Поделиться через


Настройка средства проверки проверяемых удостоверений Microsoft Entra

В Проверенные учетные данные Microsoft Entra учетных данных из приложения вы узнаете, как выдавать и проверять учетные данные с помощью того же клиента Microsoft Entra. В реальном сценарии, где издатель и проверяющий являются отдельными организациями, проверяющий использует свой собственный клиент Microsoft Entra для проверки учетных данных, выданных другой организацией. С помощью этого учебника мы выполним действия, необходимые для предъявления и проверки вашего первого проверяемого удостоверения — карточки эксперта с проверенным удостоверением.

Как проверяющий вы предоставите привилегии субъектам, у которых есть карточки эксперта с проверенным удостоверением. С помощью этого учебника вы запустите на локальном компьютере пример приложения, которое потребует предъявить карточку эксперта с проверенным удостоверением, а затем проверит ее.

Вы узнаете, как выполнять следующие задачи:

  • Скачивание кода примера приложения на локальный компьютер.
  • Настройка Проверенные учетные данные Microsoft Entra в клиенте Microsoft Entra
  • Сбор сведений об удостоверениях и средах для настройки примера приложения и добавления в него сведений о карточке эксперта с проверенным удостоверением.
  • запустить пример приложения и начать процесс выдачи проверяемых удостоверений.

Необходимые компоненты

Сбор сведений об арендаторе для настройки примера приложения

После настройки службы проверенного идентификатора Azure AD можно собрать некоторые сведения о среде и настроенных проверяемых удостоверениях. Эти сведения необходимы для настройки примера приложения.

  1. В разделе Проверяемое удостоверение выберите Параметры организации.
  2. Скопируйте значение параметра Идентификатор арендатора и сохраните его для дальнейшего использования.
  3. Скопируйте значение параметра Децентрализованное удостоверение и сохраните его для дальнейшего использования.

На следующем снимке экрана показано, как скопировать необходимые значения:

Снимок экрана, на котором показано, как скопировать необходимые значения из проверенного идентификатора Microsoft Entra.

Скачивание примера кода

Пример приложения .NET доступен в репозитории GitHub. Сначала скачайте пример кода из репозитория GitHub или клонируйте репозиторий на локальный компьютер:

git clone git@github.com:Azure-Samples/active-directory-verifiable-credentials-dotnet.git 

Настройка приложения для проверки проверяемых удостоверений

Создайте секрет клиента для зарегистрированного приложения, которое вы создали. Приложение использует секрет клиента для подтверждения подлинности при запросе токенов.

  1. В идентификаторе Microsoft Entra перейдите к Регистрация приложений.

  2. Выберите приложение verifiable-credentials-app, которое вы создали ранее.

  3. Щелкните имя приложения, чтобы открыть страницу сведений о регистрации приложений.

  4. Скопируйте значение параметра Идентификатор приложения (клиента) и сохраните для последующего использования.

    Снимок экрана: получение идентификатора приложения.

  5. На странице Сведения о регистрации приложений в разделе главного меню Управление выберите Сертификаты и секреты.

  6. Щелкните Создать секрет клиента.

    1. В поле Описание введите описание секрета клиента (например, vc-sample-secret).

    2. Для параметра Истекает выберите срок действия секрета (например, "6 месяцев"). Нажмите кнопку Добавить.

    3. Запишите значение секрета в поле Значение. Это значение потребуется на следующем шаге. Это значение больше не будет показано. Его нельзя получить никаким другим способом, поэтому запишите его, как только оно появится.

На этом этапе у вас должны быть все необходимые сведения для настройки примера приложения.

Изменение примера приложения

Мы внесли изменения в код издателя примера приложения, чтобы обновить его, используя URL-адрес проверяемого удостоверения. Это позволяет выдавать проверяемые удостоверения с помощью вашего собственного клиента.

  1. В каталоге active-directory-verifiable-credentials-dotnet-main откройте Visual Studio Code. Выберите проект в каталоге 1. asp-net-core-api-idtokenhint.

  2. В корневой папке проекта откройте файл appsettings.json. Этот файл содержит сведения об учетных данных в среде проверенного идентификатора Microsoft Entra. Обновите следующие свойства, указав сведения, записанные на предыдущих шагах.

    1. Tenant ID: идентификатор арендатора.
    2. Client ID: идентификатор клиента.
    3. Client Secret: секрет клиента.
    4. DidAuthority: ваш децентрализованный идентификатор
    5. CredentialType: тип учетных данных

    CredentialManifest требуется только для выдачи, поэтому если все, что вы хотите сделать, это презентация, она строго не нужна.

  3. Сохраните файл appsettings.json.

В следующем коде JSON показано, как должен выглядеть файл appsettings.json:

{
  "VerifiedID": {
    "Endpoint": "https://verifiedid.did.msidentity.com/v1.0/verifiableCredentials/",
    "VCServiceScope": "3db474b9-6a0c-4840-96ac-1fceb342124f/.default",
    "Instance": "https://login.microsoftonline.com/",
    "TenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
    "ClientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
    "ClientSecret": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
    "CertificateName": "[Or instead of client secret: Enter here the name of a certificate (from the user cert store) as registered with your application]",
    "DidAuthority": "did:web:...your-decentralized-identifier...",
    "CredentialType": "VerifiedCredentialExpert",
    "CredentialManifest":  "https://verifiedid.did.msidentity.com/v1.0/aaaabbbb-0000-cccc-1111-dddd2222eeee/verifiableCredentials/contracts/VerifiedCredentialExpert"
  }
}

Запуск и проверка примера приложения

Теперь вы можете запустить пример приложения, чтобы предъявить и проверить карточку эксперта с поверенным удостоверением.

  1. В Visual Studio Code запустите проект Verifiable_credentials_DotNet. или в командной оболочке выполните следующие команды:

    cd active-directory-verifiable-credentials-dotnet\1-asp-net-core-api-idtokenhint
    dotnet build "AspNetCoreVerifiableCredentials.csproj" -c Debug -o .\bin\Debug\net6
    dotnet run
    
  2. В другом терминале выполните приведенную ниже команду. Эта команда запускает ngrok, чтобы настроить URL-адрес на порту 5000 и сделать его общедоступным в Интернете.

    ngrok http 5000 
    

    Примечание.

    На некоторых компьютерах может потребоваться выполнить команду в таком формате: ./ngrok http 5000.

  3. Откройте URL-адрес HTTPS, созданный службой ngrok.

    Снимок экрана: настройка общедоступного URL-адреса с помощью ngrok.

  4. В веб-браузере нажмите кнопку Verify Credential (Проверить удостоверение).

    Снимок экрана, на котором показано, как проверить удостоверение в примере приложения.

  5. На мобильном устройстве отсканируйте QR-код в приложении Authenticator или в приложении камеры.

  6. В предупреждении о том, что это приложение или веб-сайт могут представлять риск, щелкните Дополнительно. Это предупреждение отображается, потому что ваш домен не проверен. При работе с этим учебником вы можете пропустить регистрацию домена.

    Снимок экрана: кнопка дополнительных параметров в предупреждении приложения Authenticator.

  7. В предупреждении выберите Все равно продолжить (небезопасно).

    Снимок экрана: кнопка

  8. Одобрите запрос, нажав кнопку Разрешить.

    Снимок экрана, показывающий, как одобрить запрос на предъявление.

  9. После одобрения запроса появится сообщение о том, что он одобрен. Вы также можете проверить это в журнале. Чтобы просмотреть журнал, выберите проверяемое удостоверение.

    Снимок экрана: карточка эксперта с проверенным удостоверением.

  10. Выберите Недавние действия.

    Снимок экрана: пункт меню для просмотра недавних действий, выполнявшихся с удостоверением.

  11. На странице Недавние действия будут показаны последние действия, выполнявшиеся с проверяемым удостоверением.

    Снимок экрана: действия, выполнявшиеся с проверяемым удостоверением.

  12. Вернитесь в приложение. В нем появится сообщение о том, что проверяемое удостоверение было предъявлено.

    Снимок экрана: сообщение о том, что удостоверение было предъявлено.

Следующие шаги

См. статью Настройка проверяемого удостоверения.