Microsoft Entra Verified ID에 대한 테넌트 구성

참고

Azure Active Directory 확인 가능한 자격 증명은 이제 Microsoft Entra 확인 ID이며 Microsoft Entra 제품군의 일부입니다. ID 솔루션의 Microsoft Entra 제품군에 대해 자세히 알아보고 통합 Microsoft Entra 관리 센터에서 시작합니다.

Microsoft Entra Verified ID는 조직을 보호할 수 있도록 하는 탈중앙화 ID 솔루션입니다. 이 서비스를 사용하면 자격 증명을 발급하고 확인할 수 있습니다. 발급자는 Verified ID 서비스를 사용하여 자신의 사용자 지정 확인 가능한 자격 증명을 발급할 수 있습니다. 검증자는 서비스의 무료 REST API를 사용하여 앱과 서비스에서 검증 가능한 자격 증명을 쉽게 요청하고 수락할 수 있습니다. 두 경우 모두 사용자 고유의 확인 가능한 자격 증명을 발급하거나 다른 조직에서 발급한 사용자의 확인 가능한 자격 증명을 표시하는 데 사용할 수 있도록 Azure AD 테넌트를 구성해야 합니다. 발급자이자 검증 도구인 경우 단일 Azure AD 테넌트를 사용하여 자체 확인 가능한 자격 증명을 발급하고 다른 사용자의 자격 증명을 확인할 수 있습니다.

이 자습서에서는 검증 가능한 자격 증명 서비스를 사용하도록 Azure AD 테넌트를 구성하는 방법을 알아봅니다.

특히 다음 방법을 알아봅니다.

  • Azure Key Vault 인스턴스를 만듭니다.
  • 확인된 ID 서비스를 설정합니다.
  • Azure AD에서 애플리케이션을 등록합니다.

다음 다이어그램은 Verified ID 아키텍처와 구성하는 구성 요소를 보여 줍니다.

Microsoft Entra Verified ID 아키텍처를 보여 주는 다이어그램.

필수 구성 요소

키 자격 증명 모음 만들기

Azure Key Vault는 비밀 및 키의 보안 스토리지 및 액세스를 가능하게 하는 클라우드 서비스입니다. Verified ID 서비스는 Azure Key Vault에 공용 및 프라이빗 키를 저장합니다. 이러한 키는 자격 증명에 서명하고 확인하는 데 사용됩니다.

Azure Key Vault 인스턴스를 사용할 수 없는 경우 다음 단계에 따라 Azure Portal을 사용하여 키 자격 증명 모음을 만듭니다.

참고

기본적으로 자격 증명 모음을 만드는 계정에만 액세스 권한이 있습니다. Verified ID 서비스는 키 자격 증명 모음에 대한 액세스 권한이 필요합니다. 구성 중에 사용된 계정이 키를 만들고 삭제할 수 있도록 하는 액세스 정책으로 키 자격 증명 모음을 구성해야 합니다. 구성 중에 사용되는 계정에는 Verified ID에 대한 도메인 바인딩을 만들 수 있도록 서명 권한도 필요합니다. 테스트하는 동안 동일한 계정을 사용하는 경우에는 자격 증명 모음 생성자에게 부여된 기본 권한 외에도 계정 서명 권한을 부여하도록 기본 정책을 수정합니다.

Key Vault에 대한 액세스 정책 설정

Key Vault 액세스 정책은 지정된 보안 주체가 Key Vault 비밀 및 키에 대한 작업을 수행할 수 있는지 여부를 정의합니다. Verified ID 서비스 관리자 계정과 만든 Request Service API 보안 주체 모두에 대해 키 자격 증명 모음에서 액세스 정책을 설정합니다. Key Vault를 만든 후 확인 가능한 자격 증명은 메시지 보안을 제공하는 데 사용되는 키 집합을 생성합니다. 이러한 키는 Key Vault에 저장됩니다. 확인 가능한 자격 증명을 서명, 업데이트 및 복구하는 데 키 집합을 사용합니다.

Verified ID Admin 사용자에 대한 액세스 정책 설정

  1. Azure Portal에서 이 자습서에 사용하는 Key Vault로 이동합니다.

  2. 설정에서 액세스 정책을 선택합니다.

  3. 액세스 정책 추가사용자 아래에서 이 자습서를 수행하는 데 사용할 계정을 선택합니다.

  4. 키 권한에 대해 만들기, 삭제서명 권한이 선택되어 있는지 확인합니다. 기본적으로 만들기삭제는 이미 사용하도록 설정되어 있습니다. 서명 키 권한만 업데이트하면 됩니다.

관리자 액세스 정책을 구성하는 방법을 보여 주는 스크린샷

  1. 변경 내용을 저장하려면 저장을 선택합니다.

Verified ID 설정

Verified ID를 설정하려면 다음 단계를 따릅니다.

  1. Azure Portal에서 Verified ID를 검색합니다. 그런 다음 Verified ID를 선택합니다.

  2. 왼쪽 메뉴에서 시작을 선택합니다.

  3. 다음 정보를 제공하여 조직을 설정합니다.

    1. 조직 이름: 확인된 ID 내에서 비즈니스를 참조할 이름을 입력합니다. 고객에게는 이 이름이 표시되지 않습니다.

    2. 도메인: DID(탈중앙화 ID) 문서의 서비스 엔드포인트에 추가되는 도메인을 입력합니다. 도메인은 DID를 사용자가 해당 비즈니스에 대해 알 수 있는 유형의 무언가에 바인딩하는 것입니다. Microsoft Authenticator 및 기타 디지털 지갑에서 이 정보를 사용하여 DID가 도메인에 연결되어 있는지 확인합니다. 월렛이 DID를 확인할 수 있으면 확인된 기호가 표시됩니다. 월렛이 DID를 확인할 수 없는 경우 유효성을 검사할 수 없는 조직에서 자격 증명이 발급되었음을 사용자에게 알립니다.

      중요

      도메인은 리디렉션이 될 수 없습니다. 리디렉션이 가능한 경우에는 DID와 도메인을 연결할 수 없습니다. HTTPS를 도메인에 사용해야 합니다. 예: https://contoso.com

    3. Key Vault: 이전에 만든 키 자격 증명 모음을 선택합니다.

    4. 고급에서 테넌트에 사용할 트러스트 시스템을 선택할 수 있습니다. 또는 ION 중에서 선택할 수 있습니다. 웹은 테넌트가 did:web을 did 메서드로 사용한다는 것을 의미하고 ION이 did:ion을 사용한다는 것을 의미합니다.

      중요

      트러스트 시스템을 변경하는 유일한 방법은 확인된 ID 서비스를 옵트아웃하고 온보딩을 다시 수행하는 것입니다.

  4. 저장 및 시작을 선택합니다.

    확인 가능한 자격 증명을 설정하는 방법을 보여 주는 스크린샷

확인된 ID 서비스 주체에 대한 액세스 정책 설정

이전 단계에서 확인된 ID를 설정하면 Azure Key Vault 액세스 정책이 자동으로 업데이트되어 확인된 ID에 대한 서비스 주체에게 필요한 권한을 부여합니다.
사용 권한을 수동으로 다시 설정해야 하는 경우 액세스 정책은 다음과 같습니다.

서비스 주체 AppId 키 권한
확인 가능한 자격 증명 서비스 bb2a64ee-5d29-4b07-a491-25806dc854d3 가져오기, 서명
확인 가능한 자격 증명 서비스 요청 3db474b9-6a0c-4840-96ac-1fceb342124f Sign

보안 주체에 대한 키 자격 증명 모음 액세스 정책의 스크린샷

Azure AD에서 애플리케이션 등록

애플리케이션은 자격 증명을 발급하거나 확인할 수 있도록 Microsoft Entra Verified ID를 호출하려는 경우 액세스 토큰을 가져와야 합니다. 액세스 토큰을 받기 위해서는 웹 애플리케이션을 등록하고 Verified ID 요청 서비스에 대한 API 권한을 부여해야 합니다. 예를 들어 웹 애플리케이션에 대해 다음 단계를 사용합니다.

  1. 관리자 계정으로 Azure Portal에 로그인합니다.

  2. 여러 테넌트에 대한 액세스 권한이 있는 경우 디렉터리 + 구독을 선택합니다. 그런 다음, Azure Active Directory를 검색하여 선택합니다.

  3. 관리 아래에서 앱 등록>새 등록을 선택합니다.

    새 애플리케이션 등록을 선택하는 방법을 보여 주는 스크린샷

  4. 애플리케이션의 표시 이름을 입력합니다. 예를 들어 verifiable-credentials-app과 같습니다.

  5. 지원되는 계정 유형에 대해 이 조직 디렉터리의 계정만(기본 디렉터리만 - 단일 테넌트) 을 선택합니다.

  6. 등록을 선택하여 애플리케이션을 만듭니다.

    확인 가능한 자격 증명 앱을 등록하는 방법을 보여 주는 스크린샷

액세스 토큰을 얻을 수 있는 권한 부여

이 단계에서는 권한을 확인 가능한 자격 증명 서비스 요청 서비스 주체에 부여합니다.

필요한 권한을 추가하려면 다음 단계를 수행합니다.

  1. verifiable-credentials-app 애플리케이션 세부 정보 페이지에 남아 있습니다. API 권한>권한 추가를 선택합니다.

    권한을 확인 가능한 자격 증명 앱에 추가하는 방법을 보여 주는 스크린샷

  2. 내 조직에서 사용하는 API를 선택합니다.

  3. 확인 가능한 자격 증명 서비스 요청 서비스 주체를 검색하고 선택합니다.

    서비스 주체를 선택하는 방법을 보여 주는 스크린샷

  4. 애플리케이션 권한을 선택하고, VerifiableCredential.Create.All을 펼칩니다.

    필요한 권한을 선택하는 방법을 보여 주는 스크린샷

  5. 권한 추가를 선택합니다.

  6. <테넌트 이름>에 대한 관리자 동의 부여를 선택합니다.

범위를 다른 애플리케이션으로 분리하려는 경우 발급 및 프레젠테이션 권한을 별도로 부여하도록 선택할 수 있습니다.

발급 또는 프레젠테이션에 대한 세분화된 사용 권한을 선택하는 방법을 보여 주는 스크린샷

서비스 엔드포인트 구성

  1. Azure Portal 확인된 ID 서비스로 이동합니다.
  2. 등록을 선택합니다.
  3. 다음 두 섹션이 있습니다.
    1. DID 등록
    2. 도메인 소유권 확인.
  4. 각 섹션에서 선택하고 각 섹션에서 JSON 파일을 다운로드합니다.
  5. 파일을 배포하는 데 사용할 수 있는 웹 사이트를 만듭니다. https://contoso.com을 도메인으로 지정한 경우 각 파일의 URL은 아래와 같이 표시됩니다.
    • https://contoso.com/.well-known/did.json
    • https://contoso.com/.well-known/did-configuration.json

확인 단계를 성공적으로 완료했으면 다음 자습서를 계속 진행할 준비가 된 것입니다. ION을 신뢰 시스템으로 선택한 경우 DID 등록 섹션이 ION에 적용되지 않으므로 DID 등록 섹션이 표시되지 않으며 did-configuration.json 파일만 배포하면 됩니다.

다음 단계