Perguntas Mais Frequentes (FAQ)

Esta página contém perguntas frequentes sobre Credenciais Verificáveis e Identidade Descentralizada. As perguntas estão organizadas nas seguintes secções.

• Vocabulário e noções básicas
• Questões conceituais sobre identidade descentralizada

Noções básicas

O que é um DID?

Os identificadores descentralizados (DIDs) são identificadores exclusivos que podem ser usados para proteger o acesso a recursos, assinar e verificar credenciais e facilitar a troca de dados de aplicativos. Ao contrário dos nomes de usuário e endereços de e-mail tradicionais, entidades e possuir e controlar os próprios DIDs (seja uma pessoa, dispositivo ou empresa). Os DIDs existem independentemente de qualquer organização externa ou intermediário confiável. A especificação do identificador descentralizado do W3C explica os DIDs com mais detalhes.

Por que precisamos de um DID?

A confiança digital exige fundamentalmente que os participantes possuam e controlem suas identidades, e a identidade começa no identificador. Em uma era de violações diárias e em larga escala do sistema e ataques a honeypots de identificadores centralizados, a descentralização da identidade está se tornando uma necessidade crítica de segurança para consumidores e empresas. Os indivíduos que possuem e controlam as suas identidades podem trocar dados e provas verificáveis. Um ambiente de credenciais distribuídas permite a automação de muitos processos de negócios que atualmente são manuais e trabalhosos intensivos.

O que é uma credencial verificável?

As credenciais fazem parte do nosso dia-a-dia. As carteiras de motorista são usadas para afirmar que somos capazes de operar um veículo motorizado. Os diplomas universitários podem ser usados para afirmar o nosso nível de educação e os passaportes emitidos pelo governo permitem-nos viajar entre países e regiões. As Credenciais Verificáveis fornecem um mecanismo para expressar esses tipos de credenciais na Web de uma forma criptograficamente segura, respeitando a privacidade e verificável por máquina. A especificação de credenciais verificáveis do W3C explica as credenciais verificáveis em mais detalhes.

Questões conceptuais

O que acontece quando um utilizador perde o telemóvel? Conseguirão recuperar a sua identidade?

Existem várias maneiras de oferecer um mecanismo de recuperação aos usuários, cada uma com suas próprias compensações. A Microsoft atualmente avalia opções e projeta abordagens de recuperação que oferecem conveniência e segurança, respeitando a privacidade e a autosoberania do usuário.

Como um usuário pode confiar em uma solicitação de um emissor ou verificador? Como eles sabem que um DID é o verdadeiro DID para uma organização?

Implementamos a especificação de configuração DID bem conhecida da Decentralized Identity Foundation para conectar um DID a um sistema existente altamente conhecido, nomes de domínio. Cada DID criado usando a ID Verificada do Microsoft Entra tem a opção de incluir um nome de domínio raiz codificado no Documento DID. Siga o artigo intitulado Vincular seu domínio ao seu identificador distribuído para saber mais.

Quais são os requisitos de licenciamento?

Não há requisitos especiais de licenciamento para emitir credenciais verificáveis.

Como faço para redefinir o serviço Microsoft Entra Verified ID?

A redefinição requer que você opte por não participar e volte a entrar no serviço de ID Verificada do Microsoft Entra. Sua configuração de credenciais verificáveis existente é redefinida e seu locatário obtém um novo DID para usar durante a emissão e apresentação.

1. Siga as instruções de exclusão .
2. Examine as etapas de implantação do Microsoft Entra Verified ID para reconfigurar o serviço.
   1. Se você estiver configurando manualmente a ID Verificada, escolha um local para que seu Cofre da Chave do Azure esteja na mesma região ou na região mais próxima. Isso evita problemas de desempenho e latência.
3. Conclua a configuração do seu serviço de credenciais verificáveis. Você precisa recriar suas credenciais.
   1. Se o seu locatário precisar ser configurado como um emissor, é recomendável que sua conta de armazenamento esteja na região europeia como seu serviço de Credenciais Verificáveis.
   2. Você também precisa emitir novas credenciais porque seu locatário agora possui um novo DID.

Como posso verificar a região do meu inquilino do Microsoft Entra?

1. No portal do Azure, vá para Microsoft Entra ID para a assinatura que você usa para sua implantação de ID Verificada do Microsoft Entra.
2. Em Gerenciar, selecione Propriedades
3. Veja o valor para País ou Região. Se o valor for um país ou uma região na Europa, o serviço Microsoft Entra Verified ID está configurado na Europa.

O Microsoft Entra Verified ID suporta ION como seu método DID?

A ID verificada suportava o método DID:ION em pré-visualização até dezembro de 2023, após o que foi descontinuado.

Como faço para mover para did:web de did:ion?

Se quiser mudar para did:web a partir do , pode seguir estes passos através da API de did:ionadministrador. A mudança de autoridade requer a reemissão de todas as credenciais:

Exportar definições de credenciais did:ion existentes

1. Para a did:ion autoridade, use o portal para copiar toda a exibição e definição de regras das credenciais existentes.
2. Se você tiver mais de uma autoridade, precisará usar as APIs de administrador se a did:ion autoridade não for a autoridade padrão. No locatário da ID verificada, conecte-se usando a API de administrador, liste as autoridades para obter a ID da autoridade para a did:ion autoridade. Em seguida, use a API de contratos de lista para exportá-los e salvar o resultado em um arquivo para que você possa recriá-los.

Criando uma nova autoridade did:web

1. Usando a API integrada , crie a nova did:web autoridade. Como alternativa, se o locatário tiver apenas uma autoridade did:ion, você também poderá executar uma opção de exclusão do serviço seguida de uma operação de aceitação para reiniciar com as configurações de ID verificada. Neste caso, você pode escolher entre configuração rápida e manual .
2. Se você estiver configurando uma autoridade did:web usando a API Admin, precisará chamar gerar documento DID para gerar seu documento did e chamar gerar documento conhecido e, em seguida, carregar arquivos JSON para o respetivo caminho conhecido.

Recriar definições de credenciais

Depois de criar sua nova did:web autoridade, você precisa recriar suas definições de credenciais. Você pode fazer isso através do portal se optou por não participar e reintegrou, ou você precisa usar a API de criação de contrato para recriá-los.

Atualizar aplicativos existentes

1. Atualize qualquer um dos seus aplicativos existentes (aplicativos emissores/verificadores) para usar o novo did:web authority. Para aplicativos de emissão, atualize também a URL do manifesto de credenciais.
2. Emissão de testes e fluxos de verificação da nova autoridade did:web. Uma vez que os testes sejam bem-sucedidos, prossiga para a próxima etapa para a exclusão da autoridade did:ion.

Excluir fez:autoridade de iões

Se você não optou por não participar e reintegrou, você precisa remover sua antiga did:ion autoridade. Use a API de autoridade de exclusão para excluir a autoridade did:ion.

Se eu reconfigurar o serviço Microsoft Entra Verified ID, preciso revincular meu DID ao meu domínio?

Sim, depois de reconfigurar o serviço, o locatário tem um novo uso DID para emitir e verificar credenciais verificáveis. Você precisa associar seu novo DID ao seu domínio.

É possível solicitar à Microsoft para recuperar "DIDs antigos"?

Não, neste momento não é possível manter o DID do seu inquilino depois de ter optado por não participar no serviço.

Eu não posso usar ngrok, o que eu faço?

Os tutoriais para implantar e executar os exemplos descrevem o ngrok uso da ferramenta como um proxy de aplicativo. Essa ferramenta às vezes é impedida por administradores de TI de ser usada em redes corporativas. Uma alternativa é implantar o exemplo no Serviço de Aplicativo do Azure e executá-lo na nuvem. Os links a seguir ajudam você a implantar o respetivo exemplo no Serviço de Aplicativo do Azure. O nível de preço gratuito é suficiente para hospedar a amostra. Para cada tutorial, você precisa começar criando primeiro a instância do Serviço de Aplicativo do Azure, depois ignorar a criação do aplicativo, pois já tem um aplicativo, e continuar o tutorial com a implantação.

• Dotnet - Publicar no Serviço de Aplicativo
• Nó - Implantar no Serviço de Aplicativo
• Java - Implementar no Serviço de Aplicativo. Você precisa adicionar o plug-in maven para o Serviço de Aplicativo do Azure ao exemplo.
• Python - Implantar usando o Visual Studio Code

Independentemente do idioma do exemplo que você está usando, o nome https://something.azurewebsites.net de host do Azure AppService é usado como o ponto de extremidade público. Você não precisa configurar algo extra para fazê-lo funcionar. Se você fizer alterações no código ou na configuração, precisará reimplantar o exemplo no Azure AppServices. A solução de problemas/depuração não é tão fácil quanto executar o exemplo em sua máquina local, onde os rastreamentos na janela do console mostram erros, mas você pode obter quase o mesmo usando o Log Stream.

Próximos passos

• Personalizar as suas credenciais verificáveis