常見問題集 (FAQ)

此頁面包含可驗認證和分散式身分識別的常見問題。 這些問題組織成下列各節。

• 詞彙和基本概念
• 有關分散式身分識別的概念問題

基本知識

什麼是 DID？

分散式標識碼 （DID） 是用來保護資源存取、簽署和驗證認證，以及促進應用程式間數據交換的唯一標識符。 與傳統的使用者名稱和電子郵件地址、實體及擁有和控制 DID 本身不同 (無論是人員、裝置或公司)。 DID 的存在與任何外部組織或信任的中繼無關。 W3C 分散式識別碼規格會進一步詳細說明 DID。

為什麼需要 DID？

數位信任基本上需要參與者擁有並控制其身分識別，而且身分識別會從識別碼開始。 在每日、大規模對集中式識別碼蜜罐進行系統破壞和攻擊的年代，分散式身分識別正成為消費者和企業的重要安全性需求。 擁有及控制其身分識別的個人能夠交換可驗證的資料和證明。 分散式認證環境允許將許多目前手動且需要大量人力的商務流程自動化。

什麼是可驗認證？

認證是我們日常生活的一部分。 駕照用來判斷我們有能力操作機動車輛。 大學學位可以用來判斷我們的教育和政府簽發的護照水準，使我們能夠在國家和地區之間旅行。 可驗認證提供一種機制，可在 Web 上以密碼編譯安全、尊重隱私和機器可驗證的方式表達這類認證。 W3C 可驗認證規格會進一步詳細說明可驗認證。

概念問題

當使用者丟失手機時，會發生什麼情況？ 他們可以復原其身分識別嗎？

有多種方式可為使用者提供復原機制，每種方式都有自己的取捨。 Microsoft 目前正在評估選項並設計復原的方法，以提供便利性和安全性，同時尊重使用者的隱私權和自主權。

使用者如何信任來自簽發者或驗證器的要求？ 他們如何知道 DID 是組織的真正 DID？

我們會實作分散式身分識別基金會的知名 DID 設定規格，以便將 DID 連線至高度已知的現有系統、網域名稱。 每個使用 Microsoft Entra 驗證識別碼建立的 DID，都可以選擇包含在 DID 文件中編碼的根網域名稱。 請遵循標題為 將網域連結至分散式標識碼 的文章，以深入了解連結網域。

已驗證標識碼中可驗證認證的大小限制為何？

• 針對發行要求 - 1 MB
• 可驗證認證中的相片 - 1 MB
• 回呼結果 10 MB 但不收到

在授權上有哪些要求？

沒有特殊授權需求即可發出可驗認證。

如何重設 Microsoft Entra 驗證識別碼服務？

重設需要您退出宣告，並選擇回到 Microsoft Entra 驗證識別碼 服務。 您現有的可驗認證設定已重設，且您的租用戶會取得發行和呈現期間要使用的新 DID。

1. 請遵循退出指示。
2. 請移至 Microsoft Entra 驗證識別碼部署步驟，以重新設定服務。
   1. 如果您手動設定「已驗證的識別碼」，請選擇 Azure Key Vault 位於相同或最接近區域的位置。 選擇相同的區域可避免效能和延遲問題。
3. 完成設定您的可驗認證服務。 您必須重新建立認證。
   1. 您也需簽發新的認證，因為您的租用戶現在持有新的 DID。

如何檢查我的 Microsoft Entra 租用戶區域？

1. 在 Azure 入口網站中，移至訂用帳戶的 Microsoft Entra ID，您會使用此訂用帳戶，進行 Microsoft Entra 驗證識別碼部署。

2. 在 [管理] 底下，選取 [屬性]。

   

3. 查看國家或地區的值。 如果此值是歐洲的國家或地區，則會在歐洲設定您的 Microsoft Entra 驗證識別碼服務。

Microsoft Entra 驗證識別碼是否支援 ION 作為其 DID 方法？

已驗證的識別碼在預覽版中支援 DID：ION 方法，直到 2023 年 12 月，之後才停止。

如何從 did:ion 移至 did:web？

如果您想要從 did:ion 移至 did:web，您可以透過 Admin API 遵循下列步驟。 變更授權單位需要重新發出所有認證：

導出現有的 did:ion 認證定義

1. 針對 did:ion 授權單位，請使用入口網站來複製現有認證的所有顯示和規則定義。
2. 如果您有多個授權單位，若 did:ion 授權單位不是預設授權單位，則必須使用系統管理員 API。 在已驗證的識別碼租用戶上，使用系統管理員 API 連線，列出授權單位，以取得 did:ion 授權單位的授權單位識別碼。 然後使用清單合約 API 匯出，並將結果儲存至檔案，以便重新建立它們。

建立新的 did:web 授權單位

1. 使用上線 API，建立新的 did:web 授權單位。 或者，如果您的租使用者只有一個 did：ion authority，您也可以執行服務退出宣告，然後執行選擇加入作業，以使用已驗證的標識碼設定重新啟動。 在此情況下，您可以選擇快速和手動設定。
2. 如果您要使用系統管理 API 設定 did:web 授權單位，您必須呼叫產生 DID 文件，以產生您的 did 文件，並呼叫 產生已知的文件，然後將 JSON 檔案上傳至個別的已知路徑。

重新建立認證定義

當您建立新的 did:web 授權單位時，您必須重新建立認證定義。 您可以退出宣告並重新加入，或需要使用建立合約 API 來重新建立合約，您可以透過入口網站執行此動作。

更新現有的應用程式

1. 更新任何現有的應用程式 (簽發者/驗證器應用程式) 以使用新的 did:web authority。 針對發行應用程式，也要更新認證指令清單 URL。
2. 測試來自新 did:web 授權單位的發行和驗證流程。 測試成功后，請繼續進行下一個步驟，以進行 did:ion 授權單位刪除。

刪除 did:ion 授權單位

如果您未退出退出並重新登入，則需要移除舊 did:ion 授權單位。 使用刪除授權單位 API 來刪除 did:ion 授權單位。

如果我重新設定 Microsoft Entra 驗證識別碼服務，是否需要將我的 DID 重新連結至我的網域？

是，在重新設定您的服務之後，您的租用戶具有新的 DID，可用來簽發和驗證可驗認證。 您必須將新的 DID 與您的網域建立關聯。

是否可以要求 Microsoft 擷取「舊 DID」？

否，此時您無法在退出退出服務之後保留租使用者的 DID。

我無法使用 ngrok，該怎麼辦？

部署及執行範例的教學課程說明如何使用 ngrok 工具做為應用程式 Proxy。 IT 系統管理員有時會封鎖此工具，使其無法用於公司網路。 替代方法是將範例部署至 Azure App Service 並在雲端中加以執行。 下列連結可協助您將個別的範例部署至 Azure App Service。 免費定價層足以裝載範例。 針對每個教學課程，您必須先建立 Azure App Service 執行個體，然後略過建立應用程式 (因為您已經有應用程式)，然後繼續進行教學課程並加以部署。

• Dotnet - 發佈至 App Service
• Node - 部署到 App Service
• Java - 部署到 App Service。 您必須將適用於 Azure App Service 的 maven 外掛程式新增至範例。
• Python - 使用 Visual Studio Code 進行部署

無論您使用的範例語言為何，Azure AppService 主機名 https://something.azurewebsites.net 都會作為公用端點使用。 您不需要設定額外項目，即可使其運作。 如果您對程式碼或設定進行變更，則需要將範例重新部署至 Azure AppServices。 疑難排解/偵錯不如在本機電腦上執行範例一樣簡單，主控台視窗的追蹤會顯示錯誤，但您可以使用記錄資料流來達成幾乎相同的目標。

回呼事件的網路強化

要求服務 API 會使用信賴憑證者應用程式所提供的 URL 回呼。 必須從已驗證的標識碼系統連線到此 URL，才能接收回呼。 回呼來自與Microsoft Entra 租用戶位於相同區域中的 Azure 基礎結構。 如果您需要強化網路，您有兩個選項。

• 使用 Azure 防火牆服務標籤 AzureCloud。
• 使用已發佈 的 CIDR 範圍 來設定防火牆。 您必須使用 AzureCloud。符合您Microsoft Entra 租使用者部署所在的區域，以設定防火牆，以允許來自要求服務 API 的回呼流量。 例如，如果您的租用戶位於歐盟，您應該從 AzureCloud 挑選所有 CIDR 範圍。northeurope、.westeurope 等，您的防火牆設定。

掃描 QR 代碼

在檔中，除非另有說明，否則指示 scan the QR code 會參考使用 Microsoft Authenticator 行動裝置應用程式進行掃描。 可以掃描 QR 代碼與行動裝置的相機應用程式，然後啟動 Microsoft Authenticator。 若要讓這項作業能夠運作，必須針對 Microsoft Authenticator 註冊通訊協定處理程式 openid-vc:// 。 如果已為其註冊另一個行動應用程式，Authenticator 將不會開啟。 在某些較舊的 Android 行動裝置版本上，使用相機應用程式掃描 QR 代碼無法運作，而且除了使用 Microsoft Authenticator 應用程式掃描它之外，沒有其他因應措施。

下一步

• 自訂您的可驗認證