Preguntas más frecuentes (P+F)

Esta página contiene las preguntas más frecuentes sobre las credenciales verificables y las identidades descentralizadas. Las preguntas están organizadas en las siguientes secciones.

• Vocabulario y conceptos básicos
• Preguntas conceptuales sobre las identidades descentralizadas

Conceptos básicos

¿Qué es un DID?

Los identificadores descentralizados (DID) son identificadores únicos que se pueden usar para proteger el acceso a los recursos, firmar y comprobar credenciales, así como facilitar el intercambio de datos de las aplicaciones. A diferencia de los nombres de usuario y las direcciones de correo electrónico tradicionales, las entidades y la propiedad y el control de los propios DID (ya sea una persona, un dispositivo o una empresa). Los DID existen de forma independiente a cualquier organización externa o intermediario de confianza. En la especificación del identificador descentralizado de W3C se explican los DID de manera más detallada.

¿Por qué se necesita un DID?

La confianza digital hace del todo necesario que los participantes posean y controlen sus identidades, y la identidad comienza con el identificador. En una época en la que todos los días se producen vulneraciones de sistemas y ataques a los jugosos repositorios centralizados de identificadores, la descentralización de identidades se está convirtiendo en una necesidad de seguridad perentoria para los consumidores y las empresas. Las personas que poseen y controlan sus identidades pueden intercambiar datos y pruebas verificables. Los entornos de credenciales distribuidos permiten automatizar muchos de los procesos empresariales que actualmente se realizan manualmente y requieren una gran cantidad de trabajo.

¿Qué es una credencial verificable?

Las credenciales forman parte de nuestras vidas diarias. Las licencias de conductor se usan para afirmar que somos capaces de operar un vehículo motor. Los títulos universitarios se pueden usar para afirmar nuestro nivel de educación y los pasaportes emitidos por el gobierno nos permiten viajar entre países y regiones. Las credenciales verificables constituyen un mecanismo para expresar este tipo de credenciales en la Web de una forma criptográficamente segura que respete la privacidad y pueda verificarse automáticamente. En la especificación de credenciales verificables de W3C se explican las credenciales verificables de manera más detallada.

Preguntas conceptuales

¿Qué ocurre cuando un usuario pierde su teléfono? ¿Puede recuperar su identidad?

Existen varios mecanismos de recuperación que se pueden ofrecer a los usuarios, cada uno con sus propias ventajas. Microsoft actualmente está evaluando diferentes opciones y enfoques de diseño de recuperación que resulten cómodos y seguros, al tiempo que respeten la privacidad y la capacidad de autogobierno de los usuarios.

¿Cómo puede un usuario confiar en una solicitud de un emisor o comprobador? ¿Cómo puede saber si el DID de una organización es real?

Implementamos la especificación de configuración de DID conocidos de Decentralized Identity Foundation para conectar un DID a los nombres de dominio más conocidos de un sistema existente. Todos los DID que se crean mediante Verified ID de Microsoft Entra tienen la opción de incluir un nombre de dominio raíz que se codificará en el documento de DID. Consulte este artículo sobre la vinculación de dominios al identificador distribuido para más información.

¿Cuáles son los requisitos de licencias?

No hay requisitos de licencia especiales para emitir credenciales verificables.

¿Cómo puedo restablecer el servicio Verified ID de Microsoft Entra?

El restablecimiento requiere que opte por no participar y vuelva a inscribirse en el servicio de Id. verificada por Microsoft Entra. La configuración existente de credenciales verificables se restablece y el inquilino obtiene un nuevo DID que se usará durante la emisión y presentación.

1. Siga las instrucciones de optar por no participar.
2. Siga los pasos de implementación de Verified ID de Microsoft Entra para volver a configurar el servicio.
   1. Si va a configurar manualmente Verified ID, elija una ubicación para que Azure Key Vault esté en la misma región o una más cercana. Esto evita problemas de rendimiento y latencia.
3. Termine de configurar el servicio de credenciales verificables. Debe volver a crear las credenciales.
   1. Si el inquilino debe configurarse como emisor, se recomienda que la cuenta de almacenamiento esté en la región europea del servicio de credenciales verificables.
   2. También debe emitir nuevas credenciales porque el inquilino ahora contiene un nuevo DID.

¿Cómo puedo comprobar la región de mi inquilino de Microsoft Entra?

1. En Azure Portal, vaya a Microsoft Entra ID para la suscripción que usa para la implementación de Verified ID de Microsoft Entra.
2. En Administrar, seleccione Propiedades
3. Consulte el valor de País o Región. Si el valor es un país o una región de Europa, el servicio de Verified ID de Microsoft Entra se configurará en Europa.

¿Id. verificada por Microsoft Entra admite ION como su método DID?

El identificador comprobado admite el método DID:ION en versión preliminar hasta diciembre de 2023, después de lo cual se descontinuó.

¿Cómo me mudo a did:web desde did:ion?

Si quiere pasar a did:web desde did:ion, puede seguir estos pasos a través de la API de administración. Cambiar la entidad requiere volver a emitir todas las credenciales:

Exportación de definiciones de credenciales did:ion existentes

1. Para la entidad did:ion, use el portal para copiar todas las definiciones de reglas y visualización de las credenciales existentes.
2. Si tiene más de una entidad, debe usar las API de administración si la entidad did:ion no es la predeterminada. En el inquilino de Id. verificada, conéctese mediante la API de administración, enumere las entidades para obtener el identificador de entidad de la entidad did:ion. A continuación, use la API enumerar contratos para exportarlos y guardar el resultado en un archivo para que pueda volver a crearlos.

Creación de una entidad did:web

1. Con la API de incorporación, cree la nueva entidad did:web. Como alternativa, si el inquilino solo tiene una entidad did:ion, también puede optar por no recibir el servicio, seguido de una operación de participación para su reinicio con las configuraciones de Id. verificada. En este caso, puede elegir entre la configuración rápida y manual.
2. Si va a configurar una entidad did:web mediante la API de administración, debe llamar a generar documento de DID para generar dicho documento y llamar a generar un documento conocido y, a continuación, cargar archivos JSON en la ruta de acceso conocida correspondiente.

Volver a crear definiciones de credenciales

Después de crear la nueva entidad did:web, debe volver a crear las definiciones de credenciales. Puede hacerlo a través del portal si ha optado por no participar y volver a participar, o bien debe usar la API create contact para volver a crearlos.

Actualización de aplicaciones existentes

1. Actualice cualquiera de las aplicaciones existentes (aplicaciones de emisor o comprobador) para usar el nuevo did:web authority. En el caso de las aplicaciones de emisión, actualice también la dirección URL del manifiesto de credenciales.
2. Pruebe los flujos de emisión y comprobación de la nueva entidad did:web. Una vez que las pruebas se realicen correctamente, continúe con el paso siguiente para la eliminación de la entidad did:ion.

Eliminar entidad did:ion

Si no optó por no participar y se volvió a inscribir, deberá quitar su entidad antigua did:ion. Use la API eliminar entidad para eliminar la entidad did:ion.

Si vuelvo a configurar el servicio Verified ID de Microsoft Entra, ¿debo volver a vincular el DID al dominio?

Sí, después de volver a configurar el servicio, el inquilino tiene un nuevo uso de DID para emitir y comprobar las credenciales verificables. Debe asociar el nuevo DID al dominio.

¿Es posible solicitar a Microsoft que recupere "DID antiguos"?

No, en este momento no es posible conservar el DID del inquilino después de haber optado por no participar en el servicio.

No puedo usar ngrok, ¿qué hago?

En los tutoriales para implementar y ejecutar los ejemplos se describe el uso de la herramienta ngrok como proxy de aplicación. A veces, los administradores de TI bloquean el uso de esta herramienta en redes corporativas. Como alternativa, puede implementar el ejemplo en Azure App Service y ejecutarlo en la nube. Los vínculos siguientes le ayudarán implementar el ejemplo correspondiente en Azure App Service. El plan de tarifa Gratis será suficiente para hospedar el ejemplo. Para cada tutorial, primero debe crear la instancia de Azure App Service, a continuación, omitir la creación de la aplicación, ya que ya tiene una, y después, seguir con el tutorial de la implementación.

• Dotnet: publicación en App Service
• Nodo: implementación en App Service
• Java: implementación en App Service. Debe agregar el complemento de Maven para Azure App Service al ejemplo.
• Python: Implementación con Visual Studio Code

Independientemente del idioma del ejemplo que use, se usa el nombre de host de Azure AppService (https://something.azurewebsites.net) como punto de conexión público. No es necesario configurar nada más para que funcione. Si realiza cambios en el código o la configuración, deberá volver a implementar el ejemplo en Azure AppServices. La solución de problemas o depuración no es tan fácil como ejecutar el ejemplo en el equipo local, donde los seguimientos en la ventana de la consola muestran errores, pero puede lograr casi lo mismo mediante el flujo de registro.

Pasos siguientes

• Personalización de las credenciales verificables