ディレクトリ ベースの要求に対して検証可能な資格情報を発行する
注意
Azure Active Directory の検証可能な資格情報が Microsoft Entra 検証済み ID になり、Microsoft Entra 製品ファミリの一部になりました。 ID ソリューションの Microsoft Entra ファミリの詳細を確認し、統合 Microsoft Entra 管理センターで作業を開始してください。
このガイドでは、Microsoft Entra テナントのディレクトリ内のユーザー プロファイルから要求が取得される資格情報を作成します。 ディレクトリ ベースの要求では、ディレクトリ内のユーザーが従業員である場合は、VerifiedEmployee 型の検証可能な資格情報を作成できます。
この記事では、次のことについて説明します。
- ディレクトリ内にユーザーを作成する
- ユーザーを Microsoft Authenticator 向けにセットアップする
- 検証済み従業員の資格情報を作成する
- 検証済み従業員の資格情報を発行して確認するようにサンプルを構成する
前提条件
- Microsoft Entra 確認済み ID 資格情報のテナントを設定します。
- 検証可能な資格情報の発行と検証のチュートリアルを完了します。
- テスト ユーザー アカウントとして使用できる Microsoft Authenticator を備えた携帯電話。
ディレクトリ内にユーザーを作成する
既にテスト ユーザーがある場合は、このセクションをスキップしてかまいません。 テスト ユーザーを作成する場合は、次の手順に従います。
- ユーザー管理者として、Azure portal でMicrosoft Entra ID に移動します
- [ユーザー] と [+ 新しいユーザー] を選択し、[[x] ユーザーの作成] を選択したままにします
- [ユーザー名]、[名前]、[名]、[姓] の値を入力します。
- [[x] パスワードの表示] をオンにし、一時パスワードをメモ帳などの場所にコピーし、[作成] ボタンを選択します。
- 新しいユーザーを探し、[プロファイルの表示] を選択し、[編集] を選択します。 次の属性を更新し、[保存] を選択します。
- 役職
- メールアドレス ([連絡先情報] セクション内。既存のメールアドレスである必要はありません)
- 写真 (サムネイルのような低解像度の JPG ファイルを選択。最大サイズは 2 MB)
- 新しい非公開のブラウザー ウィンドウを開き、https://myapps.microsoft.com/ などのページに移動し、新しいユーザーでサインインします。 ユーザー名は meganb@yourtenant.onmicrosoft.com のようになります。 パスワードの変更を求められます
ユーザーを Microsoft Authenticator 向けにセットアップする
テスト ユーザーのアカウントで Microsoft Authenticator をセットアップする必要があります。 テスト ユーザー アカウントで Authenticator を有効にするには、次の手順に従います。
- モバイル テスト デバイスで、Microsoft Authenticator を開き、下部にある [Authenticator] タブに移動し、+ サインをタップしてアカウントを追加します。 [職場または学校アカウント] を選択します
- プロンプトで [サインイン] を選択します。 [QR コードのスキャン] を選択しないでください
- Microsoft Entra テナントでテスト ユーザーの資格情報を使用してサインインします
- Authenticator により、モバイル デバイスのブラウザーで https://aka.ms/mfasetup が起動します。 テスト ユーザーの資格情報を使用して再度サインインする必要があります。
- [アプリでアカウントを設定する] で、[このリンクをクリックしてアカウントとアプリをペアリングする] を選択します。 Microsoft Authenticator アプリが開き、テスト ユーザーが追加されたアカウントとして表示されます
https://aka.ms/mfasetup がサインインを求めずに起動した場合は、このデバイス上の別のユーザーに Authenticator が既に設定されていることを意味します。 ユーザーに対して既に構成されている場合、Authenticator によって自動的にサインインが行われます。 ブラウザーの現在ログインしているユーザーをサインアウトし、上記の手順を繰り返します。 ページを拡大すると、右上隅に [サインアウト] ボタンが表示されます
検証済み従業員の資格情報を作成する
ポータルで [+ 資格情報の追加] を選ぶと、2 つのクイックスタートを起動するオプションが表示されます。 [検証済みの従業員] を選択し、[次へ] を選択します。
次の画面では、ロゴの URL、テキスト、背景色など、表示定義の一部を入力します。 資格情報はディレクトリ ベースのクレームを含むマネージド資格情報であるため、規則の定義は事前に定義されており、変更できません。 ルール定義の詳細を入力する必要はありません。 資格情報の種類は VerifiedEmployee になり、ユーザーのプロファイルからの要求は事前設定されています。 [作成] を選び、コンテナーを作成します。
検証済み従業員資格情報の要求スキーマ
検証済み従業員資格情報のすべての要求は、発行元テナントの Microsoft Entra ID のユーザーのプロファイルの属性から取得されます。 クレームのセットを変更することはできません。 写真を除くすべての要求は、Microsoft Graph クエリ https://graph.microsoft.com/v1.0/me から取得されます。 写真の要求は、Microsoft Graph クエリ https://graph.microsoft.com/v1.0/me/photo/$value から返された値から取得されます。
要求 | ディレクトリの属性 | 値 |
---|---|---|
revocationId |
userPrincipalName |
ユーザーの UPN は、revocationId という名前の要求として追加され、インデックスが付けられます。 |
displayName |
displayName |
ユーザーの表示名 |
givenName |
givenName |
ユーザーの名 |
surname |
surname |
ユーザーの姓 |
jobTitle |
jobTitle |
ユーザーの役職。 この属性は、ユーザーのプロファイルに既定で値を持ちません。 ユーザーのプロファイルに値が指定されていない場合、発行された VC に jobTitle 要求はありません。 |
preferredLanguage |
preferredLanguage |
ISO 639-1 に従い、en-us のような値を含める必要があります。 既定値は指定されません。 値がない場合、発行された VC には要求は含まれません。 |
mail |
mail |
ユーザーの電子メール アドレス。 mail 値が UPN と同じではありません。 また、既定では値を持たない属性でもあります。 |
photo |
photo |
ユーザーのアップロードされた写真。 画像の種類は JPEG でなければならず、最大サイズは 2 MB です。 写真要求を検証ツールに提示する場合、写真の要求は UrlEncode(Base64Encode(photo)) 形式になります。 写真を使用するには、検証ツール アプリケーションで Base64Decode(UrlDecode(photo)) を使用する必要があります。 |
Microsoft Entra ユーザー プロファイルの完全なプロパティのリファレンスを参照してください。
ユーザーの Microsoft Entra プロファイルで属性値が変更された場合、VC は自動的には再発行されません。 手動で再発行する必要があります。 発行は、サンプルを使用する場合の発行プロセスと同じになります。
検証済み従業員の資格情報を発行して確認するようにサンプルを構成する
ディレクトリ ベースの要求の検証可能な資格情報は、作成した他の資格情報と同様に発行および検証できます。 必要なのは、テナントの発行者 DID、資格情報の種類、資格情報のマニフェスト URL です。 マネージド資格情報のこれらの値を見つける最も簡単な方法は、ポータルで資格情報を表示し、[Issue credential] (資格情報の発行) を選ぶと、[Custom issue] (カスタムの発行) というヘッダーが表示されます。 次の手順では、要求サービス API のスケルトン JSON ペイロードを含むテキスト ボックスが表示されます。
この画面には、サンプル デプロイの構成ファイルにコピーして貼り付けることができる値があります。 発行者の DID は機関の値です。
- authority - 発行者の DID
- type - 資格情報の種類は、検証済みの従業員の資格情報を確認するときに常に
VerifiedEmployee
です - manifest - 資格情報マニフェスト URL
構成ファイルは、使用中のサンプルによって異なります。
- Dotnet - appsettings.json
- node - config.json
- python - config.json
- Java - 値は run.cmd および run.sh で、または docker を使用する場合は docker-run.cmd/docker-run.sh で環境変数として設定されます。
注釈
注意
このスキーマは固定されており、スキーマ内の要求を追加または削除することはサポートされていません。 ディレクトリ ベースの要求の構成証明フローも固定されており、ID トークン ヒントの構成証明フローなどを使用するカスタム資格情報になるように変更することはサポートされていません。
次の手順
検証可能な資格情報をカスタマイズする方法について確認します。