Collegare il dominio all'identificatore decentralizzato (DID)

Nota

Le credenziali verificabili di Azure Active Directory sono ora ID verificato di Microsoft Entra e fanno parte della famiglia di prodotti Microsoft Entra. Altre informazioni sulla famiglia di soluzioni di gestione delle identità Microsoft Entra e introduzione all'interfaccia di amministrazione unificata di Microsoft Entra.

Prerequisiti

Per collegare il file DID al dominio, è necessario aver completato quanto segue.

Un'operazione DID viene avviata come identificatore che non è ancorato ai sistemi esistenti. Un'operazione DID è utile perché un utente o un'organizzazione può possiederla e controllarla. Se un'entità che interagisce con l'organizzazione non conosce "a chi" appartiene l'DID, l'operazione DID non è utile.

Il collegamento di un'istruzione DID a un dominio risolve il problema di attendibilità iniziale consentendo a qualsiasi entità di verificare crittograficamente la relazione tra did e un dominio.

Quando è necessario aggiornare il dominio in DID?

Nel caso in cui il dominio associato alla società cambi, è necessario modificare anche il dominio nel documento DID. È possibile aggiornare il dominio nel file DID direttamente dal pannello ID verificato di Microsoft Entra nel portale di Azure.

Quando si crea il collegamento, seguire la specifica di configurazione DID nota . Il servizio credenziali verificabili collega did e dominio. Il servizio include le informazioni sul dominio fornite nel file DID e genera il file di configurazione noto:

  1. Azure AD usa le informazioni sul dominio fornite durante la configurazione dell'organizzazione per scrivere un endpoint di servizio all'interno del documento DID. Tutte le parti che interagiscono con il tuo DID possono vedere il dominio con cui il tuo DID proclama di essere associato.

    "service": [
      {
        "id": "#linkeddomains",
        "type": "LinkedDomains",
        "serviceEndpoint": {
          "origins": [
            "https://www.contoso.com/"
          ]
        }
      }
    ]
    
  2. Il servizio credenziali verificabile in Azure AD genera una risorsa di configurazione nota conforme che è possibile ospitare nel dominio. Il file di configurazione include una credenziale verificabile autocertificabile di credentialType 'DomainLinkageCredential' firmata con did che ha un'origine del dominio. Di seguito è riportato un esempio del documento di configurazione archiviato nell'URL del dominio radice.

    {
      "@context": "https://identity.foundation/.well-known/contexts/did-configuration-v0.0.jsonld",
      "linked_dids": [
        "jwt..."
      ]
    }
    

Dopo aver ottenuto il file di configurazione noto, è necessario rendere disponibile il file usando il nome di dominio specificato quando è stato abilitato Azure AD per le credenziali verificabili.

  • Ospitare il file di configurazione DID noto nella radice del dominio.
  • Non usare i reindirizzamenti.
  • Usare https per distribuire il file di configurazione.

Importante

Microsoft Authenticator non rispetta i reindirizzamenti, l'URL specificato deve essere l'URL di destinazione finale.

Esperienza utente nel portafoglio

Quando un utente passa attraverso un flusso di rilascio o presenta credenziali verificabili, deve conoscere qualcosa sull'organizzazione e sul relativo DID. Microsoft Authenticator convalida la relazione di un'operazione DID con il dominio nel documento DID e presenta agli utenti due esperienze diverse a seconda del risultato.

Dominio verificato

Prima di Microsoft Authenticator viene visualizzata un'icona Verificato, è necessario che siano soddisfatte alcune cose:

  • La firma DID della richiesta SIOP (Open ID) autocertificata deve avere un endpoint di servizio per il dominio collegato.
  • Il dominio radice non usa un reindirizzamento e usa https.
  • Il dominio elencato nel documento DID ha una risorsa nota risolvibile.
  • Le credenziali verificabili della risorsa nota vengono firmate con lo stesso DID usato per firmare il SIOP usato Microsoft Authenticator usato per avviare il flusso.

Se tutte le informazioni indicate in precedenza sono vere, Microsoft Authenticator visualizza una pagina verificata e include il dominio convalidato.

nuova richiesta di autorizzazione

Dominio non verificato

Se uno dei valori precedenti non è true, Microsoft Authenticator visualizza un avviso di pagina completo per l'utente che indica che il dominio non è verificato. L'utente viene avvisato che si trova al centro di una potenziale transazione rischiosa e deve procedere con cautela. Abbiamo scelto di seguire questo percorso perché:

  • L'operazione DID non è ancorata a un dominio.
  • La configurazione non è stata configurata correttamente.
  • L'operazione DID con cui l'utente interagisce potrebbe essere dannosa e in realtà non può dimostrare di essere proprietari del dominio collegato.

È importante collegare l'operazione DID a un dominio riconoscibile per l'utente.

Avviso di dominio non verificato nella schermata aggiungi credenziali

Come si aggiorna il dominio collegato nel file DID?

  1. Passare all'ID verificato nel portale di Azure.
  2. Sul lato sinistro della pagina selezionare Registrazione.
  3. Nella casella Dominio immettere il nuovo nome di dominio.
  4. Selezionare Pubblica.

Scegliere il pulsante Pubblica in modo che le modifiche diventino

Se il sistema di attendibilità è ION, potrebbero essere necessarie fino a due ore prima che il documento DID venga aggiornato nella rete ION con le nuove informazioni di dominio. Non sono possibili altre modifiche al dominio prima della pubblicazione delle modifiche. Se il sistema di attendibilità è Web, le modifiche vengono pubbliche non appena si sostituisce il file did-configuration.json nel server Web.

Nota

Se le modifiche hanno esito positivo, è necessario verificare il dominio appena aggiunto.

Dopo aver completato il processo di pubblicazione, è necessario verificare il dominio

È necessario attendere l'aggiornamento del documento DID per verificare i domini appena aggiunti?

Sì. È necessario attendere che il file config.json venga aggiornato prima di pubblicarlo usando il percorso di hosting del dominio.

Ricerca per categorie sapere quando l'aggiornamento del dominio collegato è stato completato correttamente?

Se il sistema di attendibilità è ION, dopo che le modifiche al dominio vengono pubblicate in ION, la sezione del dominio all'interno del servizio ID verificato di Microsoft Entra visualizzerà Pubblicato come stato e sarà possibile apportare nuove modifiche al dominio. Se il sistema di attendibilità è Web, le modifiche vengono pubbliche non appena si sostituisce il file did-configuration.json nel server Web.

Importante

Non è possibile apportare modifiche al dominio durante la pubblicazione.

Distribuire la configurazione nota

  1. Nella portale di Azure passare alla pagina ID verificato. Selezionare Registrazione e scegliere Verifica per il dominio

  2. Scaricare il file did-configuration.json illustrato nell'immagine seguente.

    Scaricare la configurazione nota

  3. Copiare il valore linked_did (JWT), aprire https://jwt.ms/, incollare il token JWT e verificare che il dominio sia corretto.

  4. Copiare il file DID e aprire ION Network Explorer per verificare che lo stesso dominio sia incluso nel documento DID.

  5. Ospitare la risorsa di configurazione nota nel percorso specificato. Esempio: https://www.example.com/.well-known/did-configuration.json

  6. Testare l'emissione o la presentazione con Microsoft Authenticator da convalidare. Assicurarsi che l'impostazione in Authenticator 'Warn about unsafe apps' sia attivata o disattivata.

Nota

Per impostazione predefinita, l'opzione "Avvisa sulle app non sicure" è attivata.

Congratulazioni, ora hai avviato il web di fiducia con il tuo DID!

Come è possibile verificare che la verifica funzioni?

Il portale verifica che sia did-configuration.json raggiungibile e corretto quando si fa clic sul pulsante Aggiorna stato verifica . È anche consigliabile verificare che sia possibile richiedere tale URL in un browser per evitare errori come l'uso di https, un certificato SSL non valido o l'URL non pubblico. Se il did-configuration.json file non può essere richiesto in modo anonimo in un browser o tramite strumenti come curl, senza avvisi o errori, il portale non sarà in grado di completare il passaggio Aggiorna stato verifica .

Nota

Se si verificano problemi durante l'aggiornamento dello stato di verifica, è possibile risolverlo tramite l'esecuzione curl -Iv https://yourdomain.com/.well-known/did-configuration.json in un computer con il sistema operativo Ubuntu. sottosistema Windows per Linux con Ubuntu funzionerà anche. Se curl ha esito negativo, l'aggiornamento dello stato di verifica non funzionerà.

Dominio collegato reso più semplice per gli sviluppatori

Il modo più semplice per uno sviluppatore di ottenere un dominio da usare per il dominio collegato consiste nell'usare la funzionalità del sito Web statico di Archiviazione di Azure. Non è possibile controllare quale sarà il nome di dominio, diverso da quello che conterrà il nome dell'account di archiviazione come parte del nome host.

Seguire questa procedura per configurare rapidamente un dominio da usare per il dominio collegato:

  1. Creare un account di archiviazione di Azure. Durante la creazione dell'account di archiviazione, scegliere ArchiviazioneV2 (account per utilizzo generico v2) e Archiviazione con ridondanza locale.
  2. Passare a tale account di archiviazione e selezionare Sito Web statico nel menu a sinistra e abilitare il sito Web statico. Se non è possibile visualizzare la voce di menu Sito Web statico , non è stato creato un account di archiviazione V2 .
  3. Copiare il nome dell'endpoint primario visualizzato dopo il salvataggio. Questo valore è il nome di dominio. Il risultato sarà simile a: https://<your-storageaccountname>.z6.web.core.windows.net/.

Quando si tratta di caricare il did-configuration.json file, seguire questa procedura:

  1. Passare a tale account di archiviazione e selezionare Contenitori nel menu a sinistra. Selezionare quindi il contenitore denominato $web.
  2. Selezionare Carica e selezionare sull'icona della cartella per trovare il file
  3. Prima del caricamento, aprire la sezione Avanzate e specificare .well-known nella casella di testo Carica nella cartella .
  4. Caricare il file.

Il file è ora disponibile pubblicamente in un URL simile https://<your-storageaccountname>.z6.web.core.windows.net/.well-known/did-configuration.jsona .

Passaggi successivi