Forums Aux Questions (FAQ)

  • Article

Cette page contient des questions fréquemment posées sur les Justificatifs vérifiables et l’identité décentralisée. Les questions sont organisées dans les sections suivantes.

Concepts de base

Qu’est-ce qu’un identificateur décentralisé (DID) ?

Les identificateurs décentralisés sont des identificateurs uniques utilisables pour sécuriser l’accès aux ressources, signer et vérifier les informations d’identification et faciliter l’échange de données entre applications. Contrairement aux noms d’utilisateur et aux adresses e-mail traditionnels, les entités détiennent et contrôlent elles-mêmes les DID (qu’il s’agisse d’une personne, d’un appareil ou d’une société). Les identificateurs décentralisés existent indépendamment de toute organisation externe ou de tout intermédiaire approuvé. La spécification W3C sur les identificateurs décentralisés explique les DID en détail.

Pourquoi avons-nous besoin d’un identificateur décentralisé ?

La confiance numérique exige que les participants possèdent et contrôlent leurs identités, et une identité commence au niveau de l’identificateur. À une époque de failles système et d’attaques quotidiennes d’envergure dirigées contre les identificateurs centralisés, la décentralisation des identités devient un besoin de sécurité critique pour les consommateurs et les entreprises. Les individus possédant et contrôlant leurs identités sont en mesure d’échanger des données et des preuves vérifiables. Un environnement d’informations d’identification distribuées permet l’automatisation de nombreux processus d’entreprise qui sont actuellement manuels et fastidieux.

Que sont les Justificatifs vérifiables ?

Les informations d’identification font partie de notre vie quotidienne. Les permis de conduire attestent de notre capacité à utiliser un véhicule à moteur. Les diplômes universitaires attestent de notre niveau d’éducation, et les passeports délivrés par les autorités publiques nous permettent de voyager dans différents pays/régions. Les Justificatifs vérifiables constituent un mécanisme permettant d’exprimer ces types d’informations d’identification sur le web d’une manière sécurisée sur le plan du chiffrement, respectueuse de la confidentialité et vérifiable par un ordinateur. La spécification W3C sur les identificateurs décentralisés décrit les justificatifs vérifiables en détail.

Questions conceptuelles

Que se passe-t-il quand un utilisateur perd son téléphone ? Peut-il récupérer son identité ?

Il existe plusieurs façons d’offrir un mécanisme de récupération aux utilisateurs. Chacune présente ses propres inconvénients. Microsoft évalue actuellement diverses options et conçoit des approches de récupération, à la fois pratiques et sécurisées, qui respectent la confidentialité et l’indépendance des utilisateurs.

Comment un utilisateur peut-il faire confiance à une demande émanant d’un émetteur ou d’un vérificateur ? Comment peut-il savoir si un identificateur décentralisé est bien celui d’une organisation ?

Nous implémentons la spécification Well Known DID Configuration de la DIF (Decentralized Identity Foundation) pour pouvoir connecter un identificateur décentralisé émis par un système existant connu, à des noms de domaine. Chaque DID créé avec Vérification d’identité Microsoft Entra peut inclure un nom de domaine racine qui est encodé dans le document du DID. Pour en savoir plus, lisez l’article Lier votre domaine à votre identificateur décentralisé.

Quelles sont les conditions de licence ?

Il n’existe aucune exigence particulière en matière de licence pour émettre des justificatifs vérifiables.

Comment réinitialiser le service ID vérifié Microsoft Entra ?

Pour procéder à la réinitialisation, vous devez désactiver et réactiver le service Vérification d’identité Microsoft Entra. Votre configuration de justificatifs vérifiables existante est réinitialisée. Votre locataire obtient un nouveau DID à utiliser pendant l’émission et la présentation.

  1. Suivez les instructions de désactivation.
  2. Passez aux étapes de déploiement de l’ID vérifié Microsoft Entra pour reconfigurer le service.
    1. Si vous configurez manuellement ID vérifié, choisissez un emplacement tel que votre coffre de clés Azure se trouve dans la même région ou la région plus proche. Cela évite les problèmes de performances et de latence.
  3. Terminez la configuration de votre service de justificatifs vérifiables. Vous devez recréer vos justificatifs.
    1. Si votre locataire doit être configuré en tant qu’émetteur, il est recommandé que votre compte de stockage se trouve dans la région européenne en tant que service de justificatifs vérifiables.
    2. Vous devez également émettre de nouveaux justificatifs, car votre locataire détient maintenant un nouvel identificateur décentralisé.

Comment vérifier la région de mon locataire Microsoft Entra ?

  1. Dans le portail Azure, accédez à Microsoft Entra ID pour trouver l’abonnement que vous utilisez pour votre déploiement d’ID vérifié Microsoft Entra.
  2. Sous Gérer, sélectionnez Propriétés Paramètres Supprimer et annuler.
  3. Consultez la valeur du Pays ou de la Région. Si la valeur est un pays ou une région en Europe, votre service Vérification d’identité Microsoft Entra est configuré en Europe.

La Vérification d’identité Microsoft Entra prend-elle en charge ION comme méthode DID ?

La Vérification d’identité prenait en charge la méthode DID:ION en préversion jusqu’au mois de décembre 2023, après quoi elle a été supprimée.

Comment passer à did:web à partir de did:ion ?

Si vous souhaitez passer à did:web à partir de did:ion, vous pouvez effectuer ces étapes via l’API d’administration. La modification de l’autorité nécessite la ré-émission de toutes les informations d’identification :

Exporter des définitions d’informations d’identification did:ion existantes

  1. Pour l’autorité did:ion, utilisez le portail afin de copier toutes les définitions d’affichage et de règles des informations d’identification existantes.
  2. Si vous avez plusieurs autorités, vous devez utiliser les API d’administration si l’autorité did:ion n’est pas l’autorité par défaut. Sur le locataire avec Vérification d’identité, connectez-vous à l’aide de l’API d’administration et listez les autorités pour obtenir l’ID d’autorité de l’autorité did:ion. Utilisez ensuite l’API Lister les contrats pour les exporter et enregistrer le résultat dans un fichier afin de pouvoir les recréer.

Création d’une autorité did:web

  1. À l’aide de l’API d’intégration, créez la nouvelle autorité did:web. En guise d’alternative, si votre locataire ne dispose que d’une autorité did:ion, vous pouvez également désactiver le service, puis le réactiver pour redémarrer avec des configurations de la Vérification d’identité. Dans ce cas, vous pouvez choisir entre une configuration rapide et manuelle.
  2. Si vous configurez une autorité did:web à l’aide de l’API d’administration, vous devez appeler Générer un document de DID pour générer votre document DID, appeler Générer un document connu, puis charger les fichiers JSON vers le chemin d’accès reconnu respectif.

Recréer des définitions d’informations d’identification

Une fois que vous avez créé votre nouvelle autorité did:web, vous devez recréer vos définitions d’informations d’identification. Vous pouvez le faire par le portail si vous avez désactivé puis réactivé le service, ou vous devez utiliser l’API créer un contrat pour les recréer.

Mettre à jour les applications existantes

  1. Mettez à jour l’une de vos applications existantes (applications émettrices/vérificatrices) pour qu’elle utilise le nouveau did:web authority. Pour les applications émettrices, mettez également à jour l’URL du manifeste d’informations d’identification.
  2. Testez les flux d’émission et de vérification à partir de la nouvelle autorité did:web. Une fois les tests réussis, passez à l’étape suivante pour la suppression de l’autorité did:ion.

Supprimer l’autorité did:ion

Si vous ne l’avez pas désactivé et réactivé par la suite, vous devez supprimer votre ancienne autorité did:ion. Utilisez l’API supprimer l’autorité pour supprimer l’autorité did:ion.

Oui, après avoir reconfiguré votre service, votre locataire a un nouvel identificateur décentralisé pour émettre et vérifier les justificatifs vérifiables. Vous devez associer votre nouvel identificateur décentralisé à votre domaine.

Est-il possible de demander à Microsoft de récupérer d’« anciens identificateurs décentralisés » ?

Non, à ce stade, il n’est pas possible de conserver l’identificateur décentralisé de votre locataire une fois que vous avez désactivé le service.

Je ne peux pas utiliser ngrok. Que dois-je faire ?

Les tutoriels pour le déploiement et l’exécution des exemples décrivent l’utilisation de l’outil ngrok en tant que proxy d’application. Cet outil est parfois bloqué par les administrateurs informatiques et ne peut pas être utilisé dans les réseaux d'entreprise. Une alternative consiste à déployer l’exemple sur Azure App Service et à l’exécuter dans le cloud. Aidez-vous des liens suivants pour déployer l’exemple respectif sur Azure App Service. Le niveau tarifaire Gratuit est suffisant pour héberger l’exemple. Dans chaque tutoriel, vous devez d’abord créer l’instance Azure App Service, mais ignorer la création de l’application car vous en avez déjà une, puis continuer le tutoriel avec le déploiement.

Quel que soit le langage de l’exemple que vous utilisez, le nom d’hôte Azure AppService https://something.azurewebsites.net est utilisé comme point de terminaison public. Vous n’avez pas besoin de configurer quelque chose de supplémentaire pour le faire fonctionner. Si vous apportez des modifications au code ou à la configuration, vous devez redéployer l’exemple sur Azure AppServices. La résolution des problèmes/le débogage n’est pas aussi facile que l’exécution de l’exemple sur votre ordinateur local, dans laquelle des traces envoyées vers la fenêtre de console vous indiquent des erreurs, mais vous pouvez obtenir presque le même résultat en utilisant le flux de journal.

Étapes suivantes