Delen via

Domeineigendom bij uw gedecentraliseerde identifier verifiëren

In dit artikel bekijken we de stappen die nodig zijn om uw eigendom te verifiëren van de domeinnaam die u gebruikt voor uw gedecentraliseerd id (DID).

Vereiste voorwaarden

Als u het eigendom van het domein aan uw DID wilt verifiëren, moet u het volgende doen:

Het eigendom van het domein verifiëren en het did-configuration.json-bestand distribueren

Het domein waarvan u het eigendom van uw DID verifieert, wordt gedefinieerd in de sectie Overzicht. Het domein moet een domein onder uw beheer zijn en moet de indeling https://www.example.com/hebben.

  1. Kies in het Microsoft Entra-beheercentrumde pagina Geverifieerde id .

  2. Selecteer Overzicht en kies in deze sectie de optie Domeineigendom verifiëren.

  3. Selecteer Verifiëren voor het domein.

  4. Kopieer of download het did-configuration.json bestand.

    Schermopname van het downloaden van de bekende configuratie.

  5. Host het did-configuration.json bestand op de opgegeven locatie. Als u bijvoorbeeld een domein https://www.example.comhebt opgegeven, moet het bestand worden gehost op https://www.example.com/.well-known/did-configuration.json. Er mag geen ander pad in de URL zijn, behalve de .well-known path naam.

  6. Wanneer did-configuration.json openbaar beschikbaar is op de .well-known/did-configuration.json URL, controleert u dit door 'Verificatiestatus vernieuwen' te selecteren.

    Schermopname van de geverifieerde bekende configuratie.

  7. Test het uitgeven of presenteren met Microsoft Authenticator om te valideren. Zorg ervoor dat de instelling Waarschuwen voor onveilige apps in Authenticator is ingeschakeld. De instelling is standaard ingeschakeld.

Hoe kan ik controleren of de verificatie werkt?

Het portaal controleert of deze did-configuration.json bereikbaar is via internet en geldig wanneer u Verificatiestatus vernieuwen selecteert. Authenticator respecteert geen HTTP-omleidingen. U moet ook controleren of u die URL in een browser kunt aanvragen om fouten te voorkomen, zoals het gebruik van HTTPS, een ongeldig TLS/SSL-certificaat of de URL die niet openbaar is. Als het did-configuration.json bestand niet anoniem kan worden aangevraagd in een browser of via hulpprogramma's zoals curl, zonder waarschuwingen of fouten, kan de portal de statusstap Verificatie vernieuwen ook niet voltooien.

Opmerking

Als u problemen ondervindt bij het vernieuwen van uw verificatiestatus, kunt u deze oplossen door deze uit te voeren curl -Iv https://yourdomain.com/.well-known/did-configuration.json op een computer met het Ubuntu-besturingssysteem. Het Windows-subsysteem voor Linux met Ubuntu werkt ook. Als curl mislukt, werkt het vernieuwen van de verificatiestatus niet.

Waarom moet ik het eigendom van het domein van onze DID verifiëren?

Een DID begint als een id die niet is verankerd aan bestaande systemen. Een DID is handig omdat een gebruiker of organisatie eigenaar kan zijn van de functie en deze kan beheren. Als een entiteit die met de organisatie communiceert niet weet aan wie de DID toebehoort, is deze DID niet zo nuttig.

Als u een DID koppelt aan een domein, wordt het eerste vertrouwensprobleem opgelost door elke entiteit toe te staan de relatie tussen een DID en een domein cryptografisch te verifiëren.

Geverifieerde id volgt de algemeen erkende DID-configuratiespecificatie om de koppeling te maken. De verifieerbare referentiesservice koppelt uw DID en domein. De service bevat de domeingegevens die u hebt opgegeven in uw DID en genereert het bekende configuratiebestand:

  1. Geverifieerde ID maakt gebruik van de domeininformatie die u opgeeft tijdens de instelling van de organisatie om een service-eindpunt binnen het DID-document op te nemen. Alle partijen die interactie hebben met uw DID kunnen het domein zien waaraan uw DID verklaart te worden gekoppeld.

    "service": [
  {
    "id": "#linkeddomains",
    "type": "LinkedDomains",
    "serviceEndpoint": {
      "origins": [
        "https://verifiedid.contoso.com/"
      ]
    }
  }
]

  2. De verifieerbare referentieservice in Geverifieerde ID genereert een welbekende compatibele configuratieresource die u op uw domein moet hosten. Het configuratiebestand bevat een zelf uitgegeven verifieerbare referentie van het referentietype DomainLinkageCredential, ondertekend met uw DID, die een oorsprong heeft van uw domein. Hier volgt een voorbeeld van het configuratiebestand dat is opgeslagen op de URL van het hoofddomein.

    {
  "@context": "https://identity.foundation/.well-known/contexts/did-configuration-v0.0.jsonld",
  "linked_dids": [
    "jwt..."
  ]
}

Gebruikerservaring in de portemonnee

Wanneer een gebruiker een uitgiftestroom doorloopt of een verifieerbare referentie presenteert, moet hij of zij iets weten over de organisatie en de bijbehorende DID. Authenticator valideert de relatie van een DID met het domein in het DID-document en presenteert gebruikers met twee verschillende ervaringen, afhankelijk van het resultaat.

Domein geverifieerd

Voordat Authenticator een geverifieerd pictogram weergeeft, moeten enkele punten waar zijn:

  • De DID die de zelf-uitgegeven open-ID-aanvraag (SIOP) ondertekent, moet een service-eindpunt hebben voor een gekoppeld domein.
  • Het hoofddomein gebruikt geen omleiding en maakt gebruik van HTTPS.
  • Het domein dat in het DID-document is vermeld, heeft een oplosbare bekende bron.
  • De welbekende gecontroleerde referentie is ondertekend met dezelfde DID die werd gebruikt om de SIOP te ondertekenen, die de Authenticator heeft gebruikt om het proces op gang te brengen.

Als alle eerder genoemde punten waar zijn, geeft Authenticator een geverifieerde pagina weer en bevat het domein dat is gevalideerd.

Schermopname van een nieuwe machtigingsaanvraag.

Niet-geverifieerd domein

Als een van de voorgaande punten niet waar is, geeft Authenticator een waarschuwing op volledige pagina weer die aangeeft dat het domein niet is geverifieerd. De gebruiker wordt gewaarschuwd dat deze zich midden in een potentiële riskante transactie bevindt en voorzichtig moet blijven. Ze hebben er mogelijk voor gekozen om deze route te nemen, omdat:

  • De DID is niet verankerd aan een domein.
  • De configuratie is niet juist ingesteld.
  • De DID waarmee de gebruiker communiceert, kan schadelijk zijn en kan niet bewijzen dat ze eigenaar zijn van het gekoppelde domein.

Het is zeer belangrijk dat u uw DID koppelt aan een domein dat herkenbaar is aan de gebruiker.

Schermopname die de waarschuwing voor een ongeverifieerd domein toont op het scherm Referentie toevoegen.

Hoe kan ik het gekoppelde domein bijwerken op mijn DID?

Met het webvertrouwenssysteem wordt het bijwerken van uw gekoppelde domein niet ondersteund. U moet zich afmelden en opnieuw onboarden.

Gekoppeld domein is eenvoudig gemaakt voor ontwikkelaars

Opmerking

Het DID-document moet openbaar beschikbaar zijn voor DID-registratie om te kunnen slagen.

De eenvoudigste manier voor een ontwikkelaar om een domein op te halen dat voor een gekoppeld domein moet worden gebruikt, is door de functie statische Azure Storage-website te gebruiken. U kunt niet bepalen wat de domeinnaam is, behalve dat deze de naam van uw opslagaccount bevat als onderdeel van de hostnaam.

Ga als volgende te werk om snel een domein in te stellen dat moet worden gebruikt voor een gekoppeld domein:

  1. Maak een opslagaccount. Selecteer tijdens het maken StorageV2 (algemeen v2-account) en lokaal redundante opslag (LRS).
  2. Ga naar het opslagaccount en selecteer Statische website in het meest linkse menu en schakel statische website in. Als u het menu-item Statische website niet ziet, hebt u geen V2-opslagaccount gemaakt.
  3. Kopieer de naam van het primaire eindpunt dat wordt weergegeven na het opslaan. Deze waarde is uw domeinnaam. Het ziet er ongeveer als volgt uit: https://<your-storageaccountname>.z6.web.core.windows.net/.

Wanneer het tijd is om het did-configuration.json bestand te uploaden:

  1. Ga naar het opslagaccount en selecteer Containers in het menu aan de linkerkant. Selecteer vervolgens de container met de naam $web.
  2. Selecteer Uploaden en selecteer het mappictogram om uw bestand te vinden.
  3. Voordat u uploadt, opent u de sectie Geavanceerd en geeft u .bekende op in het tekstvak Uploaden naar map .
  4. Upload het -bestand.

U hebt uw bestand nu openbaar beschikbaar op een URL die er ongeveer als volgt https://<your-storageaccountname>.z6.web.core.windows.net/.well-known/did-configuration.jsonuitziet.

Volgende stappen