Configuração avançada de ID verificada do Microsoft Entra

A configuração avançada de ID Verificada é a maneira clássica de configurar a ID Verificada, onde você, como administrador, tem que configurar o Azure KeyVault, cuidar de registrar sua ID descentralizada e verificar seu domínio.

Neste tutorial, você aprenderá a usar a configuração avançada para configurar seu locatário do Microsoft Entra para usar o serviço de credenciais verificáveis.

Especificamente, você aprende a:

• Criar uma instância do Azure Key Vault.
• Configure o serviço de ID Verificada usando a configuração avançada.
• Registar uma aplicação no Microsoft Entra ID

O diagrama a seguir ilustra a arquitetura de ID verificada e o componente que você configura.

Pré-requisitos

• Você precisa de um locatário do Azure com uma assinatura ativa. Se você não tiver uma assinatura do Azure, crie uma gratuitamente.
• Verifique se você tem a permissão de administrador global ou administrador de política de autenticação para o diretório que deseja configurar. Se você não for o administrador global, precisará da permissão do administrador do aplicativo para concluir o registro do aplicativo, incluindo a concessão de consentimento de administrador .
• Certifique-se de que tem a função de colaborador para a subscrição do Azure ou para o grupo de recursos onde está a implementar o Azure Key Vault.
• Certifique-se de fornecer permissões de acesso para o Cofre da Chave. Para obter mais informações, consulte Fornecer acesso a chaves, certificados e segredos do Cofre da Chave com um controle de acesso baseado em função do Azure.

Criar um cofre de chaves

O Azure Key Vault é um serviço de nuvem que permite o armazenamento seguro e o gerenciamento de acesso de segredos e chaves. O serviço de ID Verificada armazena chaves públicas e privadas no Cofre de Chaves do Azure. Essas chaves são usadas para assinar e verificar credenciais.

Se você não tiver uma instância do Azure Key Vault disponível, siga estas etapas para criar um cofre de chaves usando o portal do Azure.

Nota

Por padrão, a conta que cria um cofre é a única com acesso. O serviço de ID Verificada precisa de acesso ao cofre de chaves. Você deve autenticar seu cofre de chaves, permitindo que a conta usada durante a configuração crie e exclua chaves. A conta usada durante a configuração também requer permissões para assinar para que possa criar a associação de domínio para ID Verificada. Se você usar a mesma conta durante o teste, modifique a política padrão para conceder a permissão de assinatura da conta, além das permissões padrão concedidas aos criadores do cofre.

Gerenciar o acesso ao cofre de chaves

Antes de configurar a Identificação Verificada, você precisa fornecer acesso ao Cofre da Chave. Isso define se um administrador especificado pode executar operações em segredos e chaves do Cofre de Chaves. Forneça permissões de acesso ao cofre de chaves para a conta de administrador de ID Verificada e para a entidade de administração da API de Serviço de Solicitação que você criou.

Depois de criar o cofre de chaves, as Credenciais Verificáveis geram um conjunto de chaves usadas para fornecer segurança de mensagens. Essas chaves são armazenadas no Cofre da Chave. Você usa um conjunto de chaves para assinar, atualizar e recuperar credenciais verificáveis.

Configurar a Identificação Verificada

Para configurar a ID verificada, siga estes passos:

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador Global.

2. Selecione Identificação verificada.

3. No menu à esquerda, selecione Configuração.

4. No menu do meio, selecione Configurar configurações da organização.

5. Configure sua organização fornecendo as seguintes informações:

   1. Nome da organização: insira um nome para fazer referência à sua empresa nas IDs verificadas. Seus clientes não veem esse nome.

   2. Domínio confiável: insira um domínio adicionado a um ponto de extremidade de serviço em seu documento de identidade descentralizada (DID). O domínio é o que liga o seu DID a algo tangível que o usuário pode saber sobre o seu negócio. O Microsoft Authenticator e outras carteiras digitais usam essas informações para validar que seu DID está vinculado ao seu domínio. Se a carteira puder verificar o DID, ela exibirá um símbolo verificado. Se a carteira não puder verificar o DID, informará ao usuário que a credencial foi emitida por uma organização que não pôde validar.

      Importante

      O domínio não pode ser um redirecionamento. Caso contrário, o DID e o domínio não poderão ser vinculados. Certifique-se de usar HTTPS para o domínio. Por exemplo: https://did.woodgrove.com.

   3. Cofre de chaves: selecione o cofre de chaves que você criou anteriormente.

6. Selecione Guardar.

   

Registar uma aplicação no Microsoft Entra ID

Seu aplicativo precisa obter tokens de acesso quando quiser chamar a ID Verificada do Microsoft Entra para que possa emitir ou verificar credenciais. Para obter tokens de acesso, você precisa registrar um aplicativo e conceder permissão de API para o Serviço de Solicitação de ID Verificada. Por exemplo, use as seguintes etapas para um aplicativo Web:

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador Global.

2. Selecione Microsoft Entra ID.

3. Em Aplicações, selecione Registos de>aplicações Novo registo.

   

4. Insira um nome de exibição para seu aplicativo. Por exemplo: verifiable-credentials-app.

5. Em Tipos de conta suportados, selecione Contas somente neste diretório organizacional (Somente diretório padrão - Locatário único).

6. Selecione Registar para criar a aplicação.

   

Conceder permissões para obter tokens de acesso

Nesta etapa, você concede permissões à entidade de Serviço de Solicitação de Serviço de Credenciais Verificáveis .

Para adicionar as permissões necessárias, siga estes passos:

1. Permaneça na página de detalhes do aplicativo de credenciais verificáveis. Selecione Permissões de API>Adicionar uma permissão.

   

2. Selecione APIs que a minha organização utiliza.

3. Procure a entidade de serviço de Solicitação de Serviço de Credenciais Verificáveis e selecione-a.

   

4. Escolha Application Permission e expanda VerifiableCredential.Create.All.

   

5. Selecione Adicionar permissões.

6. Selecione Conceder consentimento de administrador para <o nome> do seu inquilino.

Você pode optar por conceder permissões de emissão e apresentação separadamente se preferir segregar os escopos para aplicativos diferentes.

Registre a ID descentralizada e verifique a propriedade do domínio

Depois que o Cofre da Chave do Azure for configurado e o serviço tiver uma chave de assinatura, você deverá concluir as etapas 2 e 3 na instalação.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador Global.
2. Selecione Credenciais verificáveis.
3. No menu à esquerda, selecione Configuração.
4. No menu do meio, selecione Registrar ID descentralizado para registrar seu documento DID, conforme instruções no artigo Como registrar seu ID descentralizado para did:web. Tem de concluir este passo antes de poder continuar a verificar o seu domínio. Se você selecionou did:ion como seu sistema de confiança, você deve pular esta etapa.
5. No menu do meio, selecione Verificar propriedade do domínio para verificar seu domínio, conforme instruções no artigo Verificar a propriedade do domínio para seu identificador descentralizado (DID)

Depois de concluir com êxito as etapas de verificação e ter marcas de seleção verdes em todas as três etapas, você estará pronto para continuar para o próximo tutorial.

Próximos passos

• Saiba como emitir credenciais de ID Verificada do Microsoft Entra a partir de um aplicativo Web.
• Saiba como verificar as credenciais de ID Verificada do Microsoft Entra.