Настройка средства проверки проверяемых удостоверений Microsoft Entra
В Проверенные учетные данные Microsoft Entra учетных данных из приложения вы узнаете, как выдавать и проверять учетные данные с помощью того же клиента Microsoft Entra. В реальном сценарии, где издатель и проверяющий являются отдельными организациями, проверяющий использует свой собственный клиент Microsoft Entra для проверки учетных данных, выданных другой организацией. С помощью этого учебника мы выполним действия, необходимые для предъявления и проверки вашего первого проверяемого удостоверения — карточки эксперта с проверенным удостоверением.
Как проверяющий вы предоставите привилегии субъектам, у которых есть карточки эксперта с проверенным удостоверением. С помощью этого учебника вы запустите на локальном компьютере пример приложения, которое потребует предъявить карточку эксперта с проверенным удостоверением, а затем проверит ее.
Вы узнаете, как выполнять следующие задачи:
- Скачивание кода примера приложения на локальный компьютер.
- Настройка Проверенные учетные данные Microsoft Entra в клиенте Microsoft Entra
- Сбор сведений об удостоверениях и средах для настройки примера приложения и добавления в него сведений о карточке эксперта с проверенным удостоверением.
- запустить пример приложения и начать процесс выдачи проверяемых удостоверений.
Необходимые компоненты
- Настройка арендатора для службы "Проверенные учетные данные Microsoft Entra".
- Чтобы клонировать репозиторий с примером приложения, установите Git.
- Visual Studio Code, Visual Studio или аналогичный редактор кода.
- .NET 7.0.
- Скачайте ngrok и зарегистрируйтесь для получения бесплатной учетной записи. Если вы не можете использовать
ngrok
в организации, ознакомьтесь с этим вопросом и ответами. - Мобильное устройство с последней версией Microsoft Authenticator.
Сбор сведений об арендаторе для настройки примера приложения
После настройки службы проверенного идентификатора Azure AD можно собрать некоторые сведения о среде и настроенных проверяемых удостоверениях. Эти сведения необходимы для настройки примера приложения.
- В разделе Проверяемое удостоверение выберите Параметры организации.
- Скопируйте значение параметра Идентификатор арендатора и сохраните его для дальнейшего использования.
- Скопируйте значение параметра Децентрализованное удостоверение и сохраните его для дальнейшего использования.
На следующем снимке экрана показано, как скопировать необходимые значения:
Скачивание примера кода
Пример приложения .NET доступен в репозитории GitHub. Сначала скачайте пример кода из репозитория GitHub или клонируйте репозиторий на локальный компьютер:
git clone git@github.com:Azure-Samples/active-directory-verifiable-credentials-dotnet.git
Настройка приложения для проверки проверяемых удостоверений
Создайте секрет клиента для зарегистрированного приложения, которое вы создали. Приложение использует секрет клиента для подтверждения подлинности при запросе токенов.
В идентификаторе Microsoft Entra перейдите к Регистрация приложений.
Выберите приложение verifiable-credentials-app, которое вы создали ранее.
Щелкните имя приложения, чтобы открыть страницу сведений о регистрации приложений.
Скопируйте значение параметра Идентификатор приложения (клиента) и сохраните для последующего использования.
На странице Сведения о регистрации приложений в разделе главного меню Управление выберите Сертификаты и секреты.
Щелкните Создать секрет клиента.
В поле Описание введите описание секрета клиента (например, vc-sample-secret).
Для параметра Истекает выберите срок действия секрета (например, "6 месяцев"). Нажмите кнопку Добавить.
Запишите значение секрета в поле Значение. Это значение потребуется на следующем шаге. Это значение больше не будет показано. Его нельзя получить никаким другим способом, поэтому запишите его, как только оно появится.
На этом этапе у вас должны быть все необходимые сведения для настройки примера приложения.
Изменение примера приложения
Мы внесли изменения в код издателя примера приложения, чтобы обновить его, используя URL-адрес проверяемого удостоверения. Это позволяет выдавать проверяемые удостоверения с помощью вашего собственного клиента.
В каталоге active-directory-verifiable-credentials-dotnet-main откройте Visual Studio Code. Выберите проект в каталоге 1. asp-net-core-api-idtokenhint.
В корневой папке проекта откройте файл appsettings.json. Этот файл содержит сведения об учетных данных в среде проверенного идентификатора Microsoft Entra. Обновите следующие свойства, указав сведения, записанные на предыдущих шагах.
- Tenant ID: идентификатор арендатора.
- Client ID: идентификатор клиента.
- Client Secret: секрет клиента.
- DidAuthority: ваш децентрализованный идентификатор
- CredentialType: тип учетных данных
CredentialManifest требуется только для выдачи, поэтому если все, что вы хотите сделать, это презентация, она строго не нужна.
Сохраните файл appsettings.json.
В следующем коде JSON показано, как должен выглядеть файл appsettings.json:
{
"VerifiedID": {
"Endpoint": "https://verifiedid.did.msidentity.com/v1.0/verifiableCredentials/",
"VCServiceScope": "3db474b9-6a0c-4840-96ac-1fceb342124f/.default",
"Instance": "https://login.microsoftonline.com/",
"TenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"ClientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
"ClientSecret": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
"CertificateName": "[Or instead of client secret: Enter here the name of a certificate (from the user cert store) as registered with your application]",
"DidAuthority": "did:web:...your-decentralized-identifier...",
"CredentialType": "VerifiedCredentialExpert",
"CredentialManifest": "https://verifiedid.did.msidentity.com/v1.0/aaaabbbb-0000-cccc-1111-dddd2222eeee/verifiableCredentials/contracts/VerifiedCredentialExpert"
}
}
Запуск и проверка примера приложения
Теперь вы можете запустить пример приложения, чтобы предъявить и проверить карточку эксперта с поверенным удостоверением.
В Visual Studio Code запустите проект Verifiable_credentials_DotNet. или в командной оболочке выполните следующие команды:
cd active-directory-verifiable-credentials-dotnet\1-asp-net-core-api-idtokenhint dotnet build "AspNetCoreVerifiableCredentials.csproj" -c Debug -o .\bin\Debug\net6 dotnet run
В другом терминале выполните приведенную ниже команду. Эта команда запускает ngrok, чтобы настроить URL-адрес на порту 5000 и сделать его общедоступным в Интернете.
ngrok http 5000
Примечание.
На некоторых компьютерах может потребоваться выполнить команду в таком формате:
./ngrok http 5000
.Откройте URL-адрес HTTPS, созданный службой ngrok.
В веб-браузере нажмите кнопку Verify Credential (Проверить удостоверение).
На мобильном устройстве отсканируйте QR-код в приложении Authenticator или в приложении камеры.
В предупреждении о том, что это приложение или веб-сайт могут представлять риск, щелкните Дополнительно. Это предупреждение отображается, потому что ваш домен не проверен. При работе с этим учебником вы можете пропустить регистрацию домена.
В предупреждении выберите Все равно продолжить (небезопасно).
Одобрите запрос, нажав кнопку Разрешить.
После одобрения запроса появится сообщение о том, что он одобрен. Вы также можете проверить это в журнале. Чтобы просмотреть журнал, выберите проверяемое удостоверение.
Выберите Недавние действия.
На странице Недавние действия будут показаны последние действия, выполнявшиеся с проверяемым удостоверением.
Вернитесь в приложение. В нем появится сообщение о том, что проверяемое удостоверение было предъявлено.
Следующие шаги
См. статью Настройка проверяемого удостоверения.