Udostępnij za pośrednictwem

Weryfikowanie własności domeny do zdecentralizowanego identyfikatora

  • Artykuł

W tym artykule zapoznamy się z krokami wymaganymi do zweryfikowania własności nazwy domeny używanej dla identyfikatora zdecentralizowanego (DID).

Wymagania wstępne

Aby zweryfikować własność domeny w twoim programie DID, należy wykonać następujące kroki:

Weryfikowanie własności domeny i rozpowszechnianie pliku did-configuration.json

Domena, do której należy zweryfikować własność, została zdefiniowana w sekcji przeglądu. Domena musi być domeną pod kontrolą i powinna być w formacie https://www.example.com/.

  1. W witrynie Azure Portal przejdź do strony Zweryfikowany identyfikator .

  2. Wybierz pozycję Konfiguracja>Zweryfikuj własność domeny i wybierz pozycję Weryfikuj dla domeny.

  3. Skopiuj lub pobierz did-configuration.json plik.

    Zrzut ekranu przedstawiający pobieranie dobrze znanej konfiguracji.

  4. Hostuj did-configuration.json plik w określonej lokalizacji. Jeśli na przykład określono domenę https://www.example.com, plik musi być hostowany pod adresem https://www.example.com/.well-known/did-configuration.json. W adresie URL nie może znajdować się żadna inna ścieżka, z wyjątkiem .well-known path nazwy.

  5. Jeśli did-configuration.json adres URL jest publicznie dostępny .well-known/did-configuration.json , sprawdź go, wybierając pozycję Odśwież stan weryfikacji.

    Zrzut ekranu przedstawiający zweryfikowaną dobrze znaną konfigurację.

  6. Przetestuj wystawianie lub prezentowanie w aplikacji Microsoft Authenticator w celu zweryfikowania. Upewnij się, że ustawienie Ostrzegaj o niebezpiecznych aplikacjach w aplikacji Authenticator jest włączone. Ustawienie jest domyślnie włączone.

Jak sprawdzić, czy weryfikacja działa?

Portal sprawdza, czy did-configuration.json jest dostępny przez Internet i jest prawidłowy po wybraniu pozycji Odśwież stan weryfikacji. Aplikacja Authenticator nie honoruje przekierowań HTTP. Należy również rozważyć sprawdzenie, czy możesz zażądać tego adresu URL w przeglądarce, aby uniknąć błędów, takich jak nieużywanie protokołu HTTPS, nieprawidłowy certyfikat SSL lub adres URL, który nie jest publiczny. did-configuration.json Jeśli nie można zażądać pliku anonimowo w przeglądarce lub za pośrednictwem narzędzi, takich jak curl, bez ostrzeżeń lub błędów, portal nie może ukończyć kroku Stan weryfikacji odświeżania.

Uwaga

Jeśli występują problemy z odświeżaniem stanu weryfikacji, możesz rozwiązać ten problem, uruchamiając curl -Iv https://yourdomain.com/.well-known/did-configuration.json go na maszynie z systemem operacyjnym Ubuntu. Podsystem Windows dla systemu Linux z systemem Ubuntu działa również. Jeśli program curl zakończy się niepowodzeniem, odświeżanie stanu weryfikacji nie będzie działać.

Dlaczego muszę zweryfikować własność domeny naszego DID?

Element DID zaczyna się jako identyfikator, który nie jest zakotwiczony w istniejących systemach. Funkcja DID jest przydatna, ponieważ użytkownik lub organizacja może go posiadać i kontrolować. Jeśli jednostka wchodząca w interakcję z organizacją nie wie, kto należy do elementu DID, nie jest tak przydatna.

Łączenie pliku DID z domeną rozwiązuje początkowy problem zaufania, umożliwiając każdej jednostce kryptograficzne zweryfikowanie relacji między domeną a domeną.

Zweryfikowany identyfikator jest zgodny ze znaną specyfikacją konfiguracji DID, aby utworzyć link. Usługa weryfikowalnych poświadczeń łączy twoją domenę i did. Usługa zawiera informacje o domenie podane w pliku DID i generuje dobrze znany plik konfiguracji:

  1. Zweryfikowany identyfikator używa informacji o domenie podanych podczas konfigurowania organizacji w celu zapisania punktu końcowego usługi w dokumencie DID. Wszystkie strony, które wchodzą w interakcję z twoją usługą DID, mogą zobaczyć domenę, z której ma być skojarzona twoja usługa DID.

    "service": [
  {
    "id": "#linkeddomains",
    "type": "LinkedDomains",
    "serviceEndpoint": {
      "origins": [
        "https://verifiedid.contoso.com/"
      ]
    }
  }
]

  2. Usługa weryfikowania poświadczeń w zweryfikowanym identyfikatorze generuje zgodny dobrze znany zasób konfiguracji, który należy hostować w domenie. Plik konfiguracji zawiera samodzielnie wystawione weryfikowalne poświadczenie typu DomainLinkageCredentialpoświadczeń , podpisane przy użyciu pliku DID, które ma źródło domeny. Oto przykład pliku konfiguracji przechowywanego pod adresem URL domeny głównej.

    {
  "@context": "https://identity.foundation/.well-known/contexts/did-configuration-v0.0.jsonld",
  "linked_dids": [
    "jwt..."
  ]
}

Środowisko użytkownika w portfelu

Gdy użytkownik przechodzi przez przepływ wystawiania lub przedstawia weryfikowalne poświadczenia, powinien wiedzieć coś o organizacji i jej korzystaniu z uwierzytelniania. Wystawca authenticator weryfikuje relację DID z domeną w dokumencie DID i przedstawia użytkowników z dwoma różnymi środowiskami w zależności od wyniku.

Zweryfikowana domena

Przed wyświetleniem ikony Zweryfikowana aplikacja Authenticator musi mieć wartość true:

  • Żądanie DID podpisywania własnego otwartego identyfikatora (SIOP) musi mieć punkt końcowy usługi dla połączonej domeny.
  • Domena główna nie używa przekierowania i używa protokołu HTTPS.
  • Domena wymieniona w dokumencie DID ma dobrze znany zasób rozpoznawalny.
  • Dobrze znane poświadczenia weryfikowalne zasobu są podpisywane przy użyciu tego samego identyfikatora DID, który został użyty do podpisania SIOP używanego przez wystawcę Authenticator do uruchamiania przepływu.

Jeśli wszystkie wymienione wcześniej punkty są prawdziwe, aplikacja Authenticator wyświetla zweryfikowaną stronę i zawiera zweryfikowaną domenę.

Zrzut ekranu przedstawiający nowe żądanie uprawnień.

Domena niezweryfikowana

Jeśli którykolwiek z powyższych punktów nie jest prawdziwy, aplikacja Authenticator wyświetla ostrzeżenie pełnej strony wskazujące, że domena jest niezweryfikowana. Użytkownik jest ostrzegany, że znajduje się w środku potencjalnej ryzykownej transakcji i powinien zachować ostrożność. Być może wybrali tę trasę, ponieważ:

  • Did nie jest zakotwiczony w domenie.
  • Konfiguracja nie została prawidłowo skonfigurowana.
  • DID, z którą użytkownik wchodzi w interakcję, może być złośliwy i w rzeczywistości nie może udowodnić, że jest właścicielem połączonej domeny.

Bardzo ważne jest, aby połączyć plik DID z domeną rozpoznawalną dla użytkownika.

Zrzut ekranu przedstawiający ostrzeżenie o niezweryfikowanej domenie na ekranie Dodawanie poświadczeń.

Jak mogę zaktualizować połączoną domenę na moim komputerze?

W systemie zaufania sieci Web aktualizowanie połączonej domeny nie jest obsługiwane. Musisz zrezygnować i dołączyć ponownie.

Połączona domena ułatwia deweloperom

Uwaga

Dokument DID musi być publicznie dostępny, aby rejestracja DID powiodła się.

Najprostszym sposobem, w jaki deweloper może uzyskać domenę do użycia w połączonej domenie, jest użycie funkcji statycznej witryny internetowej usługi Azure Storage. Nie można kontrolować nazwy domeny, z tą różnicą, że zawiera ona nazwę konta magazynu jako część nazwy hosta.

Aby szybko skonfigurować domenę do użycia dla połączonej domeny:

  1. Create a storage account (Tworzenie konta magazynu). Podczas tworzenia wybierz pozycję StorageV2 (konto ogólnego przeznaczenia w wersji 2) i Magazyn lokalnie nadmiarowy (LRS).
  2. Przejdź do konta magazynu i wybierz pozycję Statyczna witryna internetowa w menu po lewej stronie i włącz statyczną witrynę internetową. Jeśli nie widzisz elementu menu Statyczna witryna internetowa , nie utworzono konta magazynu w wersji 2 .
  3. Skopiuj nazwę podstawowego punktu końcowego wyświetlaną po zapisaniu. Ta wartość to twoja nazwa domeny. Wygląda to mniej więcej tak: https://<your-storageaccountname>.z6.web.core.windows.net/.

Kiedy nadszedł czas na przekazanie did-configuration.json pliku:

  1. Przejdź do konta magazynu i wybierz pozycję Kontenery w menu po lewej stronie. Następnie wybierz kontener o nazwie $web.
  2. Wybierz pozycję Przekaż i wybierz ikonę folderu, aby znaleźć plik.
  3. Przed przekazaniem otwórz sekcję Zaawansowane i określ ciąg .dobrze znany w polu tekstowym Przekaż do folderu .
  4. Przekaż plik .

Plik jest teraz publicznie dostępny pod adresem URL, który wygląda mniej więcej tak: https://<your-storageaccountname>.z6.web.core.windows.net/.well-known/did-configuration.json.

Następne kroki