常見問題集 (FAQ)

此頁面包含有關可驗證認證和分散式身分識別的常見問題。 問題會組織成下列各節。

• 詞彙和基本概念
• 關於分散式身分識別的概念性問題

基本知識

什麼是 DID？

分散式標識碼 （DID） 是唯一標識碼，可用來保護對資源的存取、簽署和驗證認證，以及促進應用程式數據交換。 與傳統的使用者名稱和電子郵件地址、實體和擁有和控制 DID 本身不同（無論是人員、裝置或公司）。 DID 獨立於任何外部組織或受信任的媒介。 W3C 分散式標識碼規格 會進一步詳細說明 DID。

為什麼我們需要 DID？

數位信任基本上需要參與者擁有和控制其身分識別，而身分識別會從標識符開始。 在日常、大規模系統缺口和集中式標識符蜜點的攻擊的時代，分散身分識別正成為消費者和企業的重要安全性需求。 擁有和控制其身分識別的個人能夠交換可驗證的數據和證明。 分散式認證環境可讓您自動化目前手動和大量人力的許多商務程式。

什麼是可驗證的認證？

認證是我們日常生活的一部分。 駕駛執照用來判斷我們有能力操作機動車輛。 大學學位可以用來判斷我們的教育和政府簽發的護照水準，使我們能夠在國家和地區之間旅行。 可驗證的認證提供一種機制，在網路上以密碼編譯保護、隱私權尊重和計算機可驗證的方式表達這些認證。 W3C 可驗證認證規格 會進一步詳細說明可驗證的認證。

概念性問題

當使用者失去手機時會發生什麼事？ 他們可以復原其身分識別嗎？

有多種方式可為使用者提供復原機制，每一種都有各自的取捨。 Microsoft 目前正在評估復原的選項和設計方法，以在尊重用戶的隱私權和自我主權的同時，提供便利和安全性。

使用者如何信任來自簽發者或驗證者的要求？ 他們如何知道 DID 是組織真正的 DID？

我們會實 作分散式身分識別基礎的已知 DID 組態規格 ，以便將 DID 連線到已知的現有系統功能變數名稱。 使用 Microsoft Entra 驗證識別碼 建立的每個 DID 都有選項，包括編碼在 DID 檔中的根功能變數名稱。 請遵循標題為 將網域連結至分散式標識碼 的文章，以深入瞭解。

在授權上有哪些要求？

沒有發行可驗證認證的特殊授權需求。

如何? 重設 Microsoft Entra 驗證識別碼 服務？

重設需要您退出宣告，並選擇回到 Microsoft Entra 驗證識別碼 服務。 您現有的可驗證認證設定已重設，且您的租使用者會取得發行和呈現期間要使用的新 DID。

1. 請遵循退出指示。
2. 請移至 Microsoft Entra 驗證識別碼 部署步驟，以重新設定服務。
   1. 如果您手動設定 [已驗證的標識符]，請選擇 Azure 金鑰保存庫 位於相同或最接近區域的位置。 這可避免效能和延遲問題。
3. 完成 設定 可驗證認證服務。 您必須重新建立認證。
   1. 如果您的租用戶必須設定為簽發者，建議您將記憶體帳戶設定為歐洲區域作為可驗證認證服務。
   2. 您也需要發出新的認證，因為您的租用戶現在會保留新的 DID。

如何檢查我的 Microsoft Entra 租用戶區域？

1. 在 Azure 入口網站 中，移至您用於 Microsoft Entra 驗證識別碼 部署之訂用帳戶的 Microsoft Entra ID。
2. 在 [管理] 底下，選取 [屬性]
3. 請參閱國家/地區的值。 如果此值是歐洲的國家或地區，您的 Microsoft Entra 驗證識別碼 服務會在歐洲設定。

Microsoft Entra 驗證識別碼 是否支援 ION 作為其 DID 方法？

已驗證的標識碼在預覽版中支援 DID：ION 方法，直到 2023 年 12 月，之後才停止。

如何? 從 did：ion 移至 did：web 嗎？

如果您想要從 did:ion移至 did:web ，您可以透過 管理員 API 遵循這些步驟。 變更授權單位需要重新發出所有認證：

導出現有的 did：ion 認證定義

1. did:ion針對授權單位，使用入口網站來複製現有認證的所有顯示和規則定義。
2. 如果您有多個授權單位，則如果did:ion授權單位不是默認授權單位，則必須使用 管理員 API。 在 [已驗證的標識符租使用者] 上，使用 管理員 API 連線，列出授權單位取得授權單位標識符did:ion的授權單位。 然後使用清單合約 API 將其匯出，並將結果儲存至檔案，以便重新建立它們。

建立新的 did：web 授權單位

1. 使用上線 API 建立新的did:web授權單位。 或者，如果您的租使用者只有一個 did：ion authority，您也可以執行服務退出宣告，然後執行選擇加入作業，以使用已驗證的標識碼設定重新啟動。 在此情況下，您可以選擇 [快速 ] 和 [手動 設定]。
2. 如果您要使用 管理員 API 來設定 did：web 授權單位，您必須呼叫 generate DID 檔以產生您的 did 檔，並呼叫產生已知的檔，然後將 JSON 檔案上傳至個別的已知路徑。

重新建立認證定義

建立新的 did:web 授權單位之後，您必須重新建立認證定義。 如果您退出宣告並重新登入，或需要使用建立合約 API 來重新建立它們，您可以透過入口網站執行此動作。

更新現有的應用程式

1. 更新任何現有的應用程式 （簽發者/驗證器應用程式） 以使用新的 did:web authority。 針對發行應用程式，請更新認證指令清單 URL。
2. 測試來自新 did：web 授權單位的發行和驗證流程。 測試成功后，請繼續進行下一個步驟，以進行 did：ion authority 刪除。

刪除 did：ion authority

如果您未退出退出並重新登入，則必須移除舊 did:ion 授權單位。 使用刪除授權單位 API 來刪除 did：ion authority。

如果我重新設定 Microsoft Entra 驗證識別碼 服務，是否需要將我的 DID 重新連結至我的網域？

是，在重新設定服務之後，您的租使用者有新的 DID 用來發出並驗證可驗證的認證。 您必須 將新的 DID 與您的網域產生關聯。

是否可以要求 Microsoft 擷取「舊的 DID」？

否，此時您無法在退出退出服務之後保留租使用者的 DID。

我無法使用 ngrok，我該怎麼做？

部署和執行範例的教學課程說明如何使用ngrok此工具作為應用程式 Proxy。 IT 系統管理員有時會封鎖此工具，使其無法用於公司網路。 替代方法是將範例部署至 Azure App 服務 並在雲端中執行。 下列連結可協助您將個別的範例部署至 Azure App 服務。 免費定價層足以裝載範例。 針對每個教學課程，您必須先建立 Azure App 服務 實例，然後略過建立應用程式，因為您已經有應用程式，然後繼續進行部署的教學課程。

• Dotnet - 發佈至 App Service
• 節點 - 部署至 App Service
• Java - 部署至 App Service。 您必須將適用於 Azure App 服務 的 maven 外掛程式新增至範例。
• Python - 使用 Visual Studio Code 進行部署

無論您使用的範例語言為何，Azure AppService 主機名 https://something.azurewebsites.net 都會作為公用端點使用。 您不需要設定額外的專案，才能讓它正常運作。 如果您變更程式代碼或組態，則必須將範例重新部署至 Azure AppServices。 疑難解答/偵錯並不像在本機計算機上執行範例一樣簡單，而控制台視窗的追蹤會顯示錯誤，但您可以使用記錄數據流來達成幾乎相同的目標。

下一步

• 自訂您的可驗認證