticator. Achten Sie darauf, dass in Authenticator die Einstellung Warnung zu unsicheren Apps aktiviert ist. Diese Einstellung ist standardmäßig aktiviert.

Wie kann ich feststellen, ob die Überprüfung funktioniert?

Das Portal überprüft, ob did-configuration.json über das Internet erreichbar und gültig ist, wenn Sie Überprüfungsstatus aktualisieren wählen. Authenticator berücksichtigt HTTP-Umleitungen nicht. Sie sollten auch überprüfen, ob Sie die URL in einem Browser anfordern können, um Fehler zu vermeiden, wie z. B. kein HTTPS oder ein ungültiges SSL-Zertifikat zu verwenden oder eine URL, die nicht öffentlich ist. Wenn die Datei did-configuration.json in einem Browser oder über Tools wie curl nicht anonym und ohne Warnungen oder Fehler angefordert werden kann, kann im Portal der Schritt Verifizierungsstatus aktualisieren nicht ausgeführt werden.

Hinweis

Wenn Probleme beim Aktualisieren Ihres Verifizierungsstatus auftreten, können Sie zur Problembehandlung auf einem Computer unter dem Betriebssystem Ubuntu den Befehl curl -Iv https://yourdomain.com/.well-known/did-configuration.json ausführen. Windows-Subsystem für Linux mit Ubuntu funktioniert auch. Wenn „curl“ fehlschlägt, kann der Verifizierungsstatus nicht aktualisiert werden.

Warum muss ich den Domänenbesitz unseres DID überprüfen?

Ein DID ist zunächst ein Bezeichner, der nicht mit vorhandenen Systemen verankert ist. Eine DID ist praktisch, da sie sich im Besitz eines Benutzers oder einer Organisation befinden und von ihm bzw. von ihr gesteuert werden kann. Wenn eine mit der Organisation interagierende Entität allerdings nicht weiß, zu „wem“ der DID gehört, ist er nicht mehr ganz so praktisch.

Die Verknüpfung einer DID mit einer Domäne löst das anfängliche Vertrauensproblem, da jede Entität die Beziehung zwischen einer DID und einer Domäne kryptografisch überprüfen kann.

Beim Erstellen des Links befolgt Verified ID die well-known DID configuration-Spezifikation. Der Nachweisdienst verknüpft DID und Domäne. Der Dienst enthält die Domäneninformationen, die Sie in Ihrem DID angegeben haben, und generiert die „well-known configuration“-Datei:

  1. Verified ID verwendet die im Rahmen der Organisationseinrichtung angegebenen Domäneninformationen, um einen Dienstendpunkt im DID-Dokument zu schreiben. Alle Parteien, die mit Ihrer DID interagieren, können die Domäne sehen, mit der Ihre DID laut Angabe verknüpft wurde.

    "service": [
  {
    "id": "#linkeddomains",
    "type": "LinkedDomains",
    "serviceEndpoint": {
      "origins": [
        "https://verifiedid.contoso.com/"
      ]
    }
  }
]

  2. Der Nachweisdienst in Verified ID generiert eine kompatible Ressource mit der bekannten Konfiguration, die Sie in Ihrer Domäne hosten müssen. Die Konfigurationsdatei enthält einen selbst ausgestellten Nachweis mit dem Nachweistyp DomainLinkageCredential – signiert mit Ihrem DID, der über einen Ursprung Ihrer Domäne verfügt. Das folgende Beispiel zeigt die Konfigurationsdatei, das unter der Stammdomänen-URL gespeichert ist.

    {
  "@context": "https://identity.foundation/.well-known/contexts/did-configuration-v0.0.jsonld",
  "linked_dids": [
    "jwt..."
  ]
}

Benutzererfahrung im Wallet

Wenn ein Benutzer einen Ausstellungsflow durchläuft oder einen Nachweis präsentiert, muss er etwas über die Organisation und den zugehörigen DID wissen. Die Beziehung eines DID mit der Domäne im DID-Dokument wird von Authenticator überprüft, und den Benutzern werden abhängig vom Ergebnis zwei verschiedene Oberflächen angezeigt.

Verifizierte Domäne

Damit von Authenticator ein Symbol vom Typ Verifiziert angezeigt wird, müssen mehrere Punkte zutreffen:

  • Die zum Signieren der SIOP-Anforderung (Self-Issued Open ID) verwendete DID muss über einen Dienstendpunkt für eine verknüpfte Domäne verfügen.
  • Die Stammdomäne verwendet keine Umleitung, aber HTTPS.
  • Die im DID-Dokument aufgeführte Domäne verfügt über eine auflösbare bekannte Ressource.
  • Der Nachweis der bekannten Ressource ist mit der gleichen DID signiert, die auch zum Signieren der SIOP verwendet wurde, die von Authenticator zum Starten des Flows verwendet wurde.

Wenn alle der obigen Punkte erfüllt sind, zeigt Authenticator eine Verifizierungsseite an und schließt die validierte Domäne ein.

Screenshot einer neuen Berechtigungsanforderung

Nicht verifizierte Domäne

Wenn einer der oben genannten Punkte nicht zutrifft, weist Authenticator durch eine ganzseitige Warnung darauf hin, dass die Domäne nicht überprüft wurde. Der Benutzer wird gewarnt, dass er sich mitten in einer potenziell riskanten Transaktion befindet und mit Vorsicht vorgehen sollte. Sie könnten sich für diesen Weg aus folgenden Gründen entschieden haben:

  • Der DID ist in keiner Domäne verankert.
  • Die Konfiguration wurde nicht ordnungsgemäß eingerichtet.
  • Der DID, mit dem der Benutzer interagiert, könnte böswillig sein und ist eigentlich nicht in der Lage, nachzuweisen, dass er die verknüpfte Domäne besitzt.

Es ist äußerst wichtig, dass Sie den DID mit einer Domäne verknüpfen, die für den Benutzer erkennbar ist.

Screenshot der nicht überprüften Domänenwarnung auf dem Bildschirm „Anmeldeinformationen hinzufügen“

Wie aktualisiere ich die verknüpfte Domäne in meinem DID?

Mit dem Webvertrauenssystem wird eine Aktualisierung Ihrer verknüpften Domäne nicht unterstützt. Sie müssen das System deaktivieren und ein erneutes Onboarding durchführen.

Verknüpfte Domänen für Entwickler leicht gemacht

Hinweis

Das DID-Dokument muss öffentlich verfügbar sein, damit die DID-Registrierung erfolgreich ist.

Die einfachste Möglichkeit für einen Entwickler, eine Domäne zu erhalten, um sie für eine verknüpfte Domäne zu verwenden, besteht darin, das statische Websitefeature von Azure Storage zu verwenden. Bei dem Namen für die Domäne können Sie nur steuern, dass er Ihren Speicherkontonamen als Teil des Hostnamens enthält.

Um schnell eine Domäne einzurichten, die für eine verknüpfte Domäne verwendet werden soll:

  1. Erstellen Sie ein Speicherkonto. Wählen Sie während der Erstellung Speicher V2 (universelles v2-Konto) und Lokal redundanter Speicher (LRS) aus.
  2. Wechseln Sie zu diesem Speicherkonto, und wählen Sie Statische Website im Menü ganz links aus, und aktivieren Sie Statische Website. Wenn das Menüelement Statische Website nicht angezeigt wird, haben Sie kein V2-Speicherkonto erstellt.
  3. Kopieren Sie den Namen des primären Endpunkts, der nach dem Speichern angezeigt wird. Dieser Wert ist Ihr Domänenname. Der Wert sollte etwa wie folgt aussehen: https://<your-storageaccountname>.z6.web.core.windows.net/.

Wenn es an der Zeit ist, die did-configuration.json Datei hochzuladen:

  1. Wechseln Sie zum Speicherkonto und wählen Sie Container im Menü ganz links aus. Wählen Sie dann den Container namens $web aus.
  2. Wählen Sie Hochladen aus, und wählen Sie das Ordnersymbol aus, um Ihre Datei zu suchen.
  3. Öffnen Sie vor dem Hochladen den Abschnitt Erweitert, und geben Sie .well-known im Textfeld In Ordner hochladen an.
  4. Laden Sie die Datei hoch.

Ihre Datei ist jetzt öffentlich unter einer URL verfügbar, die in etwa so aussieht: https://<your-storageaccountname>.z6.web.core.windows.net/.well-known/did-configuration.json.

Nächste Schritte