自訂您的可驗認證
可驗認證定義是由兩個元件所組成,即「顯示」和「規則」定義。 顯示定義控制認證的商標和宣告的樣式。 規則定義決定使用者在接收可驗認證之前必須提供的項目。
本文說明如何修改這兩種類型的定義,以符合貴組織的需求。
顯示定義:電子錢包認證視覺效果
Microsoft Entra 已驗證的識別碼提供一組有限的選項,可以用來反映您的品牌。 本文提供如何自訂認證的指引,以及設計認證的最佳做法,而這些認證會在發給使用者之後看起來很出色。
Microsoft Authenticator 是分散式身分識別電子錢包,其會將發給使用者的可驗證認證顯示為卡片。 身為 VC 管理員,您可以選擇卡片色彩、圖示和文字字串,以符合您組織的品牌。
卡片也包含可自訂的欄位。 您可以使用這些欄位讓使用者知道卡片的用途、其包含的屬性等等。
建立認證顯示定義
顯示定義是簡單的 JSON 文件,描述電子錢包應用程式應該如何顯示可驗認證的內容。
注意
此顯示模型目前僅由 Microsoft Authenticator 使用。
顯示定義的結構如下。 如果指定為 URL,則標誌 URI 必須是網際網路中公開提供的 URL。
{
"locale": "en-US",
"card": {
"title": "Verified Credential Expert",
"issuedBy": "Microsoft",
"backgroundColor": "#000000",
"textColor": "#ffffff",
"logo": {
"uri": "https://didcustomerplayground.z13.web.core.windows.net/VerifiedCredentialExpert_icon.png",
"description": "Verified Credential Expert Logo"
},
"description": "Use your verified credential to prove to anyone that you know all about verifiable credentials."
},
"consent": {
"title": "Do you want to get your Verified Credential?",
"instructions": "Sign in with your account to get your card."
},
"claims": [
{
"claim": "vc.credentialSubject.firstName",
"label": "First name",
"type": "String"
},
{
"claim": "vc.credentialSubject.lastName",
"label": "Last name",
"type": "String"
}
]
}
如需屬性的詳細資訊,請參閱 displayModel 類型。
規則定義:使用者的需求
規則定義是簡單 JSON 文件,說明可驗認證的重要屬性。 尤其,其會描述如何使用宣告來填入您的可驗認證和認證類型。
{
"attestations": {
...
},
"validityInterval": 2592000,
"vc": {
"type": [
"VerifiedCredentialExpert"
]
}
}
證明
下列四種證明類型目前可在規則定義中設定。 這些不同的方式可提供宣告,供 Microsoft Entra 驗證識別碼發行服務用於插入可驗認證中,並透過您的分散式識別碼 (DID) 證明該資訊。 您可以在規則定義中使用多個證明類型。
識別碼權杖:當設定此選項時,您必須提供 Open ID Connect 設定 URI 並包括應包含在可驗認證中的宣告。 系統會提示使用者「登入」Authenticator 應用程式以符合這項需求,並從其帳戶新增相關聯的宣告。 若要設定此選項,請參閱此操作指南
識別碼權杖提示:範本應用程式和教學課程會使用識別碼權杖提示。 設定此選項時,信賴憑證者應用程式必須提供應該在要求服務 API 發行要求中可驗認證 VC 內包含的宣告。 信賴憑證者應用程式取得宣告的位置將取決於應用程式,宣告可以來自目前登入工作階段、來自後端 CRM 系統,甚至是來自自我判斷的使用者輸入。 若要設定此選項,請參閱此操作指南
可驗認證:發行流程的最後結果是要產生可驗認證,但您也可以要求使用者提供可任認證以便加以發行。 規則定義可以從提供的可驗認證取得特定的宣告,並透過您的組織將這些宣告包含在新發行的可驗認證。 若要設定此選項,請參閱此操作指南
自我證明宣告:當選取此選項時,使用者便可直接將資訊輸入至 Authenticator。 字串目前僅支援自我證明宣告的輸入。 若要設定此選項,請參閱此操作指南
如需規則 JSON 模型的詳細資訊,請參閱 rulesModel 類型。
認證類型
所有可驗認證必須在其規則定義中宣告其「類型」。 認證類型可區分可驗認證結構描述與其他認證,並確保簽發者與驗證器之間的互通性。 若要指出認證類型,請提供一或多個認證所滿足的認證類型。 每種類型都會以唯一字串代表。 通常,URI 用來確保全域唯一性。 URI 不需是可定址的。 其會被視為字串。 例如,Contoso 大學發行的文憑認證可能會宣告下列類型:
| 類型 | 用途 |
|---|---|
https://schema.org/EducationalCredential |
Contoso 大學所發行文憑的宣告包含 schema.org EducationaCredential 物件所定義的屬性。 |
https://schemas.ed.gov/universityDiploma2020 |
Contoso 大學所發行文憑的宣告包含美國所定義的屬性。教育部。 |
https://schemas.contoso.edu/diploma2020 |
Contoso 大學所發行文憑的宣告包含 Contoso 大學定義的屬性。 |
藉由宣告三種類型的文憑,Contoso 可以核發滿足不同驗證者要求的認證。 銀行可以向使用者要求 EducationCredential 集合,且文憑可以用來滿足要求。 或者,但 Contoso 大學校友會可以要求類型 https://schemas.contoso.edu/diploma2020 的認證,且文憑也可以滿足要求。
若要確保認證的互通性,建議您與相關組織密切合作以定義要在您產業中使用的認證類型、結構描述和 URL。 許多產業組織提供官方文件結構的指導方針,可讓您重新規劃以定義可驗認證的內容。 您也應與您認證的驗證者密切合作,了解其計劃要求和使用可驗認證的方式。
下一步
現在,您已更加了解可認驗證的設計,以及如何建立自己的可驗認證。如需詳細資訊,請參閱: