Gyakori kérdések (GYIK)

Ez a lap a ellenőrizhető hitelesítő adatokkal és a decentralizált identitással kapcsolatos gyakori kérdéseket tartalmazza. A kérdések a következő szakaszokba vannak rendezve.

• Szókincs és alapismeretek
• A decentralizált identitással kapcsolatos elméleti kérdések

Az alapok

Mi az a DID?

A decentralizált azonosítók (DID-k) egyedi azonosítók, amelyek az erőforrásokhoz való hozzáférés biztonságossá tételéhez, a hitelesítő adatok aláírásához és ellenőrzéséhez, valamint az alkalmazásadatok cseréjének megkönnyítéséhez használhatók. A hagyományos felhasználónevekkel és e-mail-címekkel ellentétben az entitások, valamint maguk a DID-k tulajdonosa és vezérlése (legyen szó személyről, eszközről vagy cégről). A DID-k minden külső szervezettől vagy megbízható közvetítőtől függetlenül léteznek. A W3C decentralizált azonosító specifikációja részletesebben ismerteti a DID-ket.

Miért van szükségünk DID-ra?

A digitális bizalom alapvetően megköveteli, hogy a résztvevők birtokolják és szabályozhassák identitásukat, és az identitás az azonosítónál kezdődik. A napi, nagy léptékű rendszerbiztonsági incidensek és a központosított azonosítók elleni támadások korában az identitás decentralizálása kritikus biztonsági igénygé válik a fogyasztók és a vállalkozások számára. Az identitásaik tulajdonosa és vezérlése képes ellenőrizhető adatok és igazolások cseréjére. Az elosztott hitelesítő adatok környezete számos olyan üzleti folyamat automatizálását teszi lehetővé, amelyek jelenleg manuálisak és munkaigényesek.

Mi az a ellenőrizhető hitelesítő adat?

A hitelesítő adatok a mindennapi életünk részét képezik. A jogosítványok arra szolgálnak, hogy érvényesíteni tudjuk, hogy képesek vagyunk-e gépjárművet üzemeltetni. Az egyetemi diplomák felhasználhatók az oktatási szintünk érvényesítésére, valamint a kormányzati útlevélekkel lehetővé teszi számunkra, hogy országok és régiók közötti utazást biztosítsunk. Az ellenőrizhető hitelesítő adatok olyan mechanizmust biztosítanak, amellyel az ilyen típusú hitelesítő adatokat a weben titkosítható módon, az adatvédelem tiszteletben tartásával és géppel ellenőrizhető módon fejezheti ki. A W3C Ellenőrizhető hitelesítő adatok specifikációja részletesebben ismerteti az ellenőrizhető hitelesítő adatokat.

Elméleti kérdések

Mi történik, ha egy felhasználó elveszíti a telefonját? Helyre tudják állítani az identitásukat?

A helyreállítási mechanizmusokat többféleképpen is kínálhatja a felhasználók számára, amelyek mindegyike saját kompromisszumokkal rendelkezik. A Microsoft jelenleg olyan lehetőségeket és helyreállítási módszereket értékel ki, amelyek kényelmes és biztonságos megoldást kínálnak, miközben tiszteletben tartják a felhasználó adatvédelmi és önrendelkezési jogait.

Hogyan bízhat meg egy felhasználó egy kiállítótól vagy hitelesítőtől érkező kérésben? Honnan tudják, hogy a DID az igazi DID egy szervezet számára?

Implementáljuk a Decentralizált Identitás Alapítvány jól ismert DID-konfigurációs specifikációját , hogy a DID-t egy jól ismert meglévő rendszerhez, tartománynevekhez lehessen csatlakoztatni. A Microsoft Entra Ellenőrzött azonosító használatával létrehozott összes DID rendelkezik egy olyan gyökértartománynévvel, amely a DID-dokumentumban van kódolva. További információért kövesse a Tartomány csatolása az elosztott azonosítóhoz című cikket.

Mik a licencelési követelmények?

Az ellenőrizhető hitelesítő adatok kiállítására nincsenek különleges licenckövetelmények.

Hogyan alaphelyzetbe állítani a Microsoft Entra Ellenőrzött azonosító szolgáltatást?

Az alaphelyzetbe állításhoz le kell tiltani a szolgáltatást, és vissza kell jelentkezni a Microsoft Entra Ellenőrzött azonosító szolgáltatásba. A meglévő ellenőrizhető hitelesítő adatok konfigurációja alaphelyzetbe áll, és a bérlő egy új DID-t szerez be, amelyet a kiállítás és a bemutató során használhat.

1. Kövesse a letiltási utasításokat.
2. A szolgáltatás újrakonfigurálásához tekintse át a Microsoft Entra Ellenőrzött azonosító üzembe helyezés lépéseit.
   1. Ha manuálisan állítja be az ellenőrzött azonosítót, válasszon egy helyet az Azure Key Vault számára, hogy ugyanabban vagy a legközelebbi régióban legyen. Így elkerülhetők a teljesítmény- és késési problémák.
3. Fejezze be az ellenőrizhető hitelesítő adatok szolgáltatás beállítását . Újra létre kell hoznia a hitelesítő adatait.
   1. Ha a bérlőt kiállítóként kell konfigurálni, javasoljuk, hogy a tárfiókja az európai régióban legyen ellenőrizhető hitelesítő adatok szolgáltatásként.
   2. Új hitelesítő adatokat is ki kell adnia, mert a bérlő új DID-t tartalmaz.

Hogyan ellenőrizhetim a Microsoft Entra-bérlőm régióját?

1. Az Azure Portalon nyissa meg a Microsoft Entra-azonosítót a Microsoft Entra Ellenőrzött azonosító üzemelő példányhoz használt előfizetéshez.
2. A Kezelés csoportban válassza a Tulajdonságok lehetőséget
3. Tekintse meg az Ország vagy régió értékét. Ha az érték egy európai ország vagy régió, akkor az Ön Microsoft Entra Ellenőrzött azonosító szolgáltatása Európában van beállítva.

Támogatja Microsoft Entra Ellenőrzött azonosító az ION-t DID metódusként?

Az ellenőrzött azonosító 2023 decemberéig támogatott előzetes verzióban a DID:ION metódust, amely után megszüntették.

Hogyan váltás a did:web webhelyre a did:ion webhelyről?

Ha át szeretne lépni did:web innendid:ion, kövesse az alábbi lépéseket a Rendszergazda API-val. A szolgáltató módosításához újra meg kell adni az összes hitelesítő adatot:

Meglévő did:ion hitelesítőadat-definíciók exportálása

1. A did:ion szolgáltató számára a portálon másolja ki a meglévő hitelesítő adatok összes megjelenítési és szabálydefinícióját.
2. Ha egynél több szolgáltatóval rendelkezik, akkor a Rendszergazda API-kat kell használnia, ha nem a did:ion szolgáltató az alapértelmezett szolgáltató. Az Ellenőrzött azonosító bérlőn csatlakozzon Rendszergazda API-val, és sorolja fel a hatóságokat a szolgáltató szolgáltatóazonosítójának did:ion lekéréséhez. Ezután a list contracts API-val exportálhatja őket, és mentheti az eredményt egy fájlba, hogy újra létre tudja hozni őket.

Új did:webszolgáltató létrehozása

1. Az előkészítési API használatával hozza létre az új did:web szolgáltatót. Másik lehetőségként, ha a bérlője csak egy hitelesítésszolgáltatóval rendelkezik, akkor a szolgáltatás lemondását is végrehajthatja, majd egy bejelentkezési műveletet is végrehajthat az ellenőrzött azonosítókonfigurációkkal való újraindításhoz. Ebben az esetben választhat a Gyors és a Manuális beállítás között.
2. Ha egy did:webszolgáltatót állít be Rendszergazda API-val, a did-dokumentum létrehozásához és a híváshoz létre kell hoznia egy jól ismert dokumentumot, majd JSON-fájlokat kell feltöltenie a megfelelő jól ismert elérési útra.

Hitelesítőadat-definíciók újbóli létrehozása

Miután létrehozta az új did:web szolgáltatót, újra létre kell hoznia a hitelesítőadat-definíciókat. Ezt a portálon keresztül is megteheti, ha lemondta és újra bejelentkezett, vagy a szerződés létrehozása API-val újra létre kell hoznia őket.

Meglévő alkalmazások frissítése

1. Frissítse bármelyik meglévő alkalmazását (kiállítói/hitelesítő alkalmazásokat) az új did:web authorityhasználatához. A kiállítási alkalmazások esetében frissítse a hitelesítőadat-jegyzék URL-címét is.
2. Tesztelje az új did:webszolgáltató kiállítási és ellenőrzési folyamatait. Ha a tesztek sikeresek, folytassa a következő lépéssel a did:ion authority törlésével kapcsolatban.

Delete did:ion authority

Ha nem adta le és nem végezte el újra a regisztrációt, el kell távolítania a régi did:ion szolgáltatót. A törlési szolgáltató API-val törölheti a did:ion szolgáltatót.

Ha újrakonfigurálom a Microsoft Entra Ellenőrzött azonosító szolgáltatást, újra kell összekapcsolnom a DID-t a tartományommal?

Igen, a szolgáltatás újrakonfigurálása után a bérlő egy új DID-t használ a ellenőrizhető hitelesítő adatok kiállításához és ellenőrzéséhez. Az új DID-t a tartományhoz kell társítania.

Kérheti a Microsofttól a "régi DID-k" lekérését?

Nem, ezen a ponton nem lehet megtartani a bérlő DID-jét, miután kikapcsolta a szolgáltatást.

Nem használhatom az ngrokot, mit tegyek?

A minták üzembe helyezésére és futtatására vonatkozó oktatóanyagok az eszköz alkalmazásproxyként való ngrok használatát ismertetik. Ezt az eszközt néha az informatikai rendszergazdák letiltják a vállalati hálózatokban való használattól. Másik lehetőségként üzembe helyezheti a mintát Azure-alkalmazás szolgáltatásban, és futtathatja a felhőben. Az alábbi hivatkozások segítenek a megfelelő minta üzembe helyezésében Azure-alkalmazás szolgáltatásban. Az ingyenes tarifacsomag elegendő a minta üzemeltetéséhez. Minden oktatóanyaghoz először létre kell hoznia a Azure-alkalmazás szolgáltatáspéldányt, majd ki kell hagynia az alkalmazás létrehozását, mivel már rendelkezik alkalmazással, majd az oktatóanyag üzembe helyezésével folytatja.

• Dotnet – Közzététel az App Service-ben
• Csomópont – Üzembe helyezés az App Service-ben
• Java – Üzembe helyezés az App Service-ben. Hozzá kell adnia a Azure-alkalmazás Szolgáltatás maven beépülő modult a mintához.
• Python – Üzembe helyezés a Visual Studio Code használatával

Függetlenül attól, hogy a minta melyik nyelvét használja, a rendszer a Azure-alkalmazás Service gazdagépnevet https://something.azurewebsites.net használja nyilvános végpontként. Nem kell további beállításokat konfigurálnia ahhoz, hogy működjön. Ha módosítja a kódot vagy a konfigurációt, újra üzembe kell helyeznie a mintát a Azure-alkalmazás Services szolgáltatásba. A hibaelhárítás/hibakeresés nem olyan egyszerű, mint a minta futtatása a helyi gépen, ahol a konzolablakban lévő nyomkövetések hibákat mutatnak, de a Naplóstream használatával szinte ugyanezt érheti el.

Következő lépések

• Az ellenőrizhető hitelesítő adatok testreszabása