고급 Microsoft Entra 확인된 ID 설정

고급 확인된 ID 설정은 관리자가 Azure KeyVault를 구성하고, 탈중앙화 ID를 등록하고기본 확인해야 하는 확인된 ID를 설정하는 클래식 방법입니다.

이 자습서에서는 고급 설정을 사용하여 확인 가능한 자격 증명 서비스를 사용하도록 Microsoft Entra 테넌트 구성 방법을 알아봅니다.

특히 다음 방법을 알아봅니다.

• Azure Key Vault 인스턴스를 만듭니다.
• 고급 설정을 사용하여 확인된 ID 서비스로 구성합니다.
• Microsoft Entra ID에 애플리케이션을 등록합니다.

다음 다이어그램은 Verified ID 아키텍처와 구성하는 구성 요소를 보여 줍니다.

필수 조건

• 활성 구독이 있는 Azure 테넌트가 필요합니다. Azure 구독이 아직 없는 경우 체험판 구독을 만듭니다.
• 구성하려는 디렉터리에 대한 전역 관리자 또는 인증 정책 관리자 권한이 있어야 합니다. 전역 관리자가 아닌 경우 관리자 동의 부여를 포함하여 앱 등록을 완료하려면 애플리케이션 관리자 권한이 필요합니다.
• Azure 구독 또는 Azure Key Vault를 배포할 리소스 그룹에 대한 기여자 역할이 있는지 확인합니다.
• Key Vault에 대한 액세스 권한을 제공해야 합니다. 자세한 내용은 Azure 역할 기반 액세스 제어를 사용하여 Key Vault 키, 인증서 및 비밀에 대한 액세스 제공을 참조하세요.

키 자격 증명 모음 만들기

Azure Key Vault 는 비밀 및 키의 보안 스토리지 및 액세스 관리를 가능하게 하는 클라우드 서비스입니다. Verified ID 서비스는 Azure Key Vault에 공용 및 프라이빗 키를 저장합니다. 이러한 키는 자격 증명에 서명하고 확인하는 데 사용됩니다.

Azure Key Vault 인스턴스를 사용할 수 없는 경우 다음 단계에 따라 Azure Portal을 사용하여 키 자격 증명 모음을 만듭니다.

참고 항목

기본적으로 자격 증명 모음을 만드는 계정에만 액세스 권한이 있습니다. Verified ID 서비스는 키 자격 증명 모음에 대한 액세스 권한이 필요합니다. 구성 중에 사용된 계정이 키를 만들고 삭제할 수 있도록 키 자격 증명 모음을 인증해야 합니다. 구성 중에 사용되는 계정에는 Verified ID에 대한 도메인 바인딩을 만들 수 있도록 서명 권한도 필요합니다. 테스트하는 동안 동일한 계정을 사용하는 경우에는 자격 증명 모음 생성자에게 부여된 기본 권한 외에도 계정 서명 권한을 부여하도록 기본 정책을 수정합니다.

키 자격 증명 모음에 대한 액세스 관리

확인된 ID를 설정하려면 Key Vault 액세스를 제공해야 합니다. 이는 지정된 관리자가 Key Vault 비밀 및 키에 대한 작업을 수행할 수 있는지 여부를 정의합니다. 확인된 ID 관리자 계정과 사용자가 만든 Request Service API 보안 주체 모두에 대해 키 자격 증명 모음에 대한 액세스 권한을 제공합니다.

Key Vault를 만든 후 확인 가능한 자격 증명은 메시지 보안을 제공하는 데 사용되는 키 집합을 생성합니다. 이러한 키는 Key Vault에 저장됩니다. 확인 가능한 자격 증명을 서명, 업데이트 및 복구하는 데 키 집합을 사용합니다.

Verified ID 설정

Verified ID를 설정하려면 다음 단계를 따릅니다.

1. 최소한 전역 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. Verified ID를 선택합니다.

3. 왼쪽 메뉴에서 설치를 선택합니다.

4. 가운데 메뉴에서 조직 설정 구성을 선택합니다.

5. 다음 정보를 제공하여 조직을 설정합니다.

   1. 조직 이름: 확인된 ID 내에서 비즈니스를 참조할 이름을 입력합니다. 고객에게는 이 이름이 표시되지 않습니다.

   2. 신뢰할 수 있는 도메인: DID(탈중앙화 ID) 문서의 서비스 엔드포인트에 추가되는 도메인을 입력합니다. 도메인은 DID를 사용자가 해당 비즈니스에 대해 알 수 있는 유형의 무언가에 바인딩하는 것입니다. Microsoft Authenticator 및 기타 디지털 지갑에서 이 정보를 사용하여 DID가 도메인에 연결되어 있는지 확인합니다. 월렛이 DID를 확인할 수 있으면 확인된 기호가 표시됩니다. 월렛이 DID를 확인할 수 없는 경우 유효성을 검사할 수 없는 조직에서 자격 증명이 발급되었음을 사용자에게 알립니다.

      Important

      도메인은 리디렉션이 될 수 없습니다. 리디렉션이 가능한 경우에는 DID와 도메인을 연결할 수 없습니다. HTTPS를 도메인에 사용해야 합니다. 예: https://did.woodgrove.com

   3. Key Vault: 이전에 만든 키 자격 증명 모음을 선택합니다.

6. 저장을 선택합니다.

   

Microsoft Entra ID에 애플리케이션 등록

애플리케이션은 자격 증명을 발급하거나 확인할 수 있도록 Microsoft Entra Verified ID를 호출하려는 경우 액세스 토큰을 가져와야 합니다. 액세스 토큰을 받기 위해서는 웹 애플리케이션을 등록하고 Verified ID 요청 서비스에 대한 API 권한을 부여해야 합니다. 예를 들어 웹 애플리케이션에 대해 다음 단계를 사용합니다.

1. 최소한 전역 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. Microsoft Entra ID를 선택합니다.

3. 애플리케이션에서 앱 등록>새 등록을 선택합니다.

   

4. 애플리케이션의 표시 이름을 입력합니다. 예를 들어 verifiable-credentials-app과 같습니다.

5. 지원되는 계정 유형에 대해 이 조직 디렉터리의 계정만(기본 디렉터리만 - 단일 테넌트)을 선택합니다.

6. 등록을 선택하여 애플리케이션을 만듭니다.

   

액세스 토큰을 얻을 수 있는 권한 부여

이 단계에서는 권한을 확인 가능한 자격 증명 서비스 요청 서비스 주체에 부여합니다.

필요한 권한을 추가하려면 다음 단계를 수행합니다.

1. verifiable-credentials-app 애플리케이션 세부 정보 페이지에 남아 있습니다. API 권한>권한 추가를 선택합니다.

   

2. 조직에서 사용하는 API 선택.

3. 확인 가능한 자격 증명 서비스 요청 서비스 주체를 검색하고 선택합니다.

   

4. 애플리케이션 권한을 선택하고, VerifiableCredential.Create.All을 펼칩니다.

   

5. 권한 추가를 선택합니다.

6. <테넌트 이름>에 대한 관리자 동의 부여를 선택합니다.

범위를 다른 애플리케이션으로 분리하려는 경우 발급 및 프레젠테이션 권한을 별도로 부여하도록 선택할 수 있습니다.

탈중앙화 ID 등록 및 도메인 소유권 확인

Azure Key Vault가 설정되고 서비스에 서명 키가 있으면 설정에서 2단계와 3단계를 완료해야 합니다.

1. 최소한 전역 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
2. 확인 가능한 자격 증명을 선택합니다.
3. 왼쪽 메뉴에서 설치를 선택합니다.
4. did:web에 대한 탈중앙화 ID를 등록하는 방법 문서의 지침에 따라 가운데 메뉴에서 분산 ID 등록을 선택하여 DID 문서를 등록합니다. 도메인을 계속 확인하려면 먼저 이 단계를 완료해야 합니다. did:ion을 신뢰 시스템으로 선택한 경우 이 단계를 건너뛰어야 합니다.
5. DID(탈중앙화 식별자)에 대한 도메인 소유권 확인 문서의 지침에 따라 가운데 메뉴에서 도메인 소유권 확인을 선택하여 도메인을 확인합니다.

확인 단계를 완료하고 세 단계 모두에서 녹색 확인 표시를 했으면 다음 자습서를 계속 진행할 준비가 된 것입니다.

다음 단계

• 웹 애플리케이션에서 Microsoft Entra Verified ID 자격 증명을 발급하는 방법을 알아봅니다.
• Microsoft Entra Verified ID 자격 증명을 확인하는 방법을 알아봅니다.