Microsoft Entra Ellenőrzött azonosító hitelesítő adatok kiállítása egy alkalmazásból

Ebben az oktatóanyagban egy mintaalkalmazást futtat a helyi számítógépről, amely csatlakozik a Microsoft Entra-bérlőhöz. Az alkalmazás használatával egy hitelesített hitelesítőadat-szakértői kártyát fog kibocsátani és ellenőrizni.

Ebben a cikkben az alábbiakkal ismerkedhet meg:

• Hozza létre az ellenőrzött hitelesítőadat-szakértői kártyát az Azure-ban.
• A mintaalkalmazás beállításához gyűjtse össze a hitelesítő adatokat és a környezet adatait.
• Töltse le a mintaalkalmazás kódját a helyi számítógépre.
• Frissítse a mintaalkalmazást az igazolt hitelesítő adatok szakértői kártyájával és a környezet részleteivel.
• Futtassa a mintaalkalmazást, és adja ki az első igazolt hitelesítőadat-szakértői kártyát.
• Ellenőrizze az igazolt hitelesítőadat-szakértői kártyáját.

Az alábbi ábra a Microsoft Entra Ellenőrzött azonosító architektúrát és a konfigurált összetevőt mutatja be.

Előfeltételek

• Bérlő beállítása Microsoft Entra Ellenőrzött azonosító számára.
• A mintaalkalmazást futtató adattár klónozásához telepítse a GIT-t.
• Visual Studio Code, Visual Studio vagy hasonló kódszerkesztő.
• .NET 7.0.
• Töltse le az ngrokot , és regisztráljon egy ingyenes fiókra. Ha nem tudja használni ngrok a szervezetében, olvassa el ezt a gyakori kérdéseket.
• A Microsoft Authenticator legújabb verziójával rendelkező mobileszköz.

Az ellenőrzött hitelesítőadat-szakértői kártya létrehozása az Azure-ban

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Ebben a lépésben Microsoft Entra Ellenőrzött azonosító használatával hozza létre az ellenőrzött hitelesítőadat-szakértői kártyát. A hitelesítő adatok létrehozása után a Microsoft Entra-bérlő kiadhatja azt a folyamatot kezdeményező felhasználóknak.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba globális rendszergazdaként.

2. Válassza az Ellenőrizhető hitelesítő adatok lehetőséget.

3. A bérlő beállítása után meg kell jelennie a Hitelesítő adatok létrehozása parancsnak. Másik lehetőségként választhatja a hitelesítő adatok lehetőséget a bal oldali menüben, és válassza a + Hitelesítő adatok hozzáadása lehetőséget.

4. A Hitelesítő adatok létrehozása területen válassza az Egyéni hitelesítő adatok lehetőséget, majd kattintson a Tovább gombra:

   1. Hitelesítő adatok esetén adja meg a VerifiedCredentialExpert nevet. Ezt a nevet használja a portál az ellenőrizhető hitelesítő adatok azonosításához. Ez az ellenőrizhető hitelesítő adatokra vonatkozó szerződés része.

   2. Másolja ki a következő JSON-t, és illessze be a Megjelenítési definíció szövegmezőbe

      {
          "locale": "en-US",
          "card": {
            "title": "Verified Credential Expert",
            "issuedBy": "Microsoft",
            "backgroundColor": "#000000",
            "textColor": "#ffffff",
            "logo": {
              "uri": "https://didcustomerplayground.z13.web.core.windows.net/VerifiedCredentialExpert_icon.png",
              "description": "Verified Credential Expert Logo"
            },
            "description": "Use your verified credential to prove to anyone that you know all about verifiable credentials."
          },
          "consent": {
            "title": "Do you want to get your Verified Credential?",
            "instructions": "Sign in with your account to get your card."
          },
          "claims": [
            {
              "claim": "vc.credentialSubject.firstName",
              "label": "First name",
              "type": "String"
            },
            {
              "claim": "vc.credentialSubject.lastName",
              "label": "Last name",
              "type": "String"
            }
          ]
      }
      

   3. Másolja ki a következő JSON-t, és illessze be a Szabályok definíciója szövegmezőbe

      {
        "attestations": {
          "idTokenHints": [
            {
              "mapping": [
                {
                  "outputClaim": "firstName",
                  "required": true,
                  "inputClaim": "$.given_name",
                  "indexed": false
                },
                {
                  "outputClaim": "lastName",
                  "required": true,
                  "inputClaim": "$.family_name",
                  "indexed": true
                }
              ],
              "required": false
            }
          ]
        },
        "validityInterval": 2592000,
        "vc": {
          "type": [
            "VerifiedCredentialExpert"
          ]
        }
      }
      

   4. Válassza a Létrehozás lehetőséget.

Az alábbi képernyőkép bemutatja, hogyan hozhat létre új hitelesítő adatokat:

Hitelesítő adatok és környezeti adatok összegyűjtése

Most, hogy új hitelesítő adatokra van szüksége, információkat fog gyűjteni a környezetéről és a létrehozott hitelesítő adatokról. Ezeket az információkat a mintaalkalmazás beállításakor használja.

1. Az Ellenőrizhető hitelesítő adatok területen válassza a Probléma hitelesítő adatai lehetőséget.

   

2. Másolja ki a decentralizált azonosítónak számító szolgáltatót, és jegyezze fel későbbre.

3. Másolja ki a jegyzék URL-címét. Ez az AZ URL-cím, amelyet az Authenticator kiértékel, mielőtt megjelenítené a felhasználó számára az ellenőrizhető hitelesítőadat-kiállítási követelményeket. Jegyezze fel későbbi használatra.

4. Másolja ki a bérlőazonosítót, és jegyezze fel későbbre. A bérlőazonosító a fenti piros színnel kiemelt jegyzék URL-címének guidja.

A mintakód letöltése

A mintaalkalmazás a .NET-ben érhető el, és a kód egy GitHub-adattárban van fenntartva. Töltse le a mintakódot a GitHubról, vagy klónozza az adattárat a helyi gépére:

git clone https://github.com/Azure-Samples/active-directory-verifiable-credentials-dotnet.git

Az ellenőrizhető hitelesítő adatok alkalmazás konfigurálása

Hozzon létre egy ügyfélkulcsot a létrehozott regisztrált alkalmazáshoz. A mintaalkalmazás az ügyfél titkos kódjával igazolja identitását, amikor jogkivonatokat kér.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba globális rendszergazdaként.

2. Válassza ki a Microsoft Entra ID.

3. Nyissa meg az Alkalmazások> Alkalmazásregisztrációk lapot.

4. Válassza ki a korábban létrehozott ellenőrizhető hitelesítőadat-alkalmazásalkalmazást .

5. Válassza ki a nevet a regisztráció részleteinek megtekintéséhez.

6. Másolja ki az alkalmazás (ügyfél) azonosítóját, és tárolja későbbre.

   

7. A főmenü Kezelés területén válassza a Tanúsítványok > titkos kódok lehetőséget.

8. Válassza az Új ügyfélkulcs lehetőséget, és tegye a következőket:

   1. A Leírás mezőben adja meg az ügyfél titkos kódjának leírását (például vc-sample-secret).

   2. A Lejáratok csoportban válassza ki azt az időtartamot, amelyre érvényes a titkos kód (például hat hónap). Ezután válassza a Hozzáadás elemet.

   3. Jegyezze fel a titkos kód értékét. Ezt az értéket egy későbbi lépésben fogja használni a konfigurációhoz. A titkos kód értéke nem jelenik meg újra, és semmilyen más módon nem olvasható be. Jegyezze fel, amint látható.

Ezen a ponton rendelkeznie kell a mintaalkalmazás beállításához szükséges összes szükséges információval.

A mintaalkalmazás frissítése

Most módosítja a mintaalkalmazás kiállítókódját, hogy frissítse azt az ellenőrizhető hitelesítő adatok URL-címével. Ezzel a lépéssel ellenőrizhető hitelesítő adatokat adhat ki a saját bérlőjével.

1. Az active-directory-verifiable-credentials-dotnet-main mappában nyissa meg a Visual Studio Code-ot, és válassza ki a projektet az 1-asp-net-core-api-idtokenhint mappában.

2. A projekt gyökérmappájában nyissa meg a appsettings.json fájlt. Ez a fájl a Microsoft Entra Ellenőrzött azonosító környezettel kapcsolatos információkat tartalmazza. Frissítse a következő tulajdonságokat a korábbi lépésekben rögzített adatokkal:

   1. Bérlőazonosító: a bérlő azonosítója
   2. Ügyfélazonosító: az ügyfél azonosítója
   3. Titkos ügyfélkód: az ügyfél titkos kódja
   4. DidAuthority: Az Ön decentralizált azonosítója
   5. Hitelesítőadat-jegyzék: A jegyzék URL-címe

   A CredentialType csak a bemutatóhoz szükséges, ezért ha csak a kiállítást szeretné elvégezni, akkor nincs rá szükség.

3. Mentse a appsettings.json fájlt.

Az alábbi JSON egy teljes appsettings.json fájlt mutat be:

{
  "VerifiedID": {
    "Endpoint": "https://verifiedid.did.msidentity.com/v1.0/verifiableCredentials/",
    "VCServiceScope": "3db474b9-6a0c-4840-96ac-1fceb342124f/.default",
    "Instance": "https://login.microsoftonline.com/",
    "TenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
    "ClientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
    "ClientSecret": "123456789012345678901234567890",
    "CertificateName": "[Or instead of client secret: Enter here the name of a certificate (from the user cert store) as registered with your application]",
    "DidAuthority": "did:web:...your-decentralized-identifier...",
    "CredentialType": "VerifiedCredentialExpert",
    "CredentialManifest":  "https://verifiedid.did.msidentity.com/v1.0/00001111-aaaa-2222-bbbb-3333cccc4444/verifiableCredentials/contracts/VerifiedCredentialExpert"
  }
}

Az első igazolt hitelesítőadat-szakértői kártya kiállítása

Most már készen áll az első igazolt hitelesítőadat-szakértői kártya kiállítására a mintaalkalmazás futtatásával.

1. A Visual Studio Code-ból futtassa a Verifiable_credentials_DotNet projektet. Vagy futtassa az operációs rendszer parancssorából a következőt:

   cd active-directory-verifiable-credentials-dotnet\1-asp-net-core-api-idtokenhint
   dotnet build "AspNetCoreVerifiableCredentials.csproj" -c Debug -o .\bin\Debug\net6.
   dotnet run
   

2. Futtassa a következő parancsot egy másik parancssori ablakban. Ez a parancs az ngrok futtatásával beállít egy URL-címet 5000-en, és nyilvánosan elérhetővé teszi az interneten.

   ngrok http 5000
   

   Feljegyzés

   Egyes számítógépeken előfordulhat, hogy a parancsot a következő formátumban kell futtatnia: ./ngrok http 5000.

3. Nyissa meg az ngrok által létrehozott HTTPS URL-címet.

   

4. Egy webböngészőben válassza a Hitelesítő adatok lekérése lehetőséget.

   

5. A mobileszköz használatával szkennelje be a QR-kódot az Authenticator alkalmazással. A QR-kód beolvasásával kapcsolatos további információkért tekintse meg a gyik szakaszt.

   

6. Ekkor megjelenik egy üzenet, amely figyelmezteti, hogy ez az alkalmazás vagy webhely kockázatos lehet. Válassza a Speciális lehetőséget.

   

7. A kockázatos webhelyre vonatkozó figyelmeztetésnél válassza a Folytatás (nem biztonságos) lehetőséget. Ez a figyelmeztetés azért jelenik meg, mert a tartomány nem kapcsolódik a decentralizált azonosítóhoz (DID). A tartomány ellenőrzéséhez kövesse a Tartomány csatolása a decentralizált azonosítóhoz (DID). Ebben az oktatóanyagban kihagyhatja a tartományregisztrációt, és mindenképpen válassza a Folytatás (nem biztonságos) lehetőséget .

   

8. A rendszer kérni fogja, hogy adjon meg egy PIN-kódot, amely azon a képernyőn jelenik meg, amelyen a QR-kódot beolvasta. A PIN-kód további védelmi réteget ad a kiállításhoz. A PIN-kód véletlenszerűen jön létre minden alkalommal, amikor megjelenik egy kiállítási QR-kód.

   

9. A PIN-kód megadása után megjelenik a Hitelesítő adatok hozzáadása képernyő. A képernyő tetején egy nem ellenőrzött üzenet jelenik meg (pirossal). Ez a figyelmeztetés a korábban említett tartományérvényesítési figyelmeztetéssel kapcsolatos.

10. Válassza a Hozzáadás lehetőséget az új ellenőrizhető hitelesítő adatok elfogadásához.

    

Gratulálunk! Most már rendelkezik egy igazolt hitelesítő adatok szakértője ellenőrizhető hitelesítő adataival.

Térjen vissza a mintaalkalmazáshoz. Azt mutatja, hogy egy hitelesítő adat sikeresen ki van adva.

Ellenőrizhető hitelesítő adatok neve

Az ellenőrizhető hitelesítő adatok megan Bowent tartalmaznak a hitelesítő adatok vezeték- és vezetéknév-értékeihez. Ezeket az értékeket a mintaalkalmazásban rögzítették, és a hasznos adatban való kiállításkor hozzáadták őket az ellenőrizhető hitelesítő adatokhoz.

Valós helyzetekben az alkalmazás lekéri a felhasználó adatait egy identitásszolgáltatótól. Az alábbi kódrészlet bemutatja, hogy hol van beállítva a név a mintaalkalmazásban.

//file: IssuerController.cs
[HttpGet("/api/issuer/issuance-request")]
public async Task<ActionResult> issuanceRequest()
  {
    ...
    // Here you could change the payload manifest and change the first name and last name.
    payload["claims"]["given_name"] = "Megan";
    payload["claims"]["family_name"] = "Bowen";
    ...
}

Következő lépések

A következő lépésben megtudhatja, hogy egy harmadik féltől származó alkalmazás, más néven függő entitásalkalmazás hogyan ellenőrizheti a hitelesítő adatait a saját Microsoft Entra-bérlői ellenőrizhető hitelesítő adatok API-szolgáltatásával.