手動Microsoft Entra 驗證識別碼設定

  • 發行項

注意

Microsoft Entra 驗證識別碼現在已Microsoft Entra 驗證識別碼和 Microsoft Entra 系列的一部分。 深入瞭解 Microsoft Entra 系列 身分識別解決方案,並開始使用整合的 Microsoft Entra 系統管理中心

手動驗證識別碼設定是設定已驗證識別碼的傳統方式,身為系統管理員必須設定 Azure KeyVault、負責註冊您的分散式識別碼和驗證網域。

在本教學課程中,您將瞭解如何使用手動設定,將 Microsoft Entra 租使用者設定為使用可驗證的認證服務。

具體來說,您會瞭解如何:

  • 建立 Azure 金鑰保存庫執行個體。
  • 使用手動設定來設定您是已驗證的識別碼服務。
  • 在 Microsoft Entra ID 中註冊應用程式。

下圖說明您設定的已驗證識別碼架構和元件。

Diagram that illustrates the Microsoft Entra Verified ID architecture.

必要條件

建立金鑰保存庫

Azure 金鑰保存庫 是雲端服務,可讓您安全地儲存和存取秘密和金鑰。 [已驗證的識別碼] 服務會將公用和私密金鑰儲存在 Azure 金鑰保存庫中。 這些金鑰可用來簽署和驗證認證。

如果您沒有可用的 Azure 金鑰保存庫 實例,請遵循 下列步驟 ,使用 Azure 入口網站建立金鑰保存庫。

注意

根據預設,建立保存庫的帳戶是唯一具有存取權的帳戶。 [已驗證的識別碼] 服務需要存取金鑰保存庫。 您必須使用存取原則來設定金鑰保存庫,以允許在設定期間用來建立和刪除金鑰的帳戶。 在設定期間使用的帳戶也需要許可權才能簽署,以便建立已驗證識別碼的網域系結。 如果您在測試時使用相同的帳戶,請修改預設原則以授與帳戶登入許可權,以及授與保存庫建立者的預設許可權。

設定金鑰保存庫的存取原則

金鑰保存庫 存取原則 會定義指定的安全性主體是否可以在金鑰保存庫秘密和金鑰上執行作業。 在金鑰保存庫中設定已驗證識別碼服務系統管理員帳戶,以及您建立的要求服務 API 主體的存取原則。 建立金鑰保存庫之後,可驗證認證會產生一組用來提供訊息安全性的金鑰。 這些金鑰會儲存在金鑰保存庫中。 您可以使用金鑰集來簽署、更新及復原可驗證的認證。

設定已驗證識別碼管理員使用者的存取原則

  1. 使用您的系統管理帳戶登入 Azure 入口網站

  2. 移至您在本教學課程中使用的金鑰保存庫。

  3. 在 [設定] 下 ,選取 [ 存取原則 ]。

  4. 在 [ 新增存取原則 ] 的 [使用者 ] 底下 ,選取您用來遵循本教學課程的帳戶。

  5. 針對 [ 金鑰許可權 ],確認已選取下列許可權: 取得、 建立 刪除 簽署 。 根據預設, [建立 ] 和 [刪除 ] 已啟用。 簽署 應該是您需要更新的唯一金鑰許可權。

    Screenshot that shows how to configure the admin access policy.

  6. 若要儲存變更,請選取 [ 儲存 ]。

設定已驗證的識別碼

Screenshot that shows how to set up Verifiable Credentials.

若要設定已驗證的識別碼,請遵循下列步驟:

  1. 以至少全域管理員istrator 身分登入 Microsoft Entra 系統管理中心

  2. 選取 [ 已驗證的識別碼 ]。

  3. 從左側功能表中,選取 [ 設定 ]。

  4. 從中間功能表中,選取 [ 設定組織設定]

  5. 提供下列資訊,以設定您的組織:

    1. 組織名稱 :輸入名稱,以參考已驗證識別碼內的公司。 您的客戶看不到此名稱。

    2. 信任網域 :輸入已新增至分散式身分識別 (DID) 檔中服務端點的網域。 網域可將您的 DID 繫結至使用者可能對您的公司有所了解的有形事物。 Microsoft Authenticator 和其他數位錢包會使用這項資訊來驗證您的 DID 是否已連結至您的網域。 如果錢包可以驗證 DID,則會顯示已驗證的符號。 如果錢包無法驗證 DID,則會通知使用者認證是由無法驗證的組織所簽發。

      重要

      網域不能是重新導向。 否則,無法連結 DID 和網域。 請務必針對網域使用 HTTPS。 例如: https://did.woodgrove.com

    3. 金鑰保存庫 :選取您稍早建立的金鑰保存庫。

  6. 選取 [儲存]。

    Screenshot that shows how to set up Verifiable Credentials first step.

設定已驗證識別碼服務主體的存取原則

當您在上一個步驟中設定已驗證的識別碼時,Azure 金鑰保存庫中的存取原則會自動更新,為已驗證識別碼提供所需的許可權。
如果您曾經需要手動重設許可權,存取原則看起來應該如下所示。

Service Principal AppId 金鑰權限
可驗證的認證服務 bb2a64ee-5d29-4b07-a491-25806dc854d3 取得、簽署
可驗證的認證服務要求 3db474b9-6a0c-4840-96ac-1fceb342124f 簽署

Screenshot of key vault access policies for security principals.

在 Microsoft Entra 識別碼中註冊應用程式

當您的應用程式想要呼叫 Microsoft Entra 驗證識別碼時,需要取得存取權杖,才能發出或驗證認證。 若要取得存取權杖,您必須註冊應用程式,並授與已驗證識別碼要求服務的 API 許可權。 例如,針對 Web 應用程式使用下列步驟:

  1. 以至少全域管理員istrator 身分登入 Microsoft Entra 系統管理中心

  2. 選取 [Microsoft Entra ID]。

  3. 在 [應用程式] > ,選取 [應用程式註冊[新增註冊]。

    Screenshot that shows how to select a new application registration.

  4. 輸入應用程式的顯示名稱。 例如: verifiable-credentials-app

  5. 針對 [支援的帳戶類型 ],選取 [僅限此組織目錄中的帳戶] (僅限預設目錄 - 單一租使用者)。

  6. 選取 [暫存器] 以建立應用程式。

    Screenshot that shows how to register the verifiable credentials app.

授與許可權以取得存取權杖

在此步驟中,您會將許可權授與可驗證認證 服務要求 服務主體。

若要新增必要的許可權,請遵循下列步驟:

  1. 留在 verifiable-credentials-app 應用程式詳細資料頁面中。 選取 API 權限>新增權限

    Screenshot that shows how to add permissions to the verifiable credentials app.

  2. 選取我組織使用的 API

  3. 搜尋可驗證認證 服務要求 服務主體,然後加以選取。

    Screenshot that shows how to select the service principal.

  4. 選擇 [應用程式許可權 ],然後展開 [VerifiableCredential.Create.All ]。

    Screenshot that shows how to select the required permissions.

  5. 選取新增權限

  6. 選取 [ 授與管理員同意] 以取得 < 租使用者名稱 >

如果您想要將範圍區隔到不同的應用程式,您可以選擇個別授與發行和簡報許可權。

Screenshot that shows how to select granular permissions for issuance or presentation.

註冊分散式識別碼並驗證網域擁有權

在設定 Azure 金鑰保存庫且服務具有簽署金鑰之後,您必須完成設定中的步驟 2 和 3。

Screenshot that shows how to set up Verifiable Credentials step 2 and 3.

  1. 以至少全域管理員istrator 身分登入 Microsoft Entra 系統管理中心
  2. 選取 [可驗證的認證]
  3. 從左側功能表中,選取 [ 設定 ]。
  4. 從中間功能表中,選取 [註冊分散式識別碼 ] 以註冊您的 DID 檔,如如何為 did:web 註冊分散式識別碼一文 中的指示。 您必須先完成此步驟,才能繼續驗證網域。 如果您選取了 did:ion 作為信任系統,您應該略過此步驟。
  5. 從中間功能表中,選取 [ 驗證網域擁有權 ] 以驗證您的網域,如驗證網域擁有權至分散式識別碼一文 中的指示(DID)

一旦您成功完成驗證步驟,並在這三個步驟上都有綠色核取記號,您就可以繼續進行下一個教學課程。

下一步