Sdílet prostřednictvím


Ověření vlastnictví domény u vašeho decentralizovaného identifikátoru

V tomto článku si projdeme kroky potřebné k ověření vlastnictví názvu domény, který používáte pro decentralizovaný identifikátor (DID).

Požadavky

Pokud chcete ověřit vlastnictví domény u vašeho DID, musíte:

Ověření vlastnictví domény a distribuce souboru did-configuration.json

Doména, kterou ověříte vlastnictví vašeho DID, je definována v části přehledu. Doména musí být doménou pod vaší kontrolou a měla by být ve formátu https://www.example.com/.

  1. Na webu Azure Portal přejděte na stránku Ověřené ID .

  2. Vyberte Nastavení>Ověřit vlastnictví domény a vyberte Ověřit pro doménu.

  3. Zkopírujte nebo stáhněte did-configuration.json soubor.

    Snímek obrazovky znázorňující stažení dobře známé konfigurace

  4. Hostujte did-configuration.json soubor v zadaném umístění. Pokud jste například zadali doménu https://www.example.com, musí být soubor hostován na https://www.example.com/.well-known/did-configuration.jsonadrese . V adrese URL nemůže být žádná jiná cesta s výjimkou .well-known path názvu.

  5. Pokud did-configuration.json je veřejně dostupná na .well-known/did-configuration.json adrese URL, ověřte ji výběrem stavu ověření aktualizace.

    Snímek obrazovky znázorňující ověřenou dobře známou konfiguraci

  6. Otestujte vydávání nebo prezentaci pomocí microsoft Authenticatoru a ověřte je. Ujistěte se, že je zapnuté nastavení Upozornění na nebezpečné aplikace v aplikaci Authenticator. Nastavení je ve výchozím nastavení zapnuté.

Jak můžu ověřit, že ověření funguje?

Portál ověří, jestli did-configuration.json je dostupný přes internet, a je platný, když vyberete Stav ověření aktualizace. Authenticator nedotkuje přesměrování HTTP. Měli byste také zvážit ověření, že můžete požádat o tuto adresu URL v prohlížeči, abyste se vyhnuli chybám, jako je použití protokolu HTTPS, chybný certifikát SSL nebo adresa URL, která není veřejná. did-configuration.json Pokud se soubor nedá v prohlížeči vyžádat anonymně nebo prostřednictvím nástrojů, jako curljsou upozornění nebo chyby, portál nemůže dokončit ani krok ověření aktualizace.

Poznámka:

Pokud máte problémy s aktualizací stavu ověření, můžete ho vyřešit spuštěním curl -Iv https://yourdomain.com/.well-known/did-configuration.json na počítači s operačním systémem Ubuntu. Subsystém Windows pro Linux s Ubuntu funguje také. Pokud curl selže, aktualizace stavu ověření nebude fungovat.

Proč potřebuji ověřit vlastnictví domény našeho DID?

Funkce DID začíná jako identifikátor, který není ukotvený k existujícím systémům. Funkce DID je užitečná, protože ji uživatel nebo organizace může vlastnit a řídit ji. Pokud entita, která komunikuje s organizací, nezná "kdo", do které objektu DID patří, pak funkce DID není tak užitečná.

Propojení DID s doménou řeší počáteční problém důvěryhodnosti tím, že jakékoli entitě umožní kryptograficky ověřit vztah mezi DID a doménou.

Ověřené ID se řídí dobře známou specifikací konfigurace DID a vytvoří propojení. Ověřitelná služba přihlašovacích údajů odkazuje na vaši doménu a DID. Služba obsahuje informace o doméně, které jste zadali ve svém DID, a vygeneruje známý konfigurační soubor:

  1. Ověřené ID používá informace o doméně, které zadáte během instalace organizace, k zápisu koncového bodu služby v dokumentu DID. Všechny strany, které komunikují s vaším DID, uvidí doménu, ke které vaše DID prohlašuje, že je přidružena.

    "service": [
      {
        "id": "#linkeddomains",
        "type": "LinkedDomains",
        "serviceEndpoint": {
          "origins": [
            "https://verifiedid.contoso.com/"
          ]
        }
      }
    ]
    
  2. Ověřitelná služba přihlašovacích údajů v ověřeném ID generuje kompatibilní dobře známý konfigurační prostředek, který musíte hostovat ve své doméně. Konfigurační soubor obsahuje ověřitelné přihlašovací údaje typu DomainLinkageCredentialpřihlašovacích údajů vydané svým držitelem , podepsané pomocí vašeho DID, který má původ vaší domény. Tady je příklad konfiguračního souboru uloženého na adrese URL kořenové domény.

    {
      "@context": "https://identity.foundation/.well-known/contexts/did-configuration-v0.0.jsonld",
      "linked_dids": [
        "jwt..."
      ]
    }
    

Uživatelské prostředí v peněžence

Když uživatel prochází tokem vystavování nebo prezentuje ověřitelné přihlašovací údaje, měl by vědět něco o organizaci a jeho DID. Authenticator ověří vztah DID s doménou v dokumentu DID a v závislosti na výsledku prezentuje uživatele se dvěma různými prostředími.

Ověřená doména

Než Authenticator zobrazí ikonu Ověřená , musí být splněno několik bodů:

  • Požadavek SIOP (Open ID) vystavený svým držitelem musí mít koncový bod služby pro propojenou doménu.
  • Kořenová doména nepoužívá přesměrování a používá HTTPS.
  • Doména uvedená v dokumentu DID má přeložitelný dobře známý prostředek.
  • Známé přihlašovací údaje prostředku jsou podepsané stejným identifikátorem DID, který se použil k podepsání protokolu SIOP, který authenticator použil k zahájení toku.

Pokud jsou všechny výše uvedené body pravdivé, authenticator zobrazí ověřenou stránku a zahrne ověřenou doménu.

Snímek obrazovky znázorňující novou žádost o oprávnění

Neověřená doména

Pokud některý z předchozích bodů není pravdivý, authenticator zobrazí upozornění na celou stránku označující, že doména není neověřená. Uživatel je varován, že je uprostřed potenciální rizikové transakce a měl by pokračovat s opatrností. Možná se rozhodli tuto trasu provést, protože:

  • FUNKCE DID není ukotvená k doméně.
  • Konfigurace nebyla správně nastavena.
  • Akce DID, se kterou uživatel pracuje, může být škodlivá a ve skutečnosti nemůže prokázat, že vlastní propojenou doménu.

Je velmi důležité propojit svůj DID s doménou, která je rozpoznatelná pro uživatele.

Snímek obrazovky s upozorněním na neověřenou doménu na obrazovce Přidat přihlašovací údaje

Návody aktualizovat propojenou doménu na mém DID?

V systému důvěryhodnosti webu není aktualizace propojené domény podporovaná. Musíte se odhlásit a znovu připojit.

Propojená doména je pro vývojáře jednoduchá

Poznámka:

Aby registrace DID byla úspěšná, musí být dokument DID veřejně dostupný.

Nejjednodušší způsob, jak vývojář získat doménu pro propojenou doménu, je použít funkci statického webu Azure Storage. Nemůžete řídit, co je název domény, s tím rozdílem, že obsahuje název vašeho účtu úložiště jako součást názvu hostitele.

Rychlé nastavení domény pro propojenou doménu:

  1. Vytvořte si účet úložiště. Během vytváření vyberte StorageV2 (účet pro obecné účely v2) a místně redundantní úložiště (LRS).
  2. Přejděte do účtu úložiště a v nabídce úplně vlevo vyberte Statický web a povolte statický web. Pokud položku nabídky Statický web nevidíte, nevytvořili jste účet úložiště V2.
  3. Zkopírujte název primárního koncového bodu, který se zobrazí po uložení. Tato hodnota je název vaší domény. Vypadá to jako https://<your-storageaccountname>.z6.web.core.windows.net/.

Když je čas nahrát did-configuration.json soubor:

  1. Přejděte do účtu úložiště a v nabídce úplně vlevo vyberte Kontejnery . Pak vyberte kontejner s názvem $web.
  2. Vyberte Nahrát a vyberte ikonu složky, aby se soubor našel.
  3. Než nahrajete, otevřete část Upřesnit a do textového pole Nahrát do složky zadejte .well-known.
  4. Nahrajte soubor .

Teď máte soubor veřejně dostupný na adrese URL, která vypadá nějak takto https://<your-storageaccountname>.z6.web.core.windows.net/.well-known/did-configuration.json.

Další kroky