Condividi tramite

Verificare la proprietà del dominio per il tuo identificatore decentralizzato

In questo articolo vengono esaminati i passaggi necessari per verificare la proprietà del nome di dominio usato per l'identificatore decentralizzato (DID).

Prerequisiti

Per verificare la proprietà del dominio al tuo DID, è necessario:

Verificare la proprietà del dominio e distribuire il file did-configuration.json

Il dominio di cui si verifica la proprietà per il tuo DID è definito nella sezione panoramica. Il dominio deve essere un dominio sotto il controllo e deve essere nel formato https://www.example.com/.

  1. Nell'interfaccia di amministrazione di Microsoft Entra scegliere Verified ID.

  2. Selezionare Panoramica e in questa sezione scegliere Verifica la proprietà del dominio.

  3. Selezionare Verifica per il dominio.

  4. Copiare o scaricare il did-configuration.json file.

    Screenshot che mostra lo scaricamento della configurazione conosciuta.

  5. Posizionare il file did-configuration.json nella posizione specificata. Ad esempio, se è stato specificato il dominio https://www.example.com, il file deve essere ospitato in https://www.example.com/.well-known/did-configuration.json. Nell'URL non possono essere presenti altri percorsi, ad eccezione del .well-known path nome.

  6. Quando did-configuration.json è disponibile pubblicamente nell'URL .well-known/did-configuration.json , verificarlo selezionando Aggiorna stato di verifica.

    Screenshot che mostra la configurazione ben nota verificata.

  7. Testare l'emissione o la presentazione con Microsoft Authenticator per la convalida. Assicurarsi che l'impostazione Avvisa per le app non sicure in Authenticator sia attivata. L'impostazione è attivata per impostazione predefinita.

Come è possibile verificare che la verifica funzioni?

Il portale verifica che did-configuration.json sia raggiungibile tramite Internet e valido quando si seleziona Aggiorna stato di verifica. Authenticator non rispetta i reindirizzamenti HTTP. È anche consigliabile verificare che sia possibile richiedere l'URL in un browser per evitare errori come l'uso di HTTPS, un certificato TLS/SSL non valido o l'URL non pubblico. Se il did-configuration.json file non può essere richiesto in modo anonimo in un browser o tramite strumenti come curl, senza avvisi o errori, il portale non può completare il passaggio Aggiorna stato verifica .

Annotazioni

Se si verificano problemi durante l'aggiornamento dello stato di verifica, è possibile risolverlo eseguendo curl -Iv https://yourdomain.com/.well-known/did-configuration.json in un computer con il sistema operativo Ubuntu. Funziona anche sottosistema Windows per Linux con Ubuntu. Se curl ha esito negativo, l'aggiornamento dello stato di verifica non funzionerà.

Perché è necessario verificare la proprietà del dominio del file DID?

Un DID inizia come un identificatore che non è ancorato ai sistemi esistenti. Un DID è utile perché un utente o un'organizzazione può possederlo e controllarlo. Se un'entità che interagisce con l'organizzazione non sa a chi appartiene il DID, allora il DID non è così utile.

Il collegamento di un'istruzione DID a un dominio risolve il problema di attendibilità iniziale consentendo a qualsiasi entità di verificare in modo crittografico la relazione tra did e un dominio.

L'ID verificato segue la specifica di configurazione DID nota per creare il collegamento. Il servizio di credenziali verificabili collega il tuo DID e il dominio. Il servizio include le informazioni sul dominio fornite nel file DID e genera il file di configurazione noto:

  1. L'ID verificato usa le informazioni sul dominio fornite durante la configurazione dell'organizzazione per scrivere un endpoint di servizio all'interno del documento DID. Tutte le parti che interagiscono con il tuo DID possono vedere il dominio con cui il tuo DID proclama essere associato.

    "service": [
  {
    "id": "#linkeddomains",
    "type": "LinkedDomains",
    "serviceEndpoint": {
      "origins": [
        "https://verifiedid.contoso.com/"
      ]
    }
  }
]

  2. Il servizio di credenziali verificabili in Verified ID genera una risorsa di configurazione ben nota conforme che è necessario ospitare sul tuo dominio. Il file di configurazione include una credenziale verificabile autocertificabile del tipo di credenziale DomainLinkageCredential, firmata con il tuo DID, che ha origine nel tuo dominio. Ecco un esempio del file di configurazione archiviato nell'URL del dominio radice.

    {
  "@context": "https://identity.foundation/.well-known/contexts/did-configuration-v0.0.jsonld",
  "linked_dids": [
    "jwt..."
  ]
}

Esperienza utente nel portafoglio

Quando un utente passa attraverso un flusso di rilascio o presenta credenziali verificabili, deve conoscere qualcosa sull'organizzazione e sul relativo DID. L'autenticatore convalida la relazione di un'operazione DID con il dominio nel documento DID e presenta agli utenti due esperienze diverse a seconda del risultato.

Dominio verificato

Prima che Authenticator visualizzi un'icona Verificata , alcuni punti devono essere true:

  • La firma DID della richiesta SIOP (Open ID) autocertificata deve avere un endpoint di servizio per un dominio collegato.
  • Il dominio radice non usa un reindirizzamento e usa HTTPS.
  • Il dominio elencato nel documento DID ha una risorsa ben nota risolvibile.
  • Le credenziali verificabili della risorsa nota sono firmate con lo stesso DID utilizzato per firmare il SIOP con cui l'Authenticator ha avviato il flusso.

Se tutti i punti indicati in precedenza sono true, Authenticator visualizza una pagina verificata e include il dominio convalidato.

Screenshot che mostra una nuova richiesta di autorizzazione.

Dominio non verificato

Se uno dei punti precedenti non è true, Authenticator visualizza un avviso a pagina intera che indica che il dominio non è verificato. L'utente viene avvisato che si trova al centro di una potenziale transazione rischiosa e deve procedere con cautela. Potrebbero aver scelto di seguire questo percorso perché:

  • Il DID non è ancorato a un dominio.
  • La configurazione non è stata configurata correttamente.
  • Il DID con cui l'utente sta interagendo potrebbe essere dannoso e in realtà non può dimostrare di essere il proprietario del dominio collegato.

È estremamente importante collegare il file DID a un dominio riconoscibile per l'utente.

Screenshot che mostra l'avviso di dominio non verificato nella schermata Aggiungi una credenziale.

Come si aggiorna il dominio collegato nel file DID?

Con il sistema di attendibilità Web, l'aggiornamento del dominio collegato non è supportato. È necessario disiscriversi e effettuare nuovamente l'onboarding.

Dominio collegato facilitato per gli sviluppatori

Annotazioni

Il documento DID deve essere disponibile pubblicamente affinché la registrazione DID abbia esito positivo.

Il modo più semplice per uno sviluppatore di ottenere un dominio da usare per un dominio collegato consiste nell'usare la funzionalità sito Web statico di Archiviazione di Azure. Non è possibile controllare il nome di dominio, ad eccezione del fatto che contiene il nome dell'account di archiviazione come parte del nome host.

Per configurare rapidamente un dominio da usare per un dominio collegato:

  1. Creare un account di archiviazione. Durante la creazione, selezionare StorageV2 (account per utilizzo generico v2) e Archiviazione con ridondanza locale (LRS).
  2. Passare all'account di archiviazione e selezionare Sito Web statico nel menu all'estrema sinistra e abilitare Sito Web statico. Se non è possibile visualizzare la voce di menu Sito Web statico , non è stato creato un account di archiviazione V2 .
  3. Copiare il nome dell'endpoint primario visualizzato dopo il salvataggio. Questo valore è il nome di dominio. Il risultato sarà simile a: https://<your-storageaccountname>.z6.web.core.windows.net/.

Quando è il momento di caricare il did-configuration.json file:

  1. Passare all'account di archiviazione e selezionare Contenitori nel menu all'estrema sinistra. Selezionare quindi il contenitore denominato $web.
  2. Selezionare Carica e selezionare l'icona della cartella per trovare il file.
  3. Prima di caricare, aprire la sezione Avanzate e specificare .well-known nella casella di testo Carica nella cartella .
  4. Carica il file.

Ora hai reso il tuo file disponibile pubblicamente a un URL che appare simile a https://<your-storageaccountname>.z6.web.core.windows.net/.well-known/did-configuration.json.

Passaggi successivi