Расширенная настройка Проверенные учетные данные Microsoft Entra
Настройка расширенного проверенного идентификатора — это классический способ настройки проверенного идентификатора, в котором администратор должен настроить Azure KeyVault, зарегистрировать децентрализованный идентификатор и проверить домен.
В этом руководстве описано, как использовать расширенную настройку для настройки клиента Microsoft Entra для использования проверяемой службы учетных данных.
В частности, вы узнаете, как выполнять следующие задачи:
- Создание экземпляра Azure Key Vault.
- Настройте службу проверенных идентификаторов с помощью расширенной настройки.
- Зарегистрируйте приложение в Microsoft Entra ID.
На следующей диаграмме показана архитектура проверяемых удостоверений и настраиваемый компонент.
Необходимые компоненты
- Вам потребуется клиент Azure с активной подпиской. Если у вас еще нет подписки Azure, создайте бесплатную учетную запись Azure.
- Убедитесь, что у вас есть разрешение глобального администратора или администратора политики проверки подлинности для каталога, который требуется настроить. Если вы не глобальный администратор, вам потребуется разрешение администратора приложения для завершения регистрации приложения, включая предоставление согласия администратора.
- Убедитесь, что у вас есть роль участника для подписки Azure или группы ресурсов, в которой выполняется развертывание Azure Key Vault.
- Убедитесь, что вы предоставляете разрешения доступа для Key Vault. Дополнительные сведения см. в статье Предоставление доступа к ключам, сертификатам и секретам Key Vault с помощью управления доступом на основе ролей Azure.
Создание хранилища ключей
Примечание.
Azure Key Vault, используемый для настройки проверенной службы идентификаторов, должен иметь политику доступа к Key Vault для своей модели разрешений. В настоящее время существует ограничение, если в Key Vault есть управление доступом на основе ролей Azure.
Azure Key Vault — это облачная служба, которая обеспечивает безопасное хранилище и управление доступом секретов и ключей. Служба проверяемых удостоверений хранит открытые и закрытые ключи в Azure Key Vault. Эти ключи используются для подписания и проверки удостоверений.
Если у вас нет экземпляра Azure Key Vault, выполните следующие действия, чтобы создать хранилище ключей с помощью портал Azure, Azure Key Vault, который используется для настройки проверенной службы идентификации, должен иметь политику доступа Key Vault для своей модели разрешений вместо управления доступом на основе ролей Azure, которая в настоящее время используется по умолчанию при создании Azure Key Vault.
Примечание.
По умолчанию доступ имеет только учетная запись, которая создает хранилище. Для службы проверяемых удостоверений требуется доступ к хранилищу ключей. Необходимо пройти проверку подлинности хранилища ключей, позволяя учетной записи, используемой во время настройки, создавать и удалять ключи. Учетной записи, использованной при настройке, также требуется разрешение на подпись, чтобы создать привязку к домену для службы проверяемых удостоверений. Если вы используете одну и ту же учетную запись во время тестирования, измените политику по умолчанию, чтобы предоставить учетной записи разрешение на подпись в дополнение к разрешениям по умолчанию, предоставляемым создателям хранилища.
Управление доступом к хранилищу ключей
Прежде чем настроить проверенный идентификатор, необходимо предоставить доступ к Key Vault. Это определяет, может ли указанный администратор выполнять операции с секретами и ключами Key Vault. Предоставьте разрешения на доступ к хранилищу ключей как для учетной записи администратора проверенного идентификатора, так и для созданного субъекта API службы запросов.
Когда вы создадите хранилище ключей, служба "Проверяемые удостоверения" создаст набор ключей, используемых для обеспечения безопасности сообщений. Эти ключи хранятся в Key Vault. Этот набор ключей используется для подписывания, обновления и восстановления проверяемых удостоверений.
Настройка проверяемого удостоверения
Чтобы настроить проверяемое удостоверение, выполните следующие действия.
Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.
Выберите проверенный идентификатор.
В меню слева выберите "Настройка".
В среднем меню выберите "Настройка параметров организации".
Настройте организацию, предоставив следующие сведения.
Название организации: введите имя для ссылки на бизнес в проверенных идентификаторах. Ваши клиенты не видят это имя.
Доверенный домен: введите домен, добавленный в конечную точку службы в документе децентрализованного удостоверения (DID). Домен является привязкой вашего пользователя к какому-то важному факту о вашей компании, о котором пользователь может знать. Microsoft Authenticator и другие цифровые кошельки используют эти сведения, чтобы проверить, связан ли ваш DID с вашим доменом. Если кошелек может проверить DID, он отображает символ "проверено". Если кошельку не может проверить DID, он информирует пользователя о том, что учетные данные выданы организацией, которую ему не удалось проверить.
Внимание
Домен не может являться перенаправлением. В противном случае DID нельзя привязать к домену. Убедитесь, что для домена используется протокол HTTPS. Например:
https://did.woodgrove.com
.Хранилище ключей: выберите хранилище ключей, которое создали ранее.
Выберите Сохранить.
Регистрация приложения в идентификаторе Microsoft Entra
Приложению необходимо получить маркеры доступа, когда требуется вызвать проверяемый идентификатор Microsoft Entra, чтобы оно могло выдать или проверить учетные данные. Чтобы получить маркеры доступа, вам нужно зарегистрировать приложение и предоставить разрешение на использование API службы запросов проверяемых идентификаторов. Например, для веб-приложения выполните следующие действия:
Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.
Выберите Microsoft Entra ID.
В разделе "Приложения" выберите регистрацию Регистрация приложений> New.
Введите отображаемое имя приложения. Например, verifiable-credentials-app.
Для параметра Поддерживаемые типы учетных записей выберите Учетные записи только в этом каталоге организации (только каталог по умолчанию — один клиент)
Выберите Зарегистрировать, чтобы создать приложение.
Предоставление разрешений на получение маркеров доступа
На этом шаге вы предоставите разрешения субъекту-службе запросов службе проверяемых удостоверений.
Чтобы добавить требуемые разрешения:
Оставайтесь на странице сведений о приложении verifiable-credentials-app. Выберите Разрешения API>Добавить разрешение.
Выберите API-интерфейсы, которые использует моя организация.
Найдите субъект-службу запроса проверяемых учетных данных и выберите его.
Выберите Разрешение приложения и разверните узел VerifiableCredential.Create.All.
Выберите Добавить разрешения.
Выберите Предоставить согласие администратора для <имя арендатора>.
Вы можете предоставить разрешения на выдачу и презентацию отдельно, если вы предпочитаете разделять области для разных приложений.
Регистрация децентрализованного идентификатора и проверка владения доменом
После настройки Azure Key Vault и службы есть ключ подписывания, необходимо выполнить шаг 2 и 3 в настройке.
- Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.
- Выберите проверяемые учетные данные.
- В меню слева выберите "Настройка".
- В среднем меню выберите "Зарегистрировать децентрализованный идентификатор", чтобы зарегистрировать документ DID, как описано в статье "Как зарегистрировать децентрализованный идентификатор для did:web". Прежде чем продолжить проверку домена, необходимо выполнить этот шаг. Если вы выбрали :ion в качестве системы доверия, этот шаг следует пропустить.
- В среднем меню выберите "Проверить владение доменом" , чтобы проверить ваш домен, как по инструкциям в статье "Проверка владения доменом" для децентрализованного идентификатора (DID)
После успешного выполнения шагов проверки и наличия зеленых флажок на всех трех шагах вы можете продолжить работу со следующим руководством.