Gelişmiş Microsoft Entra Kimlik Doğrulama kurulumu

Gelişmiş Doğrulanmış Kimlik kurulumu, yönetici olarak Azure KeyVault'u yapılandırmanız, merkezi olmayan kimliğinizi kaydetmeniz ve etki alanınızı doğrulamanız gereken Doğrulanmış Kimliği ayarlamanın klasik yoludur.

Bu öğreticide, Microsoft Entra kiracınızı doğrulanabilir kimlik bilgileri hizmetini kullanacak şekilde yapılandırmak için gelişmiş kurulumu kullanmayı öğreneceksiniz.

Özellikle şunların nasıl yapılacağını öğrenirsiniz:

• Azure Key Vault örneği oluşturun.
• Gelişmiş kurulumu kullanarak Doğrulanmış Kimlik hizmeti olduğunuzu yapılandırın.
• Microsoft Entra Kimliğinde bir uygulama kaydedin.

Aşağıdaki diyagramda Doğrulanmış Kimlik mimarisi ve yapılandırdığınız bileşen gösterilmektedir.

Önkoşullar

• Etkin aboneliği olan bir Azure kiracısı gerekir. Azure aboneliğiniz yoksa ücretsiz bir abonelik oluşturun.
• Yapılandırmak istediğiniz dizin için Genel Yönetici veya kimlik doğrulama ilkesi yöneticisi iznine sahip olduğunuzdan emin olun. Genel Yönetici değilseniz, yönetici onayı vermek de dahil olmak üzere uygulama kaydını tamamlamak için uygulama yöneticisi iznine ihtiyacınız vardır.
• Azure Key Vault'un dağıtıldığı Azure aboneliği veya kaynak grubu için katkıda bulunan rolüne sahip olduğunuzdan emin olun.
• Key Vault için erişim izinleri sağladığınıza emin olun. Daha fazla bilgi için bkz . Azure rol tabanlı erişim denetimiyle Key Vault anahtarlarına, sertifikalarına ve gizli dizilerine erişim sağlama.

Anahtar kasası oluşturma

Not

Doğrulanmış Kimlik hizmetini ayarlamak için kullandığınız Azure Key Vault'un İzin modeli için Key Vault Erişim İlkesi olmalıdır. Key Vault'ta Azure rol tabanlı erişim denetimi varsa şu anda bir sınırlama vardır

Azure Key Vault , gizli dizilerin ve anahtarların güvenli depolama ve erişim yönetimini sağlayan bir bulut hizmetidir. Doğrulanmış Kimlik hizmeti, Azure Key Vault'ta genel ve özel anahtarları depolar. Bu anahtarlar kimlik bilgilerini imzalamak ve doğrulamak için kullanılır.

Azure Key Vault örneğiniz yoksa, Azure portalını kullanarak anahtar kasası oluşturmak için bu adımları izleyin. Doğrulanmış Kimlik hizmetini ayarlamak için kullandığınız Azure Anahtar Kasası'nın, Azure Anahtar Kasası oluştururken şu anda varsayılan olan Azure rol tabanlı erişim denetimi yerine İzin modeli için Key Vault Erişim İlkesine sahip olması gerekir.

Not

Varsayılan olarak, kasa oluşturan hesap erişimi olan tek hesaptır. Doğrulanmış Kimlik hizmetinin anahtar kasasına erişmesi gerekir. Anahtar kasanızın kimliğini doğrulamanız ve yapılandırma sırasında kullanılan hesabın anahtarları oluşturmasına ve silmesine izin vermelisiniz. Yapılandırma sırasında kullanılan hesabın, Doğrulanmış Kimlik için etki alanı bağlaması oluşturabilmesi için imzalama izinleri de gerekir. Test sırasında aynı hesabı kullanıyorsanız, kasa oluşturucularına verilen varsayılan izinlere ek olarak, hesap imzalama izni vermek için varsayılan ilkeyi değiştirin.

Anahtar kasasına erişimi yönetme

Doğrulanmış Kimlik'i ayarlayabilmeniz için önce Key Vault erişimi sağlamanız gerekir. Bu, belirtilen bir yöneticinin Key Vault gizli dizileri ve anahtarları üzerinde işlem gerçekleştirip gerçekleştiremeyeceğini tanımlar. Anahtar kasanıza hem Doğrulanmış Kimlik yönetici hesabı hem de oluşturduğunuz İstek Hizmeti API'si sorumlusu için erişim izinleri sağlayın.

Anahtar kasanızı oluşturduktan sonra, Doğrulanabilir Kimlik Bilgileri ileti güvenliği sağlamak için kullanılan bir anahtar kümesi oluşturur. Bu anahtarlar Key Vault'ta depolanır. Doğrulanabilir kimlik bilgilerini imzalamak, güncelleştirmek ve kurtarmak için bir anahtar kümesi kullanırsınız.

Doğrulanmış Kimliği Ayarlama

Doğrulanmış Kimlik'i ayarlamak için şu adımları izleyin:

1. Microsoft Entra yönetim merkezinde Genel Yönetici olarak oturum açın.

2. Doğrulanmış Kimlik'i seçin.

3. Soldaki menüden Kurulum'u seçin.

4. Ortadaki menüden Kuruluş ayarlarını yapılandır'ı seçin.

5. Aşağıdaki bilgileri sağlayarak kuruluşunuzu ayarlayın:

   1. Kuruluş adı: Doğrulanmış kimlikler içindeki işletmenize başvurmak için bir ad girin. Müşterileriniz bu adı görmüyor.

   2. Güvenilen etki alanı: Merkezi olmayan kimlik (DID) belgenizde hizmet uç noktasına eklenmiş bir etki alanı girin. Etki alanı, DID'nizi kullanıcının işletmeniz hakkında bilebileceği somut bir şeye bağlar. Microsoft Authenticator ve diğer dijital cüzdanlar, DID'nizin etki alanınıza bağlı olduğunu doğrulamak için bu bilgileri kullanır. Cüzdan DID'yi doğrulayabilirse doğrulanmış bir simge görüntüler. Cüzdan DID'yi doğrulayamazsa, kullanıcıya kimlik bilgilerinin doğrulayamadığı bir kuruluş tarafından verildiğini bildirir.

      Önemli

      Etki alanı yeniden yönlendirme olamaz. Aksi takdirde, DID ve etki alanı bağlanamaz. Etki alanı için HTTPS kullandığınızdan emin olun. Örneğin: https://did.woodgrove.com.

   3. Anahtar kasası: Daha önce oluşturduğunuz anahtar kasasını seçin.

6. Kaydet'i seçin.

   

Microsoft Entra Id'de uygulama kaydetme

Uygulamanızın kimlik bilgilerini verebilmesi veya doğrulayabilmesi için Microsoft Entra Kimlik Doğrulama çağırmak istediğinde erişim belirteçleri alması gerekir. Erişim belirteçlerini almak için bir uygulama kaydetmeniz ve Doğrulanmış Kimlik İsteği Hizmeti için API izni vermeniz gerekir. Örneğin, bir web uygulaması için aşağıdaki adımları kullanın:

1. Microsoft Entra yönetim merkezinde Genel Yönetici olarak oturum açın.

2. Microsoft Entra Kimlik'i seçin.

3. Uygulamalar'ın altında Uygulama kayıtları> Yeni kayıt'ı seçin.

   

4. Uygulamanız için bir görünen ad girin. Örneğin: verifiable-credentials-app.

5. Desteklenen hesap türleri için Yalnızca bu kuruluş dizinindeki hesaplar (Yalnızca Varsayılan Dizin - Tek kiracı) seçeneğini belirleyin.

6. Uygulamayı kaydetmek için Kaydet'i seçin.

   

Erişim belirteçleri alma izinleri verme

Bu adımda, Doğrulanabilir Kimlik Bilgileri Hizmeti İstek Hizmeti sorumlusuna izinler verirsiniz.

Gerekli izinleri eklemek için şu adımları izleyin:

1. Verifiable-credentials-app uygulama ayrıntıları sayfasında kalın. API izinleri>İzin ekle'yi seçin.

   

2. Kuruluşumun kullandığı API'ler'i seçin.

3. Doğrulanabilir Kimlik Bilgileri Hizmet İsteği hizmet sorumlusunu arayın ve seçin.

   

4. Uygulama İzni'ni seçin ve VerifiableCredential.Create.All öğesini genişletin.

   

5. İzinler ekle'yi seçin.

6. Kiracı adınız> için <Yönetici onayı ver'i seçin.

Kapsamları farklı uygulamalara ayırmayı tercih ediyorsanız verme ve sunu izinlerini ayrı olarak vermeyi seçebilirsiniz.

Merkezi olmayan kimliği kaydetme ve etki alanı sahipliğini doğrulama

Azure Key Vault kurulumu tamamlandıktan ve hizmetin bir imzalama anahtarı olduktan sonra kurulumda 2. ve 3. adımları tamamlamanız gerekir.

1. Microsoft Entra yönetim merkezinde Genel Yönetici olarak oturum açın.
2. Doğrulanabilir kimlik bilgileri'ne tıklayın.
3. Soldaki menüden Kurulum'u seçin.
4. Did:web için merkezi olmayan kimliğinizi kaydetme makalesindeki yönergelere göre, ortadaki menüden DID belgenizi kaydetmek için Merkezi olmayan kimliği kaydet'i seçin. Etki alanınızı doğrulamaya devam etmeden önce bu adımı tamamlamanız gerekir. Güven sisteminiz olarak did:ion seçeneğini belirlediyseniz bu adımı atlamalısınız.
5. Ortadaki menüden Etki alanı sahipliğini doğrula'yı seçerek etki alanınızı doğrulayın makalesindeki yönergelere göre Etki alanı sahipliğini Merkezi Olmayan Tanımlayıcınıza (DID) doğrulama

Doğrulama adımlarını başarıyla tamamladıktan ve üç adımda da yeşil onay işaretlerine sahip olduktan sonra sonraki öğreticiye devam etmeye hazır olursunuz.

Sonraki adımlar

• Web uygulamasından Microsoft Entra Kimlik Doğrulama kimlik bilgilerini nasıl yayımlayacağınızı öğrenin.
• Microsoft Entra Kimlik Doğrulama kimlik bilgilerini doğrulamayı öğrenin.