Udostępnij za pośrednictwem

Zweryfikuj posiadanie domeny dla swojego zdecentralizowanego identyfikatora

W tym artykule zapoznamy się z krokami wymaganymi do zweryfikowania własności nazwy domeny używanej dla identyfikatora zdecentralizowanego (DID).

Wymagania wstępne

Aby zweryfikować własność domeny do Twojego DID, musisz:

Weryfikowanie własności domeny i rozpowszechnianie pliku did-configuration.json

Domena, której własność należy zweryfikować, jest zdefiniowana w sekcji przeglądu. Domena musi być domeną pod kontrolą i powinna być w formacie https://www.example.com/.

  1. W centrum administracyjnym firmy Microsoft Entra wybierz stronę Zweryfikowany identyfikator .

  2. Wybierz pozycję Przegląd i w tej sekcji wybierz pozycję Weryfikuj własność domeny.

  3. Wybierz pozycję Weryfikuj dla domeny.

  4. Skopiuj lub pobierz did-configuration.json plik.

    Zrzut ekranu przedstawiający pobieranie dobrze znanej konfiguracji.

  5. Umieść plik did-configuration.json w określonej lokalizacji. Jeśli na przykład określono domenę https://www.example.com, plik musi być hostowany pod adresem https://www.example.com/.well-known/did-configuration.json. W adresie URL nie może znajdować się żadna inna ścieżka, z wyjątkiem .well-known path nazwy.

  6. Gdy did-configuration.json jest publicznie dostępny pod adresem URL .well-known/did-configuration.json, zweryfikuj to, wybierając Odśwież stan weryfikacji.

    Zrzut ekranu przedstawiający zweryfikowaną dobrze znaną konfigurację.

  7. Przetestuj wystawianie lub prezentowanie w aplikacji Microsoft Authenticator w celu zweryfikowania. Upewnij się, że ustawienie Ostrzegaj o niebezpiecznych aplikacjach w aplikacji Authenticator jest włączone. Ustawienie jest domyślnie włączone.

Jak sprawdzić, czy weryfikacja działa?

Portal sprawdza, czy did-configuration.json jest dostępny przez Internet i jest prawidłowy po wybraniu pozycji Odśwież stan weryfikacji. Aplikacja Authenticator nie honoruje przekierowań HTTP. Należy również rozważyć sprawdzenie, czy możesz zażądać tego adresu URL w przeglądarce, aby uniknąć błędów, takich jak nieużywanie protokołu HTTPS, nieprawidłowy certyfikat TLS/SSL lub adres URL, który nie jest publiczny. Jeśli pliku did-configuration.json nie można zażądać anonimowo w przeglądarce lub za pomocą narzędzi, takich jak curl, bez ostrzeżeń lub błędów, portal nie może również ukończyć kroku Odświeżanie stanu weryfikacji.

Uwaga / Notatka

Jeśli występują problemy z odświeżaniem stanu weryfikacji, możesz rozwiązać ten problem, uruchamiając curl -Iv https://yourdomain.com/.well-known/did-configuration.json go na maszynie z systemem operacyjnym Ubuntu. Podsystem Windows dla systemu Linux z systemem Ubuntu działa również. Jeśli program curl zakończy się niepowodzeniem, odświeżanie stanu weryfikacji nie będzie działać.

Dlaczego muszę zweryfikować własność domeny naszego DID?

Element DID zaczyna się jako identyfikator, który nie jest zakotwiczony w istniejących systemach. Funkcja DID jest przydatna, ponieważ użytkownik lub organizacja może go posiadać i kontrolować. Jeśli jednostka wchodząca w interakcję z organizacją nie wie, do kogo należy DID, to DID nie jest tak użyteczna.

Łączenie DID z domeną rozwiązuje początkowy problem zaufania, umożliwiając każdej jednostce kryptograficzne zweryfikowanie relacji między DID a domeną.

Zweryfikowany identyfikator jest zgodny ze znaną specyfikacją konfiguracji DID , aby utworzyć link. Usługa weryfikowalnych poświadczeń łączy Twój DID i domenę. Usługa zawiera informacje o domenie podane w pliku DID i generuje dobrze znany plik konfiguracji:

  1. Zweryfikowany identyfikator wykorzystuje informacje o domenie podane podczas konfiguracji organizacji do zapisania punktu końcowego usługi w dokumencie DID. Wszystkie strony, które wchodzą w interakcję z twoją usługą DID, mogą zobaczyć domenę, z której ma być skojarzona twoja usługa DID.

    "service": [
  {
    "id": "#linkeddomains",
    "type": "LinkedDomains",
    "serviceEndpoint": {
      "origins": [
        "https://verifiedid.contoso.com/"
      ]
    }
  }
]

  2. Usługa weryfikowania poświadczeń w zweryfikowanym identyfikatorze generuje zgodny dobrze znany zasób konfiguracji, który należy hostować w domenie. Plik konfiguracji zawiera samodzielnie wydane weryfikowalne poświadczenie typu DomainLinkageCredential, podpisane przy użyciu twojego DID, którego źródłem jest twoja domena. Oto przykład pliku konfiguracji przechowywanego pod adresem URL domeny głównej.

    {
  "@context": "https://identity.foundation/.well-known/contexts/did-configuration-v0.0.jsonld",
  "linked_dids": [
    "jwt..."
  ]
}

Doświadczenie użytkownika w portfelu

Gdy użytkownik przechodzi przez przepływ wystawiania lub przedstawia wiarygodne poświadczenie, powinien wiedzieć coś o organizacji i jej DID. Autenticator weryfikuje relację DID z domeną w dokumencie DID i przedstawia użytkownikom dwa różne doświadczenia w zależności od rezultatu.

Zweryfikowana domena

Przed wyświetleniem ikony Zweryfikowana przez aplikację Authenticator, kilka warunków musi zostać spełnionych.

  • Wniosek dotyczący samodzielnie wydanego otwartego identyfikatora (SIOP) musi być podpisany przez DID, który ma punkt końcowy usługi dla powiązanej domeny.
  • Domena główna nie używa przekierowania i używa protokołu HTTPS.
  • Domena wymieniona w dokumencie DID ma rozpoznawalny zasób dobrze znany.
  • Dobrze znane poświadczenie weryfikowalne zasobu jest podpisane przy użyciu tego samego identyfikatora DID, który został użyty do podpisania SIOP, a którego Authenticator użył do zainicjowania przepływu.

Jeśli wszystkie wymienione wcześniej punkty są prawdziwe, aplikacja Authenticator wyświetla zweryfikowaną stronę i zawiera zweryfikowaną domenę.

Zrzut ekranu przedstawiający nowe żądanie uprawnień.

Domena niezweryfikowana

Jeśli którykolwiek z powyższych punktów nie jest prawdziwy, aplikacja Authenticator wyświetla ostrzeżenie pełnej strony wskazujące, że domena jest niezweryfikowana. Użytkownik jest ostrzegany, że znajduje się w środku potencjalnej ryzykownej transakcji i powinien zachować ostrożność. Być może wybrali tę trasę, ponieważ:

  • Did nie jest zakotwiczony w domenie.
  • Konfiguracja nie została prawidłowo skonfigurowana.
  • DID, z którą użytkownik wchodzi w interakcję, może być złośliwy i w rzeczywistości nie może udowodnić, że jest właścicielem połączonej domeny.

Bardzo ważne jest, aby połączyć plik DID z domeną rozpoznawalną dla użytkownika.

Zrzut ekranu przedstawiający ostrzeżenie o niezweryfikowanej domenie na ekranie Dodawanie poświadczeń.

Jak zaktualizować połączoną domenę na moim DID?

W systemie zaufania sieci Web aktualizowanie połączonej domeny nie jest obsługiwane. Musisz wypisać się i dołączyć ponownie.

Połączona domena ułatwia deweloperom

Uwaga / Notatka

Dokument DID musi być publicznie dostępny, aby rejestracja DID powiodła się.

Najprostszym sposobem, w jaki deweloper może uzyskać domenę do użycia w połączonej domenie, jest użycie funkcji statycznej witryny internetowej usługi Azure Storage. Nie można kontrolować nazwy domeny, z wyjątkiem tego, że zawiera ona nazwę konta magazynu jako część nazwy hosta.

Aby szybko skonfigurować domenę do użycia dla połączonej domeny:

  1. Utwórz konto przechowywania. Podczas tworzenia wybierz opcję StorageV2 (konto ogólnego przeznaczenia w wersji 2) i lokalnie nadmiarowe magazynowanie (LRS).
  2. Przejdź do konta magazynowania i wybierz pozycję Statyczna witryna internetowa w menu po lewej stronie i włącz Statyczną witrynę internetową. Jeśli nie widzisz elementu menu Statyczna witryna internetowa, to nie utworzyłeś konta magazynu w wersji V2.
  3. Skopiuj nazwę podstawowego punktu końcowego wyświetlaną po zapisaniu. Ta wartość to twoja nazwa domeny. Wygląda to mniej więcej tak: https://<your-storageaccountname>.z6.web.core.windows.net/.

Kiedy przychodzi czas na przesłanie pliku did-configuration.json:

  1. Przejdź do konta magazynu i wybierz pozycję Kontenery w menu po lewej stronie. Następnie wybierz kontener o nazwie $web.
  2. Wybierz pozycję Przekaż i wybierz ikonę folderu, aby znaleźć plik.
  3. Przed przesłaniem otwórz sekcję Zaawansowane i wpisz .well-known w polu tekstowym Prześlij do folderu.
  4. Przekaż plik .

Plik jest teraz publicznie dostępny pod adresem URL, który wygląda mniej więcej tak: https://<your-storageaccountname>.z6.web.core.windows.net/.well-known/did-configuration.json.

Dalsze kroki