您Microsoft Entra ID 環境中帳戶的員工可以具有 VerifiedEmployee 類型的可驗證認證,這些認證是使用其使用者配置檔來源的宣告所建立。 在本教學課程中,我們會在 entra ID 中建立一個認證,其中包含從使用者配置檔來源 Microsoft的宣告。
您可以使用快速設定或進階設定來建立 VerifiedEmployee 認證。 如果您使用快速設定,則員工租使用者中會自動為您建立 VerifiedEmployee 認證。 如果您使用進階設定,您必須手動建立 VerifiedEmployee 認證,如本指南所述。
MyAccount 現在支持發出 VerifiedEmployee 認證。 如需在 [已驗證標識符] 中啟用的指示,請參閱 這裡。 只有在您想要透過自家應用程式處理核發時,才需要設定範例來核發 VerifiedEmployee 認證。
在本文中,您將學會如何:
- 在目錄中建立使用者
- 針對 Microsoft Authenticator 設定使用者
- 建立已驗證的員工認證
- 設定範例以核發並驗證您的 VerifiedEmployee 認證
必要條件
- 設定 Microsoft Entra 驗證識別碼認證的租用戶。
- 完成發行和驗證可驗認證的教學課程。
- 具有 Microsoft Authenticator 可作為測試使用者帳戶的行動電話。
設定測試用戶帳戶
建立新的使用者 在我們的測試中使用。
使用您的新使用者登入。 使用者名稱會像是 meganb@yourtenant.onmicrosoft.com。 您必須變更密碼。
為您的測試用戶設定 Microsoft Authenticator
您的測試使用者必須針對帳戶設定 Microsoft Authenticator。 若要在測試使用者帳戶上啟用 Authenticator,請遵循下列步驟:
- 在您的行動測試裝置上,開啟 Microsoft Authenticator,移至底部的 [Authenticator] 索引標籤,然後點選 + 符號以 [新增帳戶]。 選取 [公司或學校帳戶]
- 出現提示時,選取 [登入]。 請勿選取 [掃描 QR 代碼]
- 在 Microsoft Entra 租用戶中使用測試使用者的認證登入
- 驗證器會在行動裝置的瀏覽器中啟動 https://aka.ms/mfasetup。 需要使用您的測試使用者認證再次登入。
- 在 [在應用程式中設定您的帳戶] 中,選取 [按一下此連結來將您的帳戶配對到應用程式]。 Microsoft Authenticator 應用程式開啟,且您會看到測試使用者是已新增的帳戶
如果 https://aka.ms/mfasetup 啟動而不提示您登入,這表示已為此裝置上的其他用戶設定Microsoft Authenticator。 已經設定了使用者時,Authenticator 會自動將您登入。 註銷瀏覽器,然後再次設定驗證器。 如果您放大頁面,您會在右上角找到 註銷 按鈕。
建立已驗證的員工認證
當您在入口網站中選取 [+ 新增認證] 時,您會取得啟動兩個快速入門的選項。 選取 [已驗證的員工],然後選取 [下一步]。
在下一個畫面中,您會輸入一些顯示定義,例如標誌 URL、文字和背景色彩。 由於認證是具有目錄型宣告的受控認證,因此規則定義是預先定義且無法變更。 您不需要輸入規則定義詳細資料。 認證類型為 VerifiedEmployee,且使用者設定檔中的聲明已預設。 選取 [建立] 來建立認證。
已驗證員工認證的宣告結構描述
已驗證員工認證中的所有宣告都來自核發租用戶的 Microsoft Entra ID 中之使用者設定檔的屬性。 您無法修改宣告集。 除了相片以外的所有宣告都來自 Microsoft Graph 查詢 https://graph.microsoft.com/v1.0/me。 相片宣告來自從 Microsoft Graph 查詢 https://graph.microsoft.com/v1.0/me/photo/$value 傳回的值。
| 索賠 | 目錄屬性 | 值 |
|---|---|---|
revocationId |
userPrincipalName |
使用者的 UPN 會新增為名為 revocationId 的宣告,並取得索引。 |
displayName |
displayName |
使用者的 displayName |
givenName |
givenName |
使用者的名字 |
surname |
surname |
使用者的姓氏 |
jobTitle |
jobTitle |
使用者的職稱。 此屬性在使用者設定檔中預設沒有值。 如果使用者設定檔未指定任何值,則發行的 VC 中沒有 jobTitle 宣告。 |
preferredLanguage |
preferredLanguage |
應該遵循 ISO 639-1,並包含類似 en-us 的值。 未指定預設值。 如果沒有值,則發行的 VC 中不會包含任何宣告。 |
mail |
mail |
使用者的電子郵件地址。
mail 值與 UPN 不同。 也是預設沒有值的屬性。 |
photo |
photo |
使用者的上傳相片。 映射類型應該是 JPEG,大小上限為 2 MB。 將相片宣告呈現給驗證者時,相片宣告格式為UrlEncode(Base64Encode(photo)) 格式。 若要使用相片,驗證器應用程式必須是 Base64Decode(UrlDecode(photo))。 |
請參閱完整的 Microsoft Entra 使用者設定檔屬性參考。
重要
如果使用者的 Microsoft Entra 設定檔中的屬性值變更,則不會自動重新核發 VC。 您必須手動重新發行。 使用範例時,發行會與發行程序相同。
設定範例以核發並驗證您的 VerifiedEmployee 認證
您可以發行和驗證目錄型宣告的可驗認證,就像您建立的任何其他認證一樣。 您只需要租戶的簽發者 DID、憑證類型,以及與您憑證相關的 manifest URL。 尋找受控憑證這些值最簡單的方式是在入口網站中查看憑證,選擇[發行憑證],然後您會看到名為 [自訂發行] 的標題。 這些步驟會顯示一個文字方塊,其中包含要求服務 API 的基本架構 JSON 承載。
在此畫面中,您有值可以複製並貼到範例部署的組態檔。 簽發者的 DID 是授權單位值。
- 授權單位 - 簽發者的 DID
-
類型 - 查看已驗證的員工認證時,認證類型一律為
VerifiedEmployee - 資訊清單:認證資訊清單 URL
組態檔取決於使用中的範例。
- Dotnet - appsettings.json
- 節點 - config.json
- Python - config.json
- Java - 值會在 run.cmd 和 run.sh 中或是 docker-run.cmd/docker-run.sh 中 (使用 Docker 時) 設定為環境變數。
備註
注意
此架構已修正,且不支援在架構中新增或移除宣告。 基於目錄的宣告的證明流程也是固定的,而且不支援嘗試變更為使用 ID 令牌提示的自定義認證流程,例如。
下一步
了解如何自訂可驗認證。