集成已验证的 ID API

与 Microsoft Entra Verified ID API 集成，可以让组织在大规模提供安全且尊重隐私的身份验证体验。 此技术集成模式为合作伙伴和开发人员提供了明确的蓝图，用于将他们的身份验证工作流与已验证 ID 连接，确保互作性、合规性和无缝用户旅程。 本文档将指导你完成在解决方案中实现已验证 ID 的基本步骤、体系结构注意事项和最佳做法，帮助你构建可靠、可缩放和未来就绪的集成。

此图显示了一个低级别工作流，其中显示了在远程载入方案中，各方如何相互交互。 此集成模式可用作参考。

以下部分介绍了一组步骤，IDV 可用于设置颁发流程，客户可用于验证 IDV 已验证的 ID。

颁发者流

标识验证（IDV）合作伙伴是独立软件供应商（ISV），他们可以使用已验证的 ID 请求服务 REST API 颁发已验证 ID。 IDV 以发行方身份运行所需的步骤如下所示：

1. 设置Microsoft Entra 验证 ID 服务：使用 快速设置 或 高级设置说明。

   注释

   对于多租户模型，如果需要与客户建立 1：1 关系，IDV 应探索设置独立授权机构。 请参阅文档的 “管理 API” 部分，以了解如何创建权限。

2. 设置一个凭据定义，用于定义从服务发出的凭据类型 – 自定义凭据。 根据情境，选择使用 ID 令牌（用于供应商的 Open ID Connect 证明）、ID 令牌线索（ISV 使用 REST API 获取所需证明）、自我颁发（用户提供的输入）、演示或多个证明。

3. 如果此凭据用于常规用途使用，请确保在“已验证 ID”网络中发布凭据。 如果为特定客户创建了此凭据，请跳过此步骤。 若要在“已验证的 ID 网络”中发布凭据，请在“管理”下选择“ 颁发凭据 ”选项，然后选择“ 将凭据发布到已验证的 ID 网络 ”复选框。 还可以使用 管理员 API 将 凭据的“availableInVcDirectory” 设置为 true。

4. IDV 必须为用户旅程配置提案或客户快速启动 URL，并将其集成到客户依赖方应用程序中。 参考关系图中的 步骤 5 作为示例。

5. 最终用户开始信赖方应用程序的旅程 - 在上面的示例中，Contoso 的载入门户要求用户证明其身份。 如果用户已有入职所需的已验证 ID，他们将按照图表中的步骤 1 到 4 进行操作。 如果用户没有所需的已验证 ID，用户必须从载入应用程序启动 IDV 产品/服务 URL 来启动身份验证过程。 IDV 和客户依赖方需要构建此重定向模型。 IDV 需要确定用户从已注册的组织进入 IDV 门户，并且不是垃圾邮件请求。 信赖方需要生成带有 JWT 令牌的“一次性”使用 URL，例如： https://idvpartner.com/contoso/?token=jwt_token

   请注意，JWT 令牌使用客户的信赖方私钥进行签名，公钥通过终结点或通过计划的过程与 IDV 共享。 IDV 需要确保在启动流程中，它使用来自 JWT 的属性，如组织 ID、请求 ID、mscv ID 和到期时间。 请注意， mscv 是端到端故障排除的首选。 JWT 的示例如下所示：

   标头：算法和令牌类型

   { 
       "alg": "RS256", 
       "typ": "JWT" 
   } 
   

   载荷：数据

   { 
       "OrgId": "", 
       "RequestId": "", 
       "exp": 1684986555,
       "redirectUrl": "https://customerRPurl"
   }
   

6. 成功完成后，IDV 将启动已验证的 ID 颁发流，并颁发已验证的 ID。 此时，用户会显示一个深层链接或 QR 码，用于在 Microsoft Authenticator 应用程序中 添加卡片 。 IDV 网站从已验证的 ID 服务成功接收回调通知。

   注释

   IDV 合作伙伴必须提供或构建所需的 Web 体验，以确保用户的身份能够以信赖方应用程序和 IDV 合作伙伴商定的任何必要方式加以验证。 完成此过程后，会根据“已验证 ID 凭据类型”收集一份值列表。 这些值（作为“claims”参数）在已验证 ID 颁发请求的 API 调用中传递。 如果 IDV 正在 Web 应用上构建此旅程，IDV 需要将其呈现为 QR 码或深层链接。 有关更多详细信息，请参阅 指定请求服务 REST API 颁发请求。

7. IDV 将用户重定向回客户的信赖方应用程序。

8. 对于关系图中的其余步骤（即步骤 14 到步骤 16），用户被要求使用 FaceCheck 显示已验证的 ID。 成功演示后，用户将加入系统。

注释

客户必须与 IDV 合作伙伴合作，以设置所需的 IDV 载入步骤，其中包括组织载入、计费合同和其他先决条件。

验证流程

应用程序开发人员可以使用 IDV 颁发的已验证 ID 在其应用程序中进行验证流。 有关规划详细信息 ，请参阅规划验证解决方案 文档。 设置验证所需的步骤如下：

1. 设置Microsoft Entra 验证 ID 服务：使用 快速设置 或 高级设置说明。

2. 如果您有来自 IDV 合作伙伴的详细信息，例如 VCType 和 did，那么您可以使用Presentation Request API 部分中的有效负载参考来验证身份验证合作伙伴 (IDV) 颁发的经过验证的 ID。

3. 客户还可以使用以下步骤生成演示文稿请求 API 有效负载：

   1. 转到 Microsoft Entra 管理中心 ->Verified ID。
   2. 选择“ 创建验证请求 ”选项卡

   

   3. 选择 第一个用户。
   4. 在“搜索/选择颁发者”下拉菜单中查找相应的 IDV ，方法是键入其名称，例如 woodgrove.com。
   5. 从 IDV 中选择应用程序所需的凭据类型进行验证。 这也称为演示文稿请求 API 有效负载中的 VCType 。
   6. 选择 “添加 ”，然后选择“ 审阅”。
   7. 下载请求正文并复制/粘贴 POST API 请求 URL。
   8. 开发人员现在具有租户管理员的请求 URL 和正文，可以按照以下步骤更新应用程序或网站。 若要从用户请求已验证 ID，请在应用程序或网站中包含请求 URL 和正文。

   注释

   有关示例应用程序 https://aka.ms/vcsample，请参阅 Microsoft Entra Verified ID GitHub 存储库。

   9. 请务必将 URL、状态和 API 密钥的值替换为相应的值。
   10. 向应用授予权限，以获取用于已验证 ID 服务请求的服务主体的访问令牌。

若要测试用户流，始终可以使用 示例应用 文档在 Azure 应用服务环境中部署其中一个示例应用程序。

后续步骤

在所述的表中选择合作伙伴，了解如何将其解决方案与应用程序集成。 了解详细信息：

• Microsoft Entra 验证 ID 演示网站： https://aka.ms/vcdemo
• GitHub 示例
• ** FaceCheck 的身份质询演示：https://aka.ms/facecheckdemo
• Microsoft相关向量 mscv 的规范：这是一种协议，用于基于轻型矢量时钟通过分布式系统跟踪和关联事件。