Het eigendom van het domein verifiëren voor uw gedecentraliseerde id
In dit artikel bekijken we de stappen die nodig zijn om uw eigendom te verifiëren van de domeinnaam die u gebruikt voor uw gedecentraliseerd id (DID).
Vereisten
Als u het eigendom van het domein aan uw DID wilt verifiëren, moet u het volgende doen:
- Voltooi Aan de slag en de volgende zelfstudieset.
Het eigendom van het domein verifiëren en het did-configuration.json-bestand distribueren
Het domein dat u het eigendom van uw DID controleert, wordt gedefinieerd in de overzichtssectie. Het domein moet een domein onder uw beheer zijn en moet de indeling https://www.example.com/hebben.
Ga in Azure Portal naar de pagina Geverifieerde id .
Selecteer Het eigendom van het>domein verifiëren en selecteer Verifiëren voor het domein.
Kopieer of download het
did-configuration.jsonbestand.
Host het
did-configuration.jsonbestand op de opgegeven locatie. Als u bijvoorbeeld een domeinhttps://www.example.comhebt opgegeven, moet het bestand worden gehost ophttps://www.example.com/.well-known/did-configuration.json. Er mag geen ander pad in de URL zijn, behalve de.well-known pathnaam.Wanneer
did-configuration.jsondeze openbaar beschikbaar is op de.well-known/did-configuration.jsonURL, controleert u deze door de verificatiestatus vernieuwen te selecteren.
Test het uitgeven of presenteren met Microsoft Authenticator om te valideren. Zorg ervoor dat de instelling Waarschuwen voor onveilige apps in Authenticator is ingeschakeld. De instelling is standaard ingeschakeld.
Hoe kan ik controleren of de verificatie werkt?
De portal controleert of deze did-configuration.json bereikbaar is via internet en geldig wanneer u de verificatiestatus Vernieuwen selecteert. Authenticator respecteert geen HTTP-omleidingen. U moet ook controleren of u die URL in een browser kunt aanvragen om fouten te voorkomen, zoals het gebruik van HTTPS, een ongeldig SSL-certificaat of de URL die niet openbaar is. Als het did-configuration.json bestand niet anoniem kan worden aangevraagd in een browser of via hulpprogramma's zoals curl, zonder waarschuwingen of fouten, kan de portal de statusstap Verificatie vernieuwen ook niet voltooien.
Notitie
Als u problemen ondervindt bij het vernieuwen van uw verificatiestatus, kunt u deze oplossen door deze uit te voeren curl -Iv https://yourdomain.com/.well-known/did-configuration.json op een computer met het Ubuntu-besturingssysteem. Windows-subsysteem voor Linux met Ubuntu werkt ook. Als curl mislukt, werkt het vernieuwen van de verificatiestatus niet.
Waarom moet ik het eigendom van het domein van onze DID verifiëren?
Een DID begint als een id die niet is verankerd aan bestaande systemen. Een DID is handig omdat een gebruiker of organisatie er eigenaar van kan zijn en deze kan beheren. Als een entiteit die communiceert met de organisatie niet weet wie de DID behoort, is de DID niet zo nuttig.
Als u een DID koppelt aan een domein, wordt het eerste vertrouwensprobleem opgelost door elke entiteit toe te staan de relatie tussen een DID en een domein cryptografisch te verifiëren.
Hoe koppelt geverifieerde id-did's en domeinen?
Geverifieerde id volgt de bekende DID-configuratiespecificatie om de koppeling te maken. De service voor verifieerbare referenties koppelt uw DID en domein. De service bevat de domeingegevens die u hebt opgegeven in uw DID en genereert het bekende configuratiebestand:
Geverifieerde id maakt gebruik van de domeingegevens die u opgeeft tijdens de installatie van de organisatie om een service-eindpunt in het DID-document te schrijven. Alle partijen die met uw DID communiceren, kunnen het domein zien waaraan uw DID verklaart te zijn gekoppeld.
"service": [ { "id": "#linkeddomains", "type": "LinkedDomains", "serviceEndpoint": { "origins": [ "https://verifiedid.contoso.com/" ] } } ]De verifieerbare referentieservice in geverifieerde id genereert een compatibele bekende configuratieresource die u op uw domein moet hosten. Het configuratiebestand bevat een zelf uitgegeven verifieerbare referentie van het referentietype
DomainLinkageCredential, ondertekend met uw DID, die een oorsprong heeft van uw domein. Hier volgt een voorbeeld van het configuratiebestand dat is opgeslagen op de URL van het hoofddomein.{ "@context": "https://identity.foundation/.well-known/contexts/did-configuration-v0.0.jsonld", "linked_dids": [ "jwt..." ] }
Gebruikerservaring in de portemonnee
Wanneer een gebruiker een uitgiftestroom doorloopt of een verifieerbare referentie presenteert, moet deze iets weten over de organisatie en de bijbehorende DID. Authenticator valideert de relatie van een DID met het domein in het DID-document en presenteert gebruikers met twee verschillende ervaringen, afhankelijk van het resultaat.
Geverifieerd domein
Voordat Authenticator een geverifieerd pictogram weergeeft, moeten enkele punten waar zijn:
- De SELF-uitgegeven OPENOP-aanvraag (SIOP) moet een service-eindpunt hebben voor een gekoppeld domein.
- Het hoofddomein gebruikt geen omleiding en maakt gebruik van HTTPS.
- Het domein dat in het DID-document wordt vermeld, heeft een bekende bron die kan worden omgezet.
- De bekende referentie van de resource is ondertekend met dezelfde DID die is gebruikt om de SIOP te ondertekenen die Authenticator heeft gebruikt om de stroom te starten.
Als alle eerder genoemde punten waar zijn, geeft Authenticator een geverifieerde pagina weer en bevat het domein dat is gevalideerd.
Niet-geverifieerd domein
Als een van de voorgaande punten niet waar is, geeft Authenticator een waarschuwing op volledige pagina weer die aangeeft dat het domein niet is geverifieerd. De gebruiker wordt gewaarschuwd dat deze zich midden in een potentiële riskante transactie bevindt en voorzichtig moet blijven. Ze hebben er mogelijk voor gekozen om deze route te nemen, omdat:
- De DID is niet verankerd aan een domein.
- De configuratie is niet goed ingesteld.
- De DID waarmee de gebruiker communiceert, kan schadelijk zijn en kan niet bewijzen dat deze eigenaar is van het gekoppelde domein.
Het is zeer belangrijk dat u uw DID koppelt aan een domein dat herkenbaar is aan de gebruiker.
Hoe kan ik het gekoppelde domein op mijn DID bijwerken?
Met het webvertrouwenssysteem wordt het bijwerken van uw gekoppelde domein niet ondersteund. U moet zich afmelden en opnieuw onboarden.
Gekoppeld domein is eenvoudig gemaakt voor ontwikkelaars
Notitie
Het DID-document moet openbaar beschikbaar zijn voor DID-registratie om te kunnen slagen.
De eenvoudigste manier voor een ontwikkelaar om een domein op te halen dat voor een gekoppeld domein moet worden gebruikt, is door de functie statische Azure Storage-website te gebruiken. U kunt niet bepalen wat de domeinnaam is, behalve dat deze de naam van uw opslagaccount bevat als onderdeel van de hostnaam.
Ga als volgende te werk om snel een domein in te stellen dat moet worden gebruikt voor een gekoppeld domein:
- Een opslagaccount maken. Selecteer tijdens het maken StorageV2 (algemeen v2-account) en lokaal redundante opslag (LRS).
- Ga naar het opslagaccount en selecteer Statische website in het meest linkse menu en schakel statische website in. Als u de menuopdracht Statische website niet ziet, hebt u geen V2-opslagaccount gemaakt.
- Kopieer de naam van het primaire eindpunt dat wordt weergegeven na het opslaan. Deze waarde is uw domeinnaam. Het ziet er ongeveer als volgt uit:
https://<your-storageaccountname>.z6.web.core.windows.net/.
Wanneer het tijd is om het did-configuration.json bestand te uploaden:
- Ga naar het opslagaccount en selecteer Containers in het menu aan de linkerkant. Selecteer vervolgens de container met de naam $web.
- Selecteer Uploaden en selecteer het mappictogram om uw bestand te zoeken.
- Voordat u uploadt, opent u de sectie Geavanceerd en geeft u .bekende op in het tekstvak Uploaden naar map.
- Upload het -bestand.
Uw bestand is nu openbaar beschikbaar via een URL die er uitziet zoals https://<your-storageaccountname>.z6.web.core.windows.net/.well-known/did-configuration.json.