Memverifikasi kepemilikan domain ke pengidentifikasi terdesentralisasi Anda

  • Artikel

Dalam artikel ini, kami meninjau langkah-langkah yang diperlukan untuk memverifikasi kepemilikan nama domain yang Anda gunakan untuk pengidentifikasi terdesentralisasi (DID) Anda.

Prasyarat

Untuk memverifikasi kepemilikan domain ke DID Anda, Anda perlu:

Memverifikasi kepemilikan domain dan mendistribusikan file did-configuration.json

Domain yang Anda verifikasi kepemilikannya ke DID Anda ditentukan di bagian gambaran umum. Domain harus menjadi domain di bawah kontrol Anda dan harus dalam format https://www.example.com/.

  1. Dari portal Azure, buka halaman ID Terverifikasi.

  2. Pilih Siapkan>Verifikasi kepemilikan domain dan pilih Verifikasi untuk domain.

  3. Salin atau unduh did-configuration.json file.

    Cuplikan layar yang menunjukkan pengunduhan konfigurasi terkenal.

  4. did-configuration.json Host file di lokasi yang ditentukan. Misalnya, jika Anda menentukan domain https://www.example.com, file perlu dihosting di https://www.example.com/.well-known/did-configuration.json. Tidak boleh ada jalur lain di URL kecuali .well-known path nama.

  5. Saat did-configuration.json tersedia untuk umum di .well-known/did-configuration.json URL, verifikasi dengan memilih Refresh status verifikasi.

    Cuplikan layar yang memperlihatkan konfigurasi terkenal terverifikasi.

  6. Uji penerbitan atau penyajian dengan Microsoft Authenticator untuk memvalidasi. Pastikan pengaturan Peringatkan tentang aplikasi yang tidak aman di Authenticator diaktifkan. Pengaturan aktif secara default.

Bagaimana cara memverifikasi bahwa verifikasi berfungsi?

Portal memverifikasi bahwa did-configuration.json dapat dijangkau melalui internet dan valid saat Anda memilih Refresh status verifikasi. Authenticator tidak mematuhi pengalihan HTTP. Anda juga harus mempertimbangkan untuk memverifikasi bahwa Anda dapat meminta URL tersebut di browser untuk menghindari kesalahan seperti tidak menggunakan HTTPS, sertifikat SSL yang buruk, atau URL tidak publik. did-configuration.json Jika file tidak dapat diminta secara anonim di browser atau melalui alat seperti curl, tanpa peringatan atau kesalahan, portal juga tidak dapat menyelesaikan langkah Status verifikasi Refresh.

Catatan

Jika Anda mengalami masalah saat menyegarkan status verifikasi, Anda dapat memecahkan masalahnya dengan menjalankannya curl -Iv https://yourdomain.com/.well-known/did-configuration.json di komputer dengan OS Ubuntu. Subsistem Windows untuk Linux dengan Ubuntu juga berfungsi. Jika curl gagal, refresh status verifikasi tidak akan berfungsi.

Mengapa saya perlu memverifikasi kepemilikan domain did kami?

DID dimulai sebagai pengidentifikasi yang tidak berjangkar ke sistem yang ada. DID berguna karena pengguna atau organisasi dapat memilikinya dan mengontrolnya. Jika entitas yang berinteraksi dengan organisasi tidak tahu "siapa" DID miliknya, maka DID tidak berguna.

Menautkan DID ke domain memecahkan masalah kepercayaan awal dengan memungkinkan entitas mana pun memverifikasi hubungan antara DID dan domain secara kriptografis.

ID terverifikasi mengikuti spesifikasi konfigurasi DID terkenal untuk membuat tautan. Layanan kredensial yang dapat diverifikasi menautkan DID dan domain Anda. Layanan ini mencakup informasi domain yang Anda berikan di DID Anda dan menghasilkan file konfigurasi terkenal:

  1. ID terverifikasi menggunakan informasi domain yang Anda berikan selama penyiapan organisasi untuk menulis titik akhir layanan dalam dokumen DID. Semua pihak yang berinteraksi dengan DID dapat melihat domain yang dicanangkan DID untuk dikaitkan.

    "service": [
  {
    "id": "#linkeddomains",
    "type": "LinkedDomains",
    "serviceEndpoint": {
      "origins": [
        "https://verifiedid.contoso.com/"
      ]
    }
  }
]

  2. Layanan kredensial yang dapat diverifikasi di ID Terverifikasi menghasilkan sumber daya konfigurasi terkenal yang sesuai yang harus Anda host di domain Anda. File konfigurasi menyertakan kredensial yang dapat diverifikasi yang diterbitkan sendiri dari jenis DomainLinkageCredentialkredensial , yang ditandatangani dengan DID Anda, yang memiliki asal domain Anda. Berikut adalah contoh file konfigurasi yang disimpan di URL domain akar.

    {
  "@context": "https://identity.foundation/.well-known/contexts/did-configuration-v0.0.jsonld",
  "linked_dids": [
    "jwt..."
  ]
}

Pengalaman pengguna dalam dompet

Ketika pengguna sedang melalui aliran penerbitan atau menyajikan kredensial yang dapat diverifikasi, mereka harus mengetahui info tentang organisasi dan DID-nya. Authenticator memvalidasi hubungan DID dengan domain dalam dokumen DID dan memberi pengguna dua pengalaman berbeda tergantung pada hasilnya.

Domain yang sudah terverifikasi

Sebelum Authenticator menampilkan ikon Terverifikasi , beberapa poin harus benar:

  • DID yang menandatangani permintaan OPEN ID (SIOP) yang dikeluarkan sendiri harus memiliki titik akhir layanan untuk domain tertaut.
  • Domain akar tidak menggunakan pengalihan dan menggunakan HTTPS.
  • Domain yang tercantum dalam dokumen DID memiliki sumber daya terkenal yang dapat diselesaikan.
  • Kredensial sumber daya yang dapat diverifikasi terkenal ditandatangani dengan DID yang sama yang digunakan untuk menandatangani SIOP yang digunakan Authenticator untuk memulai alur.

Jika semua poin yang disebutkan sebelumnya benar, maka Authenticator menampilkan halaman terverifikasi dan menyertakan domain yang divalidasi.

Cuplikan layar yang memperlihatkan permintaan izin baru.

Domain yang belum diverifikasi

Jika salah satu titik sebelumnya tidak benar, Authenticator menampilkan peringatan halaman penuh yang menunjukkan bahwa domain tidak diverifikasi. Pengguna diperingatkan bahwa mereka berada di tengah potensi transaksi berisiko dan harus melanjutkan dengan hati-hati. Mereka mungkin telah memilih untuk mengambil rute ini karena:

  • DID tidak berlabuh ke domain.
  • Konfigurasi tidak disiapkan dengan benar.
  • DID yang berinteraksi dengan pengguna bisa berbahaya dan sebenarnya tidak dapat membuktikan bahwa mereka memiliki domain yang ditautkan.

Sangat penting bahwa Anda menautkan DID Anda ke domain yang dapat dikenali oleh pengguna.

Cuplikan layar yang memperlihatkan peringatan domain yang belum diverifikasi di layar Tambahkan kredensial.

Bagaimana cara memperbarui domain tertaut di DID saya?

Dengan sistem kepercayaan web, memperbarui domain tertaut Anda tidak didukung. Anda harus memilih keluar dan onboarding lagi.

Domain tertaut menjadi mudah bagi pengembang

Catatan

Dokumen DID harus tersedia untuk umum agar pendaftaran DID berhasil.

Cara term mudah bagi pengembang untuk mendapatkan domain yang akan digunakan untuk domain tertaut adalah dengan menggunakan fitur situs web statis Azure Storage. Anda tidak dapat mengontrol apa nama domain tersebut, kecuali bahwa nama akun penyimpanan Anda berisi nama akun penyimpanan Anda sebagai bagian dari nama hostnya.

Untuk menyiapkan domain yang akan digunakan dengan cepat untuk domain tertaut:

  1. Membuat akun penyimpanan. Selama pembuatan, pilih StorageV2 (akun v2 tujuan umum) dan Penyimpanan redundan lokal (LRS).
  2. Buka akun penyimpanan dan pilih Situs web statis di menu paling kiri dan aktifkan situs web Statis. Jika Anda tidak dapat melihat item menu Situs web statik, Anda belum membuat akun penyimpanan V2.
  3. Salin nama titik akhir utama yang muncul setelah menyimpan. Nilai ini adalah nama domain Anda. Ini terlihat seperti https://<your-storageaccountname>.z6.web.core.windows.net/.

Saat waktunya untuk mengunggah did-configuration.json file:

  1. Buka akun penyimpanan dan pilih Kontainer di menu paling kiri. Kemudian pilih kontainer bernama $web.
  2. Pilih Unggah dan pilih ikon folder untuk menemukan file Anda.
  3. Sebelum Anda mengunggah, buka bagian Tingkat Lanjut dan tentukan .well-known di kotak teks Unggah ke folder .
  4. Unggah file .

Sekarang file milik Anda tersedia untuk umum di URL yang terlihat seperti https://<your-storageaccountname>.z6.web.core.windows.net/.well-known/did-configuration.json.

Langkah berikutnya