Бөлісу құралы:


Расширенная настройка Проверенные учетные данные Microsoft Entra

Настройка расширенного проверенного идентификатора — это классический способ настройки проверенного идентификатора, в котором администратор должен настроить Azure KeyVault, зарегистрировать децентрализованный идентификатор и проверить домен.

В этом руководстве описано, как использовать расширенную настройку для настройки клиента Microsoft Entra для использования проверяемой службы учетных данных.

В частности, вы узнаете, как выполнять следующие задачи:

  • Создание экземпляра Azure Key Vault.
  • Настройте службу проверенных идентификаторов с помощью расширенной настройки.
  • Зарегистрируйте приложение в Microsoft Entra ID.

На следующей диаграмме показана архитектура проверяемых удостоверений и настраиваемый компонент.

Диаграмма архитектуры проверенного идентификатора Microsoft Entra.

Необходимые компоненты

Создание хранилища ключей

Примечание.

Azure Key Vault, используемый для настройки проверенной службы идентификаторов, должен иметь политику доступа к Key Vault для своей модели разрешений. В настоящее время существует ограничение, если в Key Vault есть управление доступом на основе ролей Azure.

Azure Key Vault — это облачная служба, которая обеспечивает безопасное хранилище и управление доступом секретов и ключей. Служба проверяемых удостоверений хранит открытые и закрытые ключи в Azure Key Vault. Эти ключи используются для подписания и проверки удостоверений.

Если у вас нет экземпляра Azure Key Vault, выполните следующие действия, чтобы создать хранилище ключей с помощью портал Azure, Azure Key Vault, который используется для настройки проверенной службы идентификации, должен иметь политику доступа Key Vault для своей модели разрешений вместо управления доступом на основе ролей Azure, которая в настоящее время используется по умолчанию при создании Azure Key Vault.

Примечание.

По умолчанию доступ имеет только учетная запись, которая создает хранилище. Для службы проверяемых удостоверений требуется доступ к хранилищу ключей. Необходимо пройти проверку подлинности хранилища ключей, позволяя учетной записи, используемой во время настройки, создавать и удалять ключи. Учетной записи, использованной при настройке, также требуется разрешение на подпись, чтобы создать привязку к домену для службы проверяемых удостоверений. Если вы используете одну и ту же учетную запись во время тестирования, измените политику по умолчанию, чтобы предоставить учетной записи разрешение на подпись в дополнение к разрешениям по умолчанию, предоставляемым создателям хранилища.

Управление доступом к хранилищу ключей

Прежде чем настроить проверенный идентификатор, необходимо предоставить доступ к Key Vault. Это определяет, может ли указанный администратор выполнять операции с секретами и ключами Key Vault. Предоставьте разрешения на доступ к хранилищу ключей как для учетной записи администратора проверенного идентификатора, так и для созданного субъекта API службы запросов.

Когда вы создадите хранилище ключей, служба "Проверяемые удостоверения" создаст набор ключей, используемых для обеспечения безопасности сообщений. Эти ключи хранятся в Key Vault. Этот набор ключей используется для подписывания, обновления и восстановления проверяемых удостоверений.

Настройка проверяемого удостоверения

Снимок экрана: настройка проверяемых учетных данных.

Чтобы настроить проверяемое удостоверение, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.

  2. Выберите проверенный идентификатор.

  3. В меню слева выберите "Настройка".

  4. В среднем меню выберите "Настройка параметров организации".

  5. Настройте организацию, предоставив следующие сведения.

    1. Название организации: введите имя для ссылки на бизнес в проверенных идентификаторах. Ваши клиенты не видят это имя.

    2. Доверенный домен: введите домен, добавленный в конечную точку службы в документе децентрализованного удостоверения (DID). Домен является привязкой вашего пользователя к какому-то важному факту о вашей компании, о котором пользователь может знать. Microsoft Authenticator и другие цифровые кошельки используют эти сведения, чтобы проверить, связан ли ваш DID с вашим доменом. Если кошелек может проверить DID, он отображает символ "проверено". Если кошельку не может проверить DID, он информирует пользователя о том, что учетные данные выданы организацией, которую ему не удалось проверить.

      Внимание

      Домен не может являться перенаправлением. В противном случае DID нельзя привязать к домену. Убедитесь, что для домена используется протокол HTTPS. Например: https://did.woodgrove.com.

    3. Хранилище ключей: выберите хранилище ключей, которое создали ранее.

  6. Выберите Сохранить.

    Снимок экрана, на котором показано, как настроить проверяемые учетные данные на первом шаге.

Регистрация приложения в идентификаторе Microsoft Entra

Приложению необходимо получить маркеры доступа, когда требуется вызвать проверяемый идентификатор Microsoft Entra, чтобы оно могло выдать или проверить учетные данные. Чтобы получить маркеры доступа, вам нужно зарегистрировать приложение и предоставить разрешение на использование API службы запросов проверяемых идентификаторов. Например, для веб-приложения выполните следующие действия:

  1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.

  2. Выберите Microsoft Entra ID.

  3. В разделе "Приложения" выберите регистрацию Регистрация приложений> New.

    Снимок экрана, на котором показано, как выбрать новую регистрацию приложения.

  4. Введите отображаемое имя приложения. Например, verifiable-credentials-app.

  5. Для параметра Поддерживаемые типы учетных записей выберите Учетные записи только в этом каталоге организации (только каталог по умолчанию — один клиент)

  6. Выберите Зарегистрировать, чтобы создать приложение.

    Снимок экрана, на котором показано, как зарегистрировать приложение для работы с проверяемыми удостоверениями.

Предоставление разрешений на получение маркеров доступа

На этом шаге вы предоставите разрешения субъекту-службе запросов службе проверяемых удостоверений.

Чтобы добавить требуемые разрешения:

  1. Оставайтесь на странице сведений о приложении verifiable-credentials-app. Выберите Разрешения API>Добавить разрешение.

    Снимок экрана, на котором показано, как добавить разрешения для приложения для работы с проверяемыми удостоверениями.

  2. Выберите API-интерфейсы, которые использует моя организация.

  3. Найдите субъект-службу запроса проверяемых учетных данных и выберите его.

    На снимке экрана показано, как выбрать субъект-службу.

  4. Выберите Разрешение приложения и разверните узел VerifiableCredential.Create.All.

    Снимок экрана, на котором показано, как выбрать необходимые разрешения.

  5. Выберите Добавить разрешения.

  6. Выберите Предоставить согласие администратора для <имя арендатора>.

Вы можете предоставить разрешения на выдачу и презентацию отдельно, если вы предпочитаете разделять области для разных приложений.

Снимок экрана, на котором показано, как выбрать детализированные разрешения для выдачи или презентации.

Регистрация децентрализованного идентификатора и проверка владения доменом

После настройки Azure Key Vault и службы есть ключ подписывания, необходимо выполнить шаг 2 и 3 в настройке.

Снимок экрана, на котором показано, как настроить проверяемые учетные данные на шаге 2 и 3.

  1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.
  2. Выберите проверяемые учетные данные.
  3. В меню слева выберите "Настройка".
  4. В среднем меню выберите "Зарегистрировать децентрализованный идентификатор", чтобы зарегистрировать документ DID, как описано в статье "Как зарегистрировать децентрализованный идентификатор для did:web". Прежде чем продолжить проверку домена, необходимо выполнить этот шаг. Если вы выбрали :ion в качестве системы доверия, этот шаг следует пропустить.
  5. В среднем меню выберите "Проверить владение доменом" , чтобы проверить ваш домен, как по инструкциям в статье "Проверка владения доменом" для децентрализованного идентификатора (DID)

После успешного выполнения шагов проверки и наличия зеленых флажок на всех трех шагах вы можете продолжить работу со следующим руководством.

Следующие шаги