在 Microsoft Entra ID 环境中拥有帐户的员工可以有类型为 VerifiedEmployee 的可验证凭据,这些凭据使用源自其用户配置文件的声明创建。 在本教程中,我们创建一个凭据,其声明源自 Microsoft Entra ID 中的用户配置文件。
可以使用快速设置或高级设置创建 VerifiedEmployee 凭据。 如果使用快速设置,系统会在工作人员租户中自动为你创建 VerifiedEmployee 凭据。 如果使用高级设置,则需要手动创建 VerifiedEmployee 凭据,如本指南所述。
MyAccount 现在支持颁发 VerifiedEmployee 凭据。 此处提供了在验证 ID 中启用它的说明。 仅当你想要在自己的应用中处理颁发时,才需要配置示例以颁发 VerifiedEmployee 凭据。
在本文中,学习如何:
- 在目录中创建用户
- 为 Microsoft Authenticator 设置用户
- 创建已验证的员工凭据
- 配置示例以颁发和验证 VerifiedEmployee 凭据
先决条件
- 为 Microsoft Entra Verified ID 凭据设置租户。
- 完成颁发和验证可验证凭据的教程。
- 一部安装有 Microsoft Authenticator 的移动电话,可用作测试用户帐户。
配置测试用户帐户
创建新用户 在我们的测试中使用。
使用新用户登录。 用户名应类似于 meganb@yourtenant.onmicrosoft.com。 必须更改密码。
为 Microsoft Authenticator 设置测试用户
你的测试用户的帐户需要在 Microsoft Authenticator 中设置就绪。 若要对该测试用户帐户启用 Authenticator,请执行以下步骤:
- 在移动测试设备上,打开 Microsoft Authenticator,转到底部的“Authenticator”选项卡,然后点击 + 符号来添加帐户。 选择“工作或学校帐户”
- 在提示符下,选择“登录”。 不要选择“扫描 QR 码”
- 在 Microsoft Entra 租户中使用测试用户的凭据登录
- 身份验证器会在你移动设备的浏览器中启动 https://aka.ms/mfasetup。 需要再次使用测试用户凭据登录。
- 在“在应用中设置你的帐户”中,选择“单击此链接将你的帐户配对到应用”。 此时会打开 Microsoft Authenticator 应用,你的测试用户将显示为已添加的帐户
如果 https://aka.ms/mfasetup 启动时没有提示你登录,这意味着此设备上已经为另一个用户设置了 Microsoft Authenticator。 如果已配置有某个用户,则 Authenticator 会使你自动登录。 注销浏览器,然后再次设置验证器。 如果放大页面,可以在右上角找到“注销”按钮。
创建已验证的员工凭据
在门户中选择“+ 添加凭据”时,可以选择启动两个快速入门。 选择“已验证的员工”,然后选择“下一步”。
在下一个屏幕中,输入一些显示定义,例如徽标 URL、文本和背景色。 由于该凭据是具有基于目录的声明的托管凭据,因此会预定义规则定义,规则定义无法更改。 你无需输入规则定义详细信息。 凭据类型为 VerifiedEmployee,并且用户配置文件中的声明已预设。 选择“创建”以创建凭据。
已验证员工凭据的声明架构
已验证的员工凭据中的所有声明都来自颁发租户的 Microsoft Entra ID 中用户配置文件内的属性。 无法修改声明集。 除照片之外的所有声明都来自 Microsoft Graph 查询 https://graph.microsoft.com/v1.0/me。 照片声明来自 Microsoft Graph 查询 https://graph.microsoft.com/v1.0/me/photo/$value 返回的值。
| 声明 | 目录属性 | 值 |
|---|---|---|
revocationId |
userPrincipalName |
用户的 UPN 被添加为名为 revocationId 的声明并被编入索引。 |
displayName |
displayName |
用户的显示名称 |
givenName |
givenName |
用户的名字 |
surname |
surname |
用户的姓氏 |
jobTitle |
jobTitle |
用户的职务。 默认情况下,该属性在用户的配置文件中没有值。 如果用户的配置文件未指定值,则颁发的 VC 中没有 jobTitle 声明。 |
preferredLanguage |
preferredLanguage |
应遵循 ISO 639-1 并包含类似于 en-us 的值。 没有指定的默认值。 如果没有值,则颁发的 VC 中不包含任何声明。 |
mail |
mail |
用户的电子邮件地址。 mail 值与 UPN 不同。 它也是一个在默认情况下没有值的属性。 |
photo |
photo |
上传的用户照片。 图片类型应为 JPEG,最大大小为 2 MB。 向验证方提供照片声明时,照片声明采用 UrlEncode(Base64Encode(photo)) 格式。 若要使用照片,验证方应用程序必须执行 Base64Decode(UrlDecode(photo))。 |
请参阅完整的 Microsoft Entra 用户配置文件属性参考。
重要
如果用户 Microsoft Entra 配置文件中的属性值发生更改,不会自动重新颁发 VC。 你必须手动重新颁发它。 颁发过程与使用示例时的颁发过程相同。
配置示例以颁发和验证 VerifiedEmployee 凭据
基于目录的声明的可验证凭据可以像你创建的任何其他凭据一样进行颁发和验证。 所需的只是租户的颁发者 DID、凭据类型和凭据清单 URL。 若要查找托管凭据的这些值,最简单的方法是在门户中查看凭据,选择“颁发凭据”,然后你会获得名为“自定义颁发”的标头。 执行这些步骤后将显示一个文本框,其中包含请求服务 API 的主干 JSON 有效负载。
此屏幕中提供了你可以复制并粘贴到示例部署配置文件的值。 颁发者的 DID 是 authority 的值。
- authority - 颁发者的 DID
- type - 在查看已验证的员工凭据时,凭据类型始终为
- manifest:凭据清单 URL
配置文件取决于正在使用的示例。
- Dotnet -
- node -
- python -
- Java - 使用 docker 时,值在 run.cmd 和 run.sh 或 docker-run.cmd/docker-run.sh 中设置为环境变量。
注解
注意
此架构是固定的,不支持在架构中添加或删除声明。 基于目录的声明的证明流程也是固定的,例如,不支持尝试将其更改为具有 ID 令牌提示证明流的自定义凭据。
后续步骤
了解如何自定义可验证凭据。