Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Genel bakış
Verme çözümünüzü planlamanız önemlidir, böylece kimlik bilgileri vermenin yanı sıra çözümünüzün mimari ve iş etkilerinin tam bir görünümüne sahip olursunuz. Henüz yapmadıysanız temel bilgiler için Microsoft Entra Doğrulanmış Kimlik mimarisine genel bakış makalesini gözden geçirin.
Kılavuzun kapsamı
Bu makale, doğrulanabilir bir kimlik bilgisi (VC) verme çözümü planlamanın teknik yönlerini kapsar. Doğrulanabilir kimlik bilgileri için Microsoft çözümü, World Wide Web Consortium (W3C) Doğrulanabilir Kimlik Bilgileri Veri Modeli 1.0 ve Merkezi Olmayan Tanımlayıcılar (DD) V1.0 standartlarına uyar, böylece Microsoft hizmetleri olmayanlarla birlikte çalışabilir. Ancak, bu içerikteki örnekler doğrulanabilir kimlik bilgileri için Microsoft çözüm yığınını yansıtır.
Bu içeriğin kapsamı dışında, verme çözümlerine özgü olmayan destekleyici teknolojileri kapsayan makaleler yer alır. Örneğin, web siteleri doğrulanabilir bir kimlik bilgisi verme çözümünde kullanılır, ancak web sitesi dağıtımının planlanması ayrıntılı olarak ele alınamaz.
Çözümün bileşenleri
İhraç çözümü planınızın bir parçası olarak ihraç eden, kullanıcı ve doğrulayıcı arasındaki etkileşimleri etkinleştiren bir çözüm tasarlamanız gerekir. Aşağıdaki diyagramda verme mimarinizin bileşenleri gösterilmektedir.
Microsoft VC çıkarım çözümü mimarisi
Microsoft Entra kiracısı
Microsoft Entra Doğrulanmış Kimliğini barındırmak için bir Microsoft Entra kiracısına erişmeniz gerekir. Microsoft Entra kiracısı, çözümün kaynaklar bölümü için bir Kimlik ve Erişim Yönetimi (IAM) denetim düzlemi sağlar.
Her kiracı çok kiracılı Microsoft Entra Kimlik Doğrulama hizmetini kullanır ve merkezi olmayan bir tanımlayıcıya (DID) sahiptir. DID, verenin DID'ye dahil edilen etki alanının sahibi olduğuna dair kanıt sağlar. DID, vereni doğrulamak için konu ve doğrulayıcı tarafından kullanılır.
Microsoft Azure servisleri
Azure Key Vault hizmeti, Microsoft Entra Kimlik Doğrulama verme hizmetini başlattığınızda oluşturulan veren anahtarlarınızı depolar. Anahtarlar ve meta veriler, kimlik bilgisi yönetimi işlemlerini yürütmek ve ileti güvenliği sağlamak için kullanılır.
Her verenin imzalama, güncelleştirme ve kurtarma için kullanılan tek bir anahtar kümesi vardır. Bu anahtar kümesi, oluşturduğunuz doğrulanabilir her kimlik bilgilerinin her verme işlemi için kullanılır.
Microsoft Entra Kimlik Doğrulama Hizmeti, kimlik bilgileri meta verilerini ve tanımlarını, özellikle de kimlik bilgilerinizin kurallarını ve görüntüleme tanımlarını depolamak için kullanılır.
Ekran tanımları, taleplerin sahibinin cüzdanında nasıl görüntüleneceğini belirler ve marka ve diğer öğeleri de içerir. Görüntüleme tanımı birden çok dilde yerelleştirilebilir. Bkz Doğrulanabilir kimlik bilgilerinizi nasıl özelleştirebilirsiniz.
Kurallar, doğrulanabilir bir kimlik bilgisinin gerekli girişlerini açıklayan çıkartan tarafından tanımlanan bir modeldir. Kurallar ayrıca güvenilen giriş kaynaklarını ve giriş taleplerinin VC'de depolanan çıkış taleplerine eşlemini de tanımlar. Kural tanımında tanımlanan kanıtlama türüne bağlı olarak, giriş talepleri farklı sağlayıcılardan gelebilir. Giriş talepleri bir OIDC Kimlik Sağlayıcısından, bir id_token_hint veya cüzdandaki kullanıcı girişi aracılığıyla verme sırasında kendi kendini onaylanan taleplerden gelebilir.
- Input : İstemci tüketimi için kural dosyasındaki modelin bir alt kümesi. Alt küme, girişler kümesini, bu girişlerin nereden alınacağını ve doğrulanabilir bir kimlik bilgisi almak için çağrılacak uç noktayı açıklamalıdır.
Microsoft Entra Kimlik Doğrulama hizmeti
Microsoft Entra Doğrulanmış Kimlik hizmeti, yapılandırmanıza göre doğrulanabilir kimlik bilgileri vermenizi ve iptal etmenizi sağlar. Hizmet:
Merkezi olmayan tanımlayıcıyı (DID) sağlar. Her verenin kiracı başına tek bir DID'i vardır.
Anahtar kümelerini Key Vault'a temin eder.
Verme hizmeti ve Microsoft Authenticator tarafından kullanılan yapılandırma meta verilerini depolar.
Veren ve doğrulayıcı web ön uçları için bir REST API arabirimi sağlar.
Güven sistemi
Microsoft Entra Verified ID şu anda Web'i güven sistemi DID Web olarak desteklemektedir ve burada DID belgesi verenin web sunucusunda barındırılır.
Microsoft Authenticator uygulaması
Microsoft Authenticator mobil uygulamadır. Authenticator kullanıcı, Microsoft Entra Kimlik Doğrulama hizmeti ve VM'leri vermek için kullanılan sözleşme arasındaki etkileşimleri düzenler. VC sahibinin, özel anahtarı da dahil olmak üzere VC'yi depoladığı dijital bir cüzdan işlevi görür. Authenticator aynı zamanda doğrulama için doğrulanabilir kimlik bilgilerini sunmak için kullanılan mekanizmadır.
Yayın iş mantığı
Çıkarma çözümünüz, kullanıcıların Doğrulayıcı Belge (VC) talep ettiği bir web ön uç, özne hakkındaki iddialar için kimlik deposu ve diğer öznitelik deposundan değerler alma ve diğer arka uç hizmetlerini içerir.
Web arayüzü, derin bağlantılar veya QR kodları oluşturarak kullanıcının cüzdanına çıkarma istekleri sunar. Sözleşmenin yapılandırmasına bağlı olarak, VC oluşturma gereksinimlerini karşılamak için başka bileşenler gerekebilir.
Bu hizmetler, Microsoft Entra Kimlik Doğrulama verme hizmetiyle tümleştirilmesi gerekmeyen destekleyici roller sağlar. Bu katman genellikle şunları içerir:
OpenID Connect (OIDC) uyumlu hizmet veya hizmetler , VC'yi vermek için gereken id_tokens almak için kullanılır. Microsoft Entra ID veya Azure AD B2C gibi mevcut kimlik sistemleri, Identity Server gibi özel çözümler gibi OIDC uyumlu hizmet sağlayabilir.
Öznitelik depoları – Öznitelik depoları dizin hizmetlerinin dışında olabilir ve VC vermek için gereken öznitelikleri sağlayabilir. Örneğin, bir öğrenci bilgi sistemi kazanılan dereceler hakkında talepler sağlayabilir.
Kimlik bilgilerini vermek için aramalar, doğrulama, faturalama ve diğer gerekli çalışma zamanı denetimleri ve iş akışları için iş kuralları içeren ek orta katman hizmetleri.
Web ön ucunuzu ayarlama hakkında daha fazla bilgi için, Doğrulanabilir kimlik bilgileri vermek için Microsoft Entra Kimliğinizi yapılandırma öğreticisine bakın.
Kimlik bilgisi tasarımında dikkat edilmesi gerekenler
Kimlik bilgileri tasarımınızı belirli kullanım örnekleri belirler. Kullanım örneği aşağıdakileri belirler:
Birlikte çalışabilirlik gereksinimleri.
Kullanıcıların VC'lerini almak için kimliklerini kanıtlamaları gereken yöntem.
Yetkilendirme bilgilerinde gerekli olan hak talepleri.
Kimlik bilgilerinin iptal edilmesi gerekiyorsa.
Kimlik bilgisi kullanım örnekleri
Microsoft Entra Kimlik Doğrulama ile en yaygın kimlik bilgisi kullanım örnekleri şunlardır:
Kimlik Doğrulama: Birden çok ölçüte göre bir kimlik bilgisi verilir. Birden çok ölçüt arasında pasaport veya sürücü belgesi gibi devlet tarafından verilen belgelerin orijinalliğini doğrulama ve bu belgedeki bilgilerle aşağıdakiler gibi diğer bilgiler arasında bağıntı oluşturma yer alabilir:
kullanıcının özçekim
canlılığın doğrulanması
Bu tür kimlik bilgileri, kimlik doğrulamasının temel öneme sahip olduğu yeni çalışanlar, iş ortakları, hizmet sağlayıcıları, öğrenciler ve diğer durumlarda kimlik tanıtım senaryoları için uygundur.
İstihdam/üyelik kanıtı: Kullanıcı ile kurum arasındaki ilişkiyi kanıtlamak için bir kimlik bilgisi verilir. Bu tür kimlik bilgileri, çalışanlara veya öğrencilere indirim sunan perakendeciler gibi gevşek bir şekilde birbirine bağlı işletmeler arası uygulamalara erişmek için uygundur. Doğrulanabilir Kimlik Bilgilerinin ana değerlerinden biri taşınabilirliğidir: Bir kez verildiğinde, kullanıcı VC'yi birçok senaryoda kullanabilir.
Diğer kullanım örnekleri için bkz . Doğrulanabilir Kimlik Bilgileri Kullanım Örnekleri (w3.org).
Kimlik bilgileri birlikte çalışabilirliği
Tasarım sürecinin bir parçası olarak, birlikte çalışabilirlik ve kullanımı en üst düzeye çıkarmak için hizalayabileceğiniz sektöre özgü şemaları, ad alanlarını ve tanımlayıcıları araştırın. Örnekler Schema.org ve DIF - Talepler ve Kimlik Bilgileri Çalışma Grubunda bulunabilir.
Ortak şemalar, standartların hala ortaya çıktığı bir alandır. Bu tür bir çabaya örnek olarak Eğitim Için Doğrulanabilir Kimlik Bilgileri Görev Gücü gösterilebilir. Kuruluşunuzun sektöründe ortaya çıkan standartları araştırın ve katkıda bulunun.
Kimlik bilgisi türü ve öznitelikleri
Bir kimlik bilgisi için kullanım örneğini oluşturduktan sonra, kimlik bilgisi türüne ve kimlik bilgilerine hangi özniteliklerin dahil gerektiğine karar vermeniz gerekir. Doğrulayıcılar, kullanıcılar tarafından sunulan VC'deki talepleri okuyabilir.
Doğrulanabilir tüm kimlik bilgileri, türlerini kendi kural tanımlarında bildirmelidir. Kimlik bilgisi türü doğrulanabilir kimlik bilgileri şemasını diğer kimlik bilgilerinden ayırır ve verenlerle doğrulayıcılar arasında birlikte çalışabilirlik sağlar. Kimlik bilgisi türünü belirtmek için, kimlik bilgisinin karşıladığı bir veya daha fazla kimlik bilgisi türü sağlayın. Her bir tür, benzersiz bir stringdir. Genellikle genel benzersizliği sağlamak için URI kullanılır. URI'nin adreslenebilir olması gerekmez. String olarak değerlendirilir. Örneğin, Contoso Üniversitesi tarafından verilen bir diploma kimlik bilgisi aşağıdaki türleri bildirebilir:
| Türü | Amaç |
|---|---|
https://schema.org/EducationalCredential |
Contoso Üniversitesi tarafından verilen diplomaların schema.org EducationaCredential nesnesi tarafından tanımlanan öznitelikler içerdiğini bildirir. |
https://schemas.ed.gov/universityDiploma2020 |
Contoso Üniversitesi tarafından verilen diplomaların ABD Eğitim Bakanlığı tarafından tanımlanan öznitelikler içerdiğini beyan eder. |
https://schemas.contoso.edu/diploma2020 |
Contoso Üniversitesi tarafından verilen diplomaların Contoso Üniversitesi tarafından tanımlanan öznitelikler içerdiğini bildirir. |
Senaryolarınız için geçerli olabilecek sektöre özgü standartlara ve şemalara ek olarak aşağıdaki yönleri göz önünde bulundurun:
Özel bilgileri en aza indirin: Gerekli en az miktarda özel bilgiyle kullanım durumlarını karşılayın. Örneğin, çalışanlara ve mezunlara indirimler sunan e-ticaret web siteleri için kullanılan bir VC, kimlik bilgileri yalnızca ad ve soyadı talepleri ile sunularak gerçekleştirilebilir. İşe alma tarihi, unvan, departman gibi ek bilgiler gerekli değildir.
Soyut iddiaları tercih edin: Her iddia, ayrıntıyı en aza indirirken ihtiyacı karşılamalıdır. Örneğin, 13, 21, 60 gibi ayrık değerlere sahip "ageOver" adlı bir talep, doğum talebi tarihinden daha soyut olur.
İptal edilebilirlik planı: Kimlik bilgilerini bulma ve iptal etme mekanizmalarını etkinleştirmek için bir dizin talebi tanımlayın. Sözleşme başına bir dizin talebi tanımlamakla sınırlısınız. Dizine alınan taleplerin değerlerinin arka uçta depolanmadığını, yalnızca talep değerinin karması olduğunu unutmayın. Daha fazla bilgi için bkz Daha önce verilen doğrulanabilir kimlik bilgilerini iptal etme.
Kimlik bilgisi öznitelikleriyle ilgili diğer konular için Doğrulanabilir Kimlik Bilgileri Veri Modeli 1.0 (w3.org) belirtimine bakın.
Kalite özniteliklerini planlama
Performans için planlama
Herhangi bir çözümde olduğu gibi performansı planlamanız gerekir. Odaklanmak için önemli alanlar gecikme süresi ve ölçeklenebilirliktir. Yayın döngüsünün ilk aşamalarında performans sorun oluşturmamalıdır. Ancak verme çözümünüzün benimsenmesi birçok doğrulanabilir kimlik bilgilerinin verilmesiyle sonuçlandığında performans planlaması çözümünüzün kritik bir parçası haline gelebilir.
Aşağıdaki bölümde, performans planlaması sırasında dikkate alınacak alanlar ele alınmaktadır:
Microsoft Entra Doğrulanmış Kimlik verme hizmeti Batı Avrupa, Kuzey Avrupa, Batı ABD 2, Orta Batı ABD, Avustralya ve Japonya Azure bölgelerinde dağıtılır. Microsoft Entra kiracınız AB içinde bulunuyorsa, Microsoft Entra Kimlik Doğrulama hizmeti de AB'dedir.
Gecikmeyi sınırlamak için frontend web sitenizi ve anahtar kasasını daha önce seçilen bölgeye dağıtın.
Aktarım hızına göre model:
Azure Key Vault için her VC verme işlemine üç imzalama işlemi dahil edilir:
Web sitesinden verme isteği için bir tane
Oluşturulan VC için bir tane
Sözleşme indirme için bir tane
Sınırlamayı denetleyemezsiniz; ancak Azure Key Vault sınırlama kılavuzunu gözden geçirin.
Büyük bir yaygınlaştırma ve VC'leri devreye almayı planlıyorsanız, sınırları aşmadığınızdan emin olmak için VC oluşturma işlemini toplu olarak gerçekleştirmeyi göz önünde bulundurun.
Performans planınızın bir parçası olarak, çözümün performansını daha iyi anlamak için neleri izlediğinizi belirleyin. Uygulama düzeyinde web sitesi izlemesine ek olarak, VC verme izleme stratejinizi tanımlarken aşağıdakileri göz önünde bulundurun:
Ölçeklenebilirlik için aşağıdaki öğeler için ölçümler uygulamayı göz önünde bulundurun:
Verme işleminizin mantıksal aşamalarını tanımlayın. Örneğin:
İlk istek
QR kodunun veya derin bağlantının bakımı
Öznitelik arama
Microsoft Entra Kimlik Doğrulama verme hizmetine yapılan çağrılar
Verilen kimlik bilgileri
Ölçümleri aşamalara göre tanımlayın:
toplam istek sayısı (birim)
Zaman birimi başına istek sayısı (aktarım hızı)
Harcanan süre (gecikme süresi)
Aşağıdaki bağlantıyı kullanarak Azure Key Vault'un izlenmesi:
İş mantığı katmanınız için kullanılan bileşenleri izleyin.
Güvenilirlik planı
Güvenilirliği planlamak için:
Kullanılabilirlik ve yedeklilik hedeflerinizi tanımladıktan sonra, hedeflerinize nasıl ulaşabileceğinizi anlamak için aşağıdaki kılavuzları kullanın:
Ön uç ve iş katmanı için çözümünüz sınırsız sayıda yolla bildirimde bulunabilir. Herhangi bir çözümde olduğu gibi, tanımladığınız bağımlılıklar için de bağımlılıkların dayanıklı ve izlenmiş olduğundan emin olun.
Microsoft Entra Kimlik Doğrulama verme hizmetinin veya Azure Key Vault hizmetlerinin kullanılamaz duruma gelmesi durumunda çözümün tamamı kullanılamaz duruma gelir.
Uyumluluk planı
Kuruluşunuzun sektörünüzle, işlem türüyle veya operasyon ülkesi/bölgesiyle ilgili belirli uyumluluk gereksinimleri olabilir.
Veri yerleşimi: Microsoft Entra Kimlik Doğrulama verme hizmeti Azure bölgelerinin bir alt kümesine dağıtılır. Hizmet yalnızca işlem işlevleri için kullanılır. Doğrulanabilir kimlik bilgilerinin değerleri Microsoft sistemlerinde depolanmaz. Bununla birlikte, verme işleminin bir parçası olarak, kişisel veriler vm'leri gönderirken gönderilir ve kullanılır. VC hizmetinin kullanılması veri yerleşimi gereksinimlerini etkilememelidir. Herhangi bir kişisel bilgiyi kimlik doğrulamasının bir parçası olarak depolarsanız, uyumluluk gereksinimlerinizi karşılayan bir şekilde ve bölgede depoladığınızdan emin olun. Azure ile ilgili yönergeler için Microsoft Güven Merkezi'ni ziyaret edin.
Kimlik bilgilerini iptal etme: Kuruluşunuzun kimlik bilgilerini iptal etmesi gerekip gerekmediğini belirleyin. Örneğin, bir çalışan şirketten ayrıldığında yöneticinin kimlik bilgilerini iptal etme ihtiyacı olabilir. Daha fazla bilgi için bkz Daha önce verilen doğrulanabilir kimlik bilgilerini iptal etme.
Süresi dolan kimlik bilgileri: Kimlik bilgilerinizin süresinin nasıl doldığını belirleyin. Örneğin, bir VC'yi bir sürücü belgesine sahip olduğunuzun kanıtı olarak verirseniz, birkaç yıl sonra süresi dolabilir. Diğer VC'lerin geçerlilik süresi daha kısa olabilir, böylece kullanıcıların VC'lerini güncellemek için belirli aralıklarla geri gelmesi sağlanır.
İşlemleri planlama
İşlemleri planlarken, desteklediğiniz çeşitli müşterileri sorun giderme, raporlama ve ayırt etme amacıyla kullanılacak bir şema geliştirmeniz kritik önem taşır. Ayrıca, operasyon ekibi VC iptalini yürütmekle sorumluysa, bu işlem tanımlanmalıdır. Her benzersiz verme isteğiyle hangi günlük girişlerinin ilişkilendirilebileceğini belirleyebilmeniz için işlemdeki her adımın bağıntılı olması gerekir. Denetim için, her kimlik bilgisi verme girişimini tek tek yakalayın. Özellikle:
Müşterilerin ve destek mühendislerinin gerektiğinde başvurabileceği benzersiz işlem kimlikleri oluşturun.
Azure Key Vault işlemlerinin günlüklerini çözümün verme bölümünün işlem kimlikleriyle ilişkilendirmek için bir mekanizma oluşturun.
Birden çok müşteri adına kimlik bilgisi düzenleyen bir kimlik doğrulama hizmetiyseniz, müşteri odaklı raporlama ve faturalama için müşteri veya sözleşme kimliğine göre izleyin ve azaltın.
Birden çok müşteri adına Doğrulanabilir Kimlik Bilgileri veren bir kimlik doğrulama hizmetiyseniz, müşteriye yönelik raporlama ve faturalama, izleme ve hafifletme için müşteri veya sözleşme kimliğini kullanın.
Güvenlik için plan
Güvenlik odaklı tasarım konularınızın bir parçası olarak aşağıdaki öğeleri göz önünde bulundurun:
Anahtar yönetimi için:
VC verme için ayrılmış bir Key Vault oluşturun. Azure Key Vault izinlerini Microsoft Entra Kimlik Doğrulama verme hizmeti ve verme hizmeti ön uç web sitesi hizmet sorumlusuyla sınırlayın.
Azure Key Vault'a yüksek ayrıcalıklı bir sistem olarak davranın- Azure Key Vault, müşterilere kimlik bilgileri sağlar. Hiçbir insan kimliğinin Azure Key Vault hizmeti üzerinde kalıcı izinlere sahip olmaması gerekir. Yöneticilerin Key Vault'a yalnızca tam zamanında erişimi olmalıdır. Azure Key Vault kullanımına yönelik diğer en iyi yöntemler için bkz . Key Vault için Azure Güvenlik Temeli.
Verme ön uç web sitesini temsil eden hizmet sorumlusu için:
Azure Key Vault'a erişim yetkisi vermek için ayrılmış bir hizmet sorumlusu tanımlayın. Web siteniz Azure'daysa bir Azure Yönetilen Kimliği kullanın.
Web sitesini ve kullanıcıyı temsil eden hizmet sorumlusunu tek bir güven sınırı olarak değerlendirin. Birden çok web sitesi oluşturmak mümkün olsa da, verme çözümü için yalnızca bir anahtar kümesi vardır.
Güvenlik günlüğü ve izleme için aşağıdaki öğeleri öneririz:
Kimlik bilgisi verme işlemlerini, anahtar ayıklama girişimlerini, izin değişikliklerini izlemek ve yapılandırma değişikliklerini izlemek ve uyarı göndermek için Azure Key Vault'un günlüğe kaydedilmesini ve uyarılmasını etkinleştirin. Daha fazla bilgi için Key Vault günlüğünü nasıl etkinleştireceğiniz hakkında bilgi edinebilirsiniz.
Uzun süreli saklama için Microsoft Sentinel gibi bir güvenlik bilgileri ve olay yönetimi (SIEM) sistemlerindeki günlükleri arşivleyin.
Aşağıdakini kullanarak kimlik sahtekarlığı risklerini azaltın
Müşterilerin veren markasını belirlemesine yardımcı olmak için DNS doğrulaması.
Son kullanıcılar için anlamlı olan etki alanı adları.
Son kullanıcının tanıdığı güvenilir markalama.
Dağıtılmış hizmet reddi (DDOS) ve Key Vault kaynak tükenme risklerini azaltın. Bir VC verme isteğini tetikleyen her istek, hizmet sınırlarına ulaşmayı sağlayan Key Vault imzalama işlemlerini oluşturur. Verme istekleri oluşturmadan önce kimlik doğrulaması veya captcha ekleyerek trafiği korumanızı öneririz.
Azure ortamınızı yönetme konusunda rehberlik için Microsoft bulut güvenliği karşılaştırmasını ve Microsoft Entra Id ile Azure ortamlarının güvenliğini sağlama makalesini gözden geçirmenizi öneririz. Bu kılavuzlar Azure Key Vault, Azure Depolama, web siteleri ve Azure ile ilgili diğer hizmet ve özellikler dahil olmak üzere temel alınan Azure kaynaklarını yönetmek için en iyi yöntemleri sağlar.
Dikkat edilmesi gereken diğer noktalar
POC'nizi tamamladığınızda, oluşturulan tüm bilgileri ve belgeleri toplayın ve veren yapılandırmasını kaldırmayı göz önünde bulundurun.
Key Vault uygulaması ve işlemi hakkında daha fazla bilgi için bkz. Key Vault'un kullanılması için en iyi yöntemler. Microsoft Entra Kimliğini kullanarak Microsoft Entra kiracılarınızı güvenli hale getirme hakkında daha fazla bilgi için bkz. Temsilcili yönetim ve yalıtılmış ortamlara giriş.