Sdílet prostřednictvím

Přizpůsobte si své ověřitelné přihlašovací údaje

  • Článek

Ověřitelné definice přihlašovacích údajů (VC) se skládají ze dvou komponent, zobrazují definice a definice. Definice zobrazení řídí vzhled přihlašovacích údajů a úpravu atributů. Definice pravidel určuje, co uživatelé musí poskytnout, než dostanou ověřitelné přihlašovací údaje.

Tento článek vysvětluje, jak upravit oba typy definic tak, aby splňovaly požadavky vaší organizace.

Definice zobrazení: vizuály přihlašovacích údajů peněženky

Ověřené ID Microsoft Entra nabízí omezenou sadu možností, které se dají použít k vyjádření vaší značky. Tento článek obsahuje pokyny k přizpůsobení přihlašovacích údajů a osvědčených postupů pro navrhování přihlašovacích údajů, které vypadají skvěle po jejich vydání uživatelům.

Microsoft Authenticator, který je decentralizovanou peněženkou identit, zobrazuje ověřitelné přihlašovací údaje vydané uživatelům jako karty. Jako správce VC můžete zvolit barvy karet, ikony a textové řetězce tak, aby odpovídaly značce vaší organizace.

snímek obrazovky s ověřenou kartou přihlašovacích údajů v Authenticatoru a vyvoláním klíčových prvků

Karty také obsahují přizpůsobitelná pole. Pomocí těchto polí můžete dát uživatelům vědět účel karty, atributy, které obsahuje, a další.

Vytvoření definice zobrazení přihlašovacích údajů

Definice zobrazení je jednoduchý dokument JSON, který popisuje, jak by aplikace peněženky měla zobrazit obsah ověřitelných přihlašovacích údajů.

Poznámka

Tento model zobrazení aktuálně používá jenom Microsoft Authenticator.

Definice zobrazení má následující strukturu. Identifikátor URI loga, pokud je zadán jako adresa URL, musí být adresa URL veřejně dostupná na internetu.

{
    "locale": "en-US",
    "card": {
      "title": "Verified Credential Expert",
      "issuedBy": "Microsoft",
      "backgroundColor": "#000000",
      "textColor": "#ffffff",
      "logo": {
        "uri": "https://didcustomerplayground.z13.web.core.windows.net/VerifiedCredentialExpert_icon.png",
        "description": "Verified Credential Expert Logo"
      },
      "description": "Use your verified credential to prove to anyone that you know all about verifiable credentials."
    },
    "consent": {
      "title": "Do you want to get your Verified Credential?",
      "instructions": "Sign in with your account to get your card."
    },
    "claims": [
      {
        "claim": "vc.credentialSubject.firstName",
        "label": "First name",
        "type": "String"
      },
      {
        "claim": "vc.credentialSubject.lastName",
        "label": "Last name",
        "type": "String"
      }
    ]
}

Další informace o vlastnostech naleznete v typu displayModel.

Definice pravidel: Požadavky od uživatele

Definice pravidel je jednoduchý dokument JSON, který popisuje důležité vlastnosti ověřitelných přihlašovacích údajů. Konkrétně popisuje, jak se deklarace identity používají k naplnění ověřitelných přihlašovacích údajů a typu přihlašovacích údajů.

{
  "attestations": {
      ...
  },
  "validityInterval":  2592000,
  "vc": {
    "type": [
      "VerifiedCredentialExpert"
    ]
  }
}

Osvědčení

V definici pravidel jsou aktuálně k dispozici následující čtyři typy ověření identity. Existují různé způsoby poskytování nároků, které používá služba vydávání ověřených ID Microsoft Entra k vložení do ověřitelného dokladu a ověření těchto informací pomocí vašeho decentralizovaného identifikátoru (DID). V definici pravidel lze použít více typů ověření identity.

  • ID token: Pokud je tato možnost nakonfigurovaná, musíte zadat identifikátor URI konfigurace OpenID Connect a zahrnout nároky, které by měly být součástí ověřitelných přihlašovacích údajů. Uživatelům se zobrazí výzva k přihlášení do aplikace Authenticator, aby splnili tento požadavek a přidali přidružené deklarace identity ze svého účtu. Informace, jak nakonfigurovat tuto možnost, najdete v tomto návodu jak na to

  • nápověda k ID tokenu: Ukázková aplikace a kurz používají nápovědu k ID tokenu. Pokud je tato možnost nakonfigurovaná, musí aplikace předávající strany poskytovat deklarace identity, které by se měly zahrnout do ověřitelných přihlašovacích údajů v požadavku na vystavení rozhraní API služby požadavku. Aplikace na straně spoléhající se může rozhodnout, odkud získá deklarace – může to být z aktuální přihlašovací relace, z back-endových systémů CRM nebo dokonce z uživatelského vstupu s vlastním tvrzením. Informace o konfiguraci této možnosti najdete v tomto návodu jak na to

  • Ověřitelná oprávnění: Konečným výsledkem procesu vydávání je vytvoření ověřitelného oprávnění, ale můžete také požádat uživatele, aby předložil ověřitelné oprávnění, aby mohly být vydány nové. Definice pravidel dokáže převzít konkrétní nároky z prezentovaných ověřitelných certifikátů a zahrnout tyto nároky do nově vydávaných ověřitelných certifikátů vaší organizace. Informace o konfiguraci této možnosti najdete v tomto návodu krok za krokem

  • vlastní prohlášení o osobních údajích: Pokud je tato možnost vybrána, může uživatel zadat informace přímo do Authenticator. V tuto chvíli jsou řetězce jediným podporovaným vstupem pro samostatně ověřené prohlášení. Pro konfiguraci této možností se podívejte na tento návod

Další informace o modelu JSON pravidel naleznete v části typ modeluPravidel .

Typy přihlašovacích údajů

Všechny ověřitelné přihlašovací údaje musí deklarovat jejich typ v definici pravidel . Typ přihlašovacích údajů rozlišuje ověřitelné schéma přihlašovacích údajů od jiných přihlašovacích údajů a zajišťuje interoperabilitu mezi vystaviteli a ověřovateli. Pokud chcete označit typ přihlašovacích údajů, zadejte jeden nebo více typů přihlašovacích údajů, které přihlašovací údaje splňují. Každý typ je reprezentován jedinečným řetězcem. Identifikátor URI se často používá k zajištění globální jedinečnosti. Identifikátor URI nemusí být adresovatelný. Je to považováno za řetězec. Například diplom vydaný univerzitou Contoso může obsahovat následující typy:

Typ Účel
https://schema.org/EducationalCredential Deklaruje, že diplomy vydané univerzitou Contoso obsahují atributy definované objektem schema.org EducationaCredential.
https://schemas.ed.gov/universityDiploma2020 Deklaruje, že diplomy vydané univerzitou Contoso obsahují atributy definované ministerstvem školství USA.
https://schemas.contoso.edu/diploma2020 Deklaruje, že diplomy vydané univerzitou Contoso obsahují atributy definované univerzitou Contoso.

Když společnost Contoso deklaruje tři typy diplomů, může vydat přihlašovací údaje, které vyhovují různým požadavkům od ověřovatelů. Banka může požádat o sadu EducationCredentials od uživatele a diplom lze použít k uspokojení žádosti. Nebo Asociace absolventů Univerzity Contoso může požádat o pověření typu https://schemas.contoso.edu/diploma2020a diplom může tuto žádost také splnit.

Pokud chcete zajistit interoperabilitu vašich přihlašovacích údajů, doporučujeme úzce spolupracovat se souvisejícími organizacemi, abyste definovali typy, schémata a identifikátory URI přihlašovacích údajů pro použití ve vašem odvětví. Mnoho průmyslových subjektů poskytuje pokyny ke struktuře oficiálních dokumentů, které lze změnit na definování obsahu ověřitelných přihlašovacích údajů. Měli byste také úzce spolupracovat s ověřovateli vašich přihlašovacích údajů, abyste pochopili, jak mají v úmyslu požadovat a využívat ověřitelné přihlašovací údaje.

Další kroky

Teď, když máte lepší přehled o ověřitelném návrhu přihlašovacích údajů a o tom, jak vytvořit vlastní přihlašovací údaje, najdete tady:

  • Příklady komunikace služby vydavatele
  • pravidla a referenční definice zobrazení