Megosztás a következőn keresztül:

Ellenőrizhető hitelesítő adatok létrehozása azonosító jogkivonatokhoz

Az idTokens-igazolást használó szabálydefiníciók kiállítási folyamatot eredményeznek, ahol interaktív bejelentkezésre van szükség egy OpenID Connect-identitásszolgáltatóhoz a Microsoft Authenticatorban. Az identitásszolgáltató által visszaadott azonosító jogkivonatban szereplő jogcímek felhasználhatók a kiadott ellenőrizhető hitelesítő adatok feltöltésére. A szabálydefiníció jogcímleképezési szakasza határozza meg, hogy mely jogcímeket használják.

Egyéni hitelesítő adatok létrehozása az idTokens-igazolás típusával

Az Azure Portalon, amikor a Hitelesítő adatok hozzáadása lehetőséget választja, két gyorsútmutatót is megnyithat. Válassza ki az egyéni hitelesítő adatokat, majd kattintson a Tovább gombra.

Képernyőkép az egyéni hitelesítő adatok létrehozásához szükséges hitelesítő adatokkal kapcsolatos gyorsútmutatóról.

Az Új hitelesítő adatok létrehozása lapon adja meg a megjelenítés JSON-kódját és a szabályok definícióit. A Hitelesítő adatok név mezőjében adjon meg egy típusnevet a hitelesítő adatoknak. A hitelesítő adatok létrehozásához válassza a Létrehozás lehetőséget.

Képernyőkép az Új hitelesítőadat-létrehozás lapról, amely JSON-mintákat jelenít meg a megjelenítési és szabályfájlokhoz.

JSON-mintamegjelenítési definíciók

A JSON megjelenítési definíciója közel azonos az igazolás típusától függetlenül. A címkéket csak a ellenőrizhető hitelesítő adatok jogcímeinek megfelelően kell módosítania. A megjelenítési definíciók várt JSON-tartalma a megjelenítési gyűjtemény belső tartalma. A JSON egy gyűjtemény, ezért ha több területi beállítás használatát szeretné támogatni, adjon hozzá több bejegyzést vesszővel elválasztóként.

{
    "locale": "en-US",
    "card": {
      "title": "Verified Credential Expert",
      "issuedBy": "Microsoft",
      "backgroundColor": "#000000",
      "textColor": "#ffffff",
      "logo": {
        "uri": "https://didcustomerplayground.z13.web.core.windows.net/VerifiedCredentialExpert_icon.png",
        "description": "Verified Credential Expert Logo"
      },
      "description": "Use your verified credential to prove to anyone that you know all about verifiable credentials."
    },
    "consent": {
      "title": "Do you want to get your Verified Credential?",
      "instructions": "Sign in with your account to get your card."
    },
    "claims": [
      {
        "claim": "vc.credentialSubject.userName",
        "label": "User name",
        "type": "String"
      },
      {
        "claim": "vc.credentialSubject.displayName",
        "label": "Display name",
        "type": "String"
      },
      {
        "claim": "vc.credentialSubject.firstName",
        "label": "First name",
        "type": "String"
      },
      {
        "claim": "vc.credentialSubject.lastName",
        "label": "Last name",
        "type": "String"
      }
    ]
}

JSON-szabályok definícióinak mintája

A JSON-igazolás definíciójának tartalmaznia kell az idTokens nevét, az OIDC konfigurációs adatait (clientId, configuration, redirectUri és hatókör) és a jogcímleképezési szakaszt. A szabályok definícióinak várt JSON-ja a szabályattribútum belső tartalma, amely az igazolási attribútummal kezdődik.

A következő példában szereplő jogcímleképezéshez konfigurálni kell a jogkivonatot az identitásszolgáltató szakasz Jogcímek jogkivonatában leírtak szerint.

{
  "attestations": {
    "idTokens": [
      {
        "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
        "configuration": "https://didplayground.b2clogin.com/didplayground.onmicrosoft.com/B2C_1_sisu/v2.0/.well-known/openid-configuration",
        "redirectUri": "vcclient://openid/",
        "scope": "openid profile email",
        "mapping": [
          {
            "outputClaim": "userName",
            "required": true,
            "inputClaim": "$.upn",
            "indexed": true
          },
          {
            "outputClaim": "displayName",
            "required": true,
            "inputClaim": "$.name",
            "indexed": false
          },
          {
            "outputClaim": "firstName",
            "required": true,
            "inputClaim": "$.given_name",
            "indexed": false
          },
          {
            "outputClaim": "lastName",
            "required": true,
            "inputClaim": "$.family_name",
            "indexed": false
          }
        ],
        "required": false
      }
    ]
  },
  "validityInterval": 2592000,
  "vc": {
    "type": [
      "VerifiedCredentialExpert"
    ]
  }
}

Alkalmazásregisztráció

A clientId attribútum egy regisztrált alkalmazás alkalmazásazonosítója az OIDC-identitásszolgáltatóban. A Microsoft Entra-azonosítóhoz az alábbi lépések végrehajtásával hozhatja létre az alkalmazást:

  1. Az Azure Portalon lépjen a Microsoft Entra ID menüpontba.

  2. Válassza a Alkalmazásregisztrációk, válassza az Új regisztráció lehetőséget, majd adjon nevet az alkalmazásnak.

    Ha azt szeretné, hogy csak a bérlői fiókok tudjanak bejelentkezni, jelölje be az ebben a címtárban lévő fiókok jelölőnégyzetet.

  3. Az Átirányítási URI -ban (nem kötelező) válassza a Nyilvános ügyfél/natív (mobil & asztali) lehetőséget, majd adja meg a vcclient://openid/.

Ha ellenőrizni szeretné a Microsoft Entra ID-jogkivonatban szereplő jogcímeket, kövesse az alábbi lépéseket:

  1. A bal oldali panelen válassza > lehetőséget.

  2. Átirányítási URI esetén adja meg, majd válassza ki https://jwt.ms).

  3. Válassza a Konfigurálás lehetőséget.

Az azonosító jogkivonat tesztelésének befejezése után fontolja meg az https://jwt.ms eltávolítását, valamint implicit és hibrid folyamatoktámogatását.

Microsoft Entra-azonosító: Tesztelheti az alkalmazásregisztrációt, és ha engedélyezi az https://jwt.msvaló átirányítás támogatását, az alábbi böngészőben futtatva kaphat azonosító jogkivonatot:

https://login.microsoftonline.com/<your-tenantId>/oauth2/v2.0/authorize?client_id=<your-appId>&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid%20profile&response_type=id_token&prompt=login

A kódban cserélje le <a bérlőazonosítót> a bérlőazonosítóra. A további jogcímek beszerzéséhez a hatókör részeként profillal kell rendelkeznie.

Azure Active Directory B2C esetén: Az alkalmazásregisztrációs folyamat ugyanaz, de a B2C beépített támogatást nyújt az Azure Portalon a B2C-szabályzatok teszteléséhez a Felhasználói folyamat futtatása funkcióval.

Fontos

2025. május 1-jére az Azure AD B2C már nem lesz elérhető az új ügyfelek számára. További információért tekintse meg az Azure AD B2C még megvásárolható? című témakört a gyakori kérdések között.

Jogcímek az identitásszolgáltató azonosító jogkivonatában

A jogcímnek léteznie kell a visszaadott identitásszolgáltatóban, hogy sikeresen kitölthesse az ellenőrizhető hitelesítő adatokat.

Ha a jogcímek nem léteznek, a kiadott ellenőrizhető hitelesítő adatokban nincs érték. A legtöbb OIDC-identitásszolgáltató nem állít ki jogcímet egy azonosító jogkivonatban, ha a jogcím null értékkel rendelkezik a profiljában. Ügyeljen arra, hogy a jogcím szerepeljen az azonosító jogkivonat-definíciójában, és győződjön meg arról, hogy a jogcím értékét a felhasználói profiljában adja meg.

A Microsoft Entra-azonosító: Ha konfigurálni szeretné a jogcímeket úgy, hogy belefoglaljanak a jogkivonatba, olvassa el az opcionális jogcímek megadása az alkalmazáshoz című témakört. A konfiguráció alkalmazásonként történik, ezért ennek a konfigurációnak azon alkalmazásnak kell lennie, amelynek a szabálydefinícióban az ügyfélazonosítóban megadott alkalmazásazonosító van megadva.

A megjelenítési és szabálydefinícióknak megfelelően az alkalmazás opcionálisClaims JSON-ját az alábbi példához hasonlóan kell kinéznie:

"optionalClaims": {
    "idToken": [
        {
            "name": "upn",
            "source": null,
            "essential": false,
            "additionalProperties": []
        },
        {
            "name": "family_name",
            "source": null,
            "essential": false,
            "additionalProperties": []
        },
        {
            "name": "given_name",
            "source": null,
            "essential": false,
            "additionalProperties": []
        },
        {
            "name": "preferred_username",
            "source": null,
            "essential": false,
            "additionalProperties": []
        }
    ],
    "accessToken": [],
    "saml2Token": []
},

Azure Active Directory B2C esetén: Az azonosító jogkivonatában lévő egyéb jogcímek konfigurálása attól függ, hogy a B2C-szabályzat felhasználói folyamat vagy egyéni szabályzat-e. További információ a felhasználói folyamatokról: Regisztrációs és bejelentkezési folyamat beállítása az Azure Active Directory B2C-ben. Az egyéni szabályzattal kapcsolatos információkért lásd : Opcionális jogcímek megadása az alkalmazáshoz.

Más identitásszolgáltatók esetén tekintse meg a vonatkozó dokumentációt.

A minták konfigurálása az egyéni hitelesítő adatok kiállításához és ellenőrzéséhez

Ha a mintakódot úgy szeretné konfigurálni, hogy kiadja és ellenőrizze az egyéni hitelesítő adatait, a következőkre van szüksége:

  • A bérlő kiállítójának decentralizált azonosítója (DID)
  • A hitelesítő adatok típusa
  • A hitelesítő adatok jegyzékbeli URL-címe

Az egyéni hitelesítő adatokhoz a legegyszerűbben úgy találhatja meg ezeket az információkat, ha az Azure Portalon meg szeretné keresni a hitelesítő adatait. Válassza a Probléma hitelesítő adatai lehetőséget. Ezután hozzáférhet egy JSON-hasznos adattal rendelkező szövegdobozhoz a Request Service API-hoz. Cserélje le a helyőrző értékeket a környezet adataira. A kiállító DID értéke a szolgáltató értéke.

Képernyőkép az egyéni hitelesítő adatok rövid útmutatójával kapcsolatos problémáról.

Következő lépések

Tekintse meg a Szabályok és a megjelenítési definíciók hivatkozását.