Lier votre domaine à votre identificateur décentralisé (DID)

Notes

Les justificatifs vérifiables Azure Active Directory sont désormais ID vérifié Microsoft Entra et font partie de la famille de produits Microsoft Entra. En savoir plus sur la famille Microsoft Entra de solutions d’identité et bien démarrer dans le centre d’administration unifié Microsoft Entra.

Prérequis

Pour lier votre DID à votre domaine, vous devez avoir effectué les opérations suivantes.

Un DID est démarré en tant qu’identificateur qui n’est pas ancré aux systèmes existants. Un DID est utile, car un utilisateur ou une organisation peut le posséder et le contrôler. Si une entité qui interagit avec l’organisation ne sait pas à qui appartient le DID, celui-ci n’est plus aussi utile.

La liaison d’un DID à un domaine résout le problème d’approbation initiale en permettant à toute entité de vérifier par chiffrement la relation entre un DID et un domaine.

Quand devez-vous mettre à jour le domaine dans votre DID ?

Dans le cas où le domaine associé à votre entreprise changerait, vous devriez également modifier le domaine dans votre document DID. Vous pouvez mettre à jour le domaine dans votre DID directement à partir du panneau Vérification d’identité Microsoft Entra dans le portail Azure.

Nous suivons la spécification de la configuration DID connue lors de la création du lien. Le service des justificatifs vérifiables associe votre DID à votre domaine. Le service inclut les informations sur le domaine que vous avez fournies dans votre DID, et génère le fichier de configuration connu :

  1. Azure AD utilise les informations de domaine que vous fournissez lors de la configuration de l’organisation pour écrire un point de terminaison de service dans le document DID. Toutes les parties qui interagissent avec votre DID peuvent voir le domaine auquel celui-ci déclare être associé.

    "service": [
      {
        "id": "#linkeddomains",
        "type": "LinkedDomains",
        "serviceEndpoint": {
          "origins": [
            "https://www.contoso.com/"
          ]
        }
      }
    ]
    
  2. Le service des justificatifs vérifiables dans Azure AD génère une ressource de configuration connue conforme que vous pouvez héberger sur votre domaine. Le fichier de configuration inclut des justificatifs vérifiables auto-émis de credentialType « DomainLinkageCredential » signé avec votre DID qui a une origine de votre domaine. Voici un exemple de document de configuration stocké à l’URL du domaine racine.

    {
      "@context": "https://identity.foundation/.well-known/contexts/did-configuration-v0.0.jsonld",
      "linked_dids": [
        "jwt..."
      ]
    }
    

Une fois que vous avez le fichier de configuration connu, vous devez rendre le fichier disponible en utilisant le nom de domaine que vous avez spécifié lors de l’activation de votre Azure AD pour les justificatifs vérifiables.

  • Hébergez le fichier de configuration connu à la racine du domaine.
  • N’utilisez pas de redirections.
  • Utilisez le protocole HTTPS pour distribuer le fichier de configuration.

Important

Microsoft Authenticator ne respecte pas les redirections. L’URL spécifiée doit être l’URL de destination finale.

Expérience utilisateur dans le portefeuille

Lorsqu’un utilisateur parcourt un flux d’émission ou présente des justificatifs vérifiables, il doit connaître l’organisation et son identificateur décentralisé. Microsoft Authenticator valide la relation d’un identificateur décentralisé avec le domaine présent dans le document DID et présente à l’utilisateur deux expériences différentes en fonction du résultat.

Domaine vérifié

Certains éléments doivent être vrais pour que Microsoft Authenticator affiche une icône Vérifié :

  • L’identificateur décentralisé qui signe la demande d’ID d’ouverture auto-émis (SIOP) doit avoir un point de terminaison de service pour le domaine lié.
  • Le domaine racine n’utilise pas de redirection et utilise le protocole HTTPS.
  • Le domaine répertorié dans le document DID a une ressource connue pouvant être résolue.
  • Les justificatifs vérifiables de la ressource connue sont signés avec le DID utilisé pour signer le SIOP que Microsoft Authenticator a utilisé pour démarrer le flux.

Si toutes les conditions ci-dessus sont remplies, Microsoft Authenticator affiche une page de confirmation de vérification et inclut le domaine ainsi validé.

Nouvelle demande d’autorisation

Domaine non vérifié

Si l'une des conditions ci-dessus n'est pas remplie, Microsoft Authenticator affiche un avertissement en pleine page à l'utilisateur indiquant que le domaine n'est pas vérifié. L'utilisateur est averti qu'il se trouve au milieu d'une transaction potentiellement risquée et qu'il doit procéder avec prudence. Nous avons choisi de prendre cet itinéraire pour les raisons suivantes :

  • Le DID n’est pas ancré à un domaine.
  • La configuration n’a pas été établie correctement.
  • Le DID avec lequel l'utilisateur interagit pourrait être malveillant et ne peut pas prouver qu'il est propriétaire du domaine lié.

Il est très important de lier votre DID à un domaine reconnaissable par l'utilisateur.

Avertissement de domaine non vérifié dans l’écran d’ajout d’informations d’identification

Comment mettre à jour le domaine lié sur votre DID ?

  1. Accédez à l’ID vérifié dans le Portail Azure.
  2. Dans la partie gauche de la page, sélectionnez Inscription.
  3. Dans le champ Domaine, entrez votre nouveau nom de domaine.
  4. Sélectionnez Publier.

Choisissez le bouton Publier pour appliquer les modifications

Si le système de confiance est ION, la mise à jour avec les nouvelles informations du domaine de votre document DID peut prendre jusqu'à deux heures dans le réseau ION. Aucune autre modification du domaine n'est possible avant la publication des modifications. Si le système de confiance est Web, les modifications sont publiques dès que vous remplacez le fichier did-configuration.json sur votre serveur web.

Notes

Si vos modifications ont bien été appliquées, vous devrez vérifier votre nouveau domaine.

Vous devez vérifier votre domaine une fois le processus de publication terminé

Dois-je attendre que mon document DID soit mis à jour pour vérifier mes nouveaux domaines ?

Oui. Vous devez attendre que le fichier config.json soit mis à jour avant de le publier en utilisant l'emplacement d'hébergement de votre domaine.

Comment puis-je savoir si la mise à jour du domaine associé s'est bien déroulée ?

Si le système d’approbation est ION, une fois les modifications apportées au domaine publiées sur le réseau ION, la section du domaine dans le service Vérification d’identité Microsoft Entra affichera l’état Publié et vous devriez être en mesure d’apporter de nouvelles modifications au domaine. Si le système de confiance est Web, les modifications sont publiques dès que vous remplacez le fichier did-configuration.json sur votre serveur web.

Important

Aucune modification de votre domaine n'est possible pendant la publication.

Distribuer une configuration connue

  1. Dans le Portail Azure, accédez à la page ID vérifié. Sélectionnez Inscription et choisissez Vérifier pour le domaine

  2. Téléchargez le fichier did-configuration.json affiché dans l’image ci-dessous.

    Télécharger le fichier de configuration connu

  3. Copiez la valeur linked_did (JWT), ouvrez https://jwt.ms/, collez le JWT et vérifiez que le domaine est correct.

  4. Copiez votre DID et ouvrez l’Explorateur de réseaux ION pour vérifier que le même domaine est inclus dans le document DID.

  5. Hébergez la ressource de configuration connue à l’emplacement spécifié. Exemple : https://www.example.com/.well-known/did-configuration.json

  6. Pour procéder à la validation, testez l’émission ou la présentation avec Microsoft Authenticator. Vérifiez que le paramètre d’Authenticator « Warn about unsafe apps » (Signaler les applications non sécurisées) est activé.

Notes

Par défaut, le paramètre est activé.

Félicitations, vous avez amorcé le web de confiance avec votre identificateur décentralisé !

Comment puis-je vérifier que la vérification fonctionne ?

Le portail vérifie que le did-configuration.json est accessible et correct lorsque vous cliquez sur le bouton Actualiser l’état de la vérification. Vous devez également vérifier que vous pouvez demander cette URL dans un navigateur pour éviter certaines erreurs, comme celles dues à la non-utilisation de HTTPS, à l’utilisation d’un certificat SSL non valide ou à l’utilisation d’une URL non publique. Si le fichier did-configuration.json ne peut pas être demandé anonymement dans un navigateur ou via des outils comme curl sans avertissements ni erreurs, le portail ne pourra pas effectuer l’étape Actualiser l’état de vérification.

Notes

Si vous rencontrez des problèmes lors de l’actualisation de l’état de vérification, vous pouvez les résoudre en exécutant curl -Iv https://yourdomain.com/.well-known/did-configuration.json sur une machine où est installé le système d’exploitation Ubuntu. Sous-système Windows pour Linux avec Ubuntu fonctionneront également. Si curl échoue, l’actualisation de l’état de vérification ne fonctionnera pas.

Domaine lié facilité pour les développeurs

Le moyen le plus simple pour un développeur d’obtenir un domaine à utiliser pour un domaine lié consiste à utiliser la fonctionnalité de site web statique de stockage Azure. Vous ne pouvez pas contrôler le nom de domaine, autre que celui-ci contiendra le nom de votre compte de stockage dans le cadre de son nom d’hôte.

Procédez comme suit pour configurer rapidement un domaine à utiliser pour le domaine lié :

  1. Créez un compte de stockage Azure. Lors de la création du compte de stockage, choisissez StorageV2 (compte v2 universel) et stockage localement redondant (LRS).
  2. Accédez à ce compte Stockage, puis sélectionnez Site web statique dans le menu de gauche et activez le site web statique. Si vous ne voyez pas l’élément de menu Site web statique, vous n’avez pas créé de compte de stockage V2.
  3. Copiez le nom du point de terminaison principal qui apparaît après l’enregistrement. Cette valeur est votre nom de domaine. Il doit ressembler à ceci : https://<your-storageaccountname>.z6.web.core.windows.net/.

Lorsque vous avez le temps de charger le fichier did-configuration.json, procédez comme suit :

  1. Accédez à ce compte Stockage et sélectionnez Conteneurs dans le menu de gauche. Sélectionnez ensuite le conteneur nommé $web.
  2. Sélectionnez Télécharger et sélectionnez l’icône de dossier pour rechercher votre fichier
  3. Avant le chargement, ouvrez la section Avancé et spécifiez .well-known dans la zone de texte Télécharger dans le dossier.
  4. Chargez le fichier.

Vous disposez maintenant de votre fichier publiquement disponible sur une URL qui ressemble à https://<your-storageaccountname>.z6.web.core.windows.net/.well-known/did-configuration.json.

Étapes suivantes