Pokročilé nastavení Ověřené ID Microsoft Entra

Nastavení rozšířeného ověřeného ID je klasický způsob nastavení ověřeného ID, kde vy jako správce ručně nakonfigurujete různé komponenty. To zahrnuje nastavení služby Azure Key Vault, registraci decentralizovaného ID a ověření domény. Pokročilé nastavení poskytuje úplnou kontrolu nad procesem konfigurace a zajišťuje, aby všechny podrobnosti splňovaly specifické požadavky vaší organizace. Je ideální pro podniky, které potřebují vlastní nastavení.

Pokročilé nastavení zahrnuje následující kroky:

1. Konfigurace služby Azure Key Vault: Bezpečně uložte a spravujte klíče používané k podepisování a ověřování přihlašovacích údajů.
2. Zaregistrujte decentralizované ID: Vytvořte a zaregistrujte svůj decentralizovaný identifikátor (DID) pro stanovení důvěryhodné identity.
3. Ověření domény: Ujistěte se, že je vaše doména správně propojená s vaším DID kódem, poskytující důvěryhodný zdroj pro vaše přihlašovací údaje.

V tomto kurzu se naučíte:

• Vytvořit instanci služby Key Vault.
• Nakonfigurujte službu Ověření ID pomocí rozšířeného nastavení.
• Registrace aplikace v Microsoft Entra ID.

Následující diagram znázorňuje architekturu ověřeného ID a komponentu, kterou nakonfigurujete.

Požadavky

• Potřebujete tenanta Azure s aktivním předplatným. Pokud předplatné Azure nemáte, vytvořte si ho zdarma.
• Ujistěte se, že máte oprávnění globálního správce nebo správce zásad ověřování pro adresář, který chcete nakonfigurovat. Pokud nejste globálním správcem, potřebujete oprávnění správce aplikace k dokončení registrace aplikace, včetně udělení souhlasu správce.
• Ujistěte se, že máte roli přispěvatele pro předplatné Azure nebo skupinu prostředků, do které nasazujete Azure Key Vault.
• Ujistěte se, že pro Key Vault zadáte přístupová oprávnění. Další informace najdete v tématu Poskytnutí přístupu ke klíčům, certifikátům a tajným kódům služby Key Vault pomocí řízení přístupu na základě role v Azure.

Vytvořte trezor klíčů.

Poznámka:

Služba Azure Key Vault, kterou používáte k nastavení služby Ověřené ID, musí mít pro svůj model oprávnění zásady přístupu ke službě Key Vault. V současné době platí omezení, pokud má Key Vault řízení přístupu na základě role v Azure.

Azure Key Vault je cloudová služba, která umožňuje zabezpečenou správu úložiště a přístupu tajných kódů a klíčů. Služba Ověřené ID ukládá veřejné a privátní klíče ve službě Azure Key Vault. Tyto klíče slouží k podepisování a ověřování přihlašovacích údajů.

Pokud nemáte k dispozici instanci služby Azure Key Vault, postupujte podle těchto kroků vytvoření trezoru klíčů pomocí webu Azure Portal. Služba Azure Key Vault, kterou používáte k nastavení služby Ověřené ID, musí mít zásady přístupu ke službě Key Vault pro jeho model oprávnění místo řízení přístupu na základě role v Azure.

Poznámka:

Ve výchozím nastavení je účet tvůrce trezoru jediným účtem s přístupem. Služba Ověřené ID potřebuje přístup k trezoru klíčů. Musíte ověřit trezor klíčů, který umožňuje účtu použitému během konfigurace vytvářet a odstraňovat klíče. Účet použitý během konfigurace také vyžaduje oprávnění k podepsání, aby mohl vytvořit vazbu domény pro ověřené ID. Pokud při testování používáte stejný účet, upravte výchozí zásady tak, aby udělily oprávnění k podpisu účtu, kromě výchozích oprávnění udělených tvůrcům trezoru.

Správa přístupu k trezoru klíčů

Než budete moct nastavit Ověřené ID, potřebujete přístup ke službě Key Vault . Zadejte přístupová oprávnění k vašemu trezoru klíčů pro účet správce ověřeného ID i pro instanční objekt rozhraní API požadavku, který jste vytvořili.

Po vytvoření trezoru klíčů vygenerují ověřitelné přihlašovací údaje sadu klíčů sloužících k zajištění zabezpečení zpráv. Tyto klíče jsou uložené ve službě Key Vault. K podepisování ověřitelných přihlašovacích údajů použijete sadu klíčů.

Nastavení ověřeného ID

Pokud chcete nastavit ověřené ID, postupujte takto:

1. Přihlaste se do Centra pro správu Microsoft Entra jako globální správce.

2. V nabídce vlevo vyberte v části Ověřené ID přehled.

3. V prostřední nabídce vyberte kartu Nastavení a pak vyberte Upřesnit nastavení.

4. Výběr možnosti Konfigurovat nastavení organizace

5. Nastavte svoji organizaci tak, že poskytnete následující informace:

   1. Název organizace: Zadejte název, který bude odkazovat na vaši firmu v rámci ověřených ID. Vaši zákazníci tento název nevidí.

   2. důvěryhodné domény: Zadejte název domény. Zadaný název se přidá ke koncovému bodu služby ve vašem dokumentu decentralizované identity (DID). Doména je to, co sváže vaše DID s něčím hmatatelným, co by uživatel mohl vědět o vaší firmě. Microsoft Authenticator a další digitální peněženky používají tyto informace k ověření, že je váš DID propojený s vaší doménou. Pokud peněženka může ověřit DID, zobrazí ověřený symbol. Pokud peněženka nemůže ověřit DID, informuje uživatele, že vystavitel credentialu je organizace, kterou se nepodařilo ověřit.

      Důležité

      Doména nemůže být přesměrování. V opačném případě není možné propojit DOMÉNU a DID. Ujistěte se, že pro doménu používáte HTTPS. Například: https://did.woodgrove.com. Ujistěte se také, že je model oprávnění služby Key Vault nastavený na zásady přístupu k trezoru.

   3. Trezor klíčů: Vyberte trezor klíčů, který jste vytvořili dříve.

6. Zvolte Uložit.

   

Registrace aplikace v Microsoft Entra ID

Aplikace potřebuje získat přístupové tokeny, když chce volat do Ověřené ID Microsoft Entra, aby mohl vydávat nebo ověřovat přihlašovací údaje. Pokud chcete získat přístupové tokeny, musíte zaregistrovat aplikaci a udělit rozhraní API oprávnění pro službu žádosti o ověřené ID. Například pro webovou aplikaci použijte následující kroky:

1. Přihlaste se do Centra pro správu Microsoft Entra jako globální správce.

2. Vyberte Microsoft Entra ID.

3. V části Aplikace vyberte Registrace aplikací> Nová registrace.

   

4. Zadejte zobrazovaný název aplikace. Příklad: ověřitelná-credentials-app.

5. U podporovaných typů účtů vyberte Pouze účty v tomto adresáři organizace (pouze výchozí adresář – jeden tenant).

6. Výběrem možnosti Registrovat aplikaci vytvořte.

   

Udělení oprávnění pro získání přístupových tokenů

V tomto kroku udělíte oprávnění ověřitelnému instančnímu objektu žádosti o přihlašovací údaje.

Chcete-li přidat požadovaná oprávnění, postupujte takto:

1. Zůstaňte na stránce s podrobnostmi o ověřitelných přihlašovacích údajích aplikace . Vyberte Oprávnění rozhraní API>Přidat oprávnění.

   

2. Vyberte Rozhraní API, která používá moje organizace.

3. Vyhledejte instanční objekt žádosti o ověřitelné přihlašovací údaje a vyberte ho.

   

4. Zvolte Oprávnění aplikace a rozbalte Položku OvěřitiableCredential.Create.All.

   

5. Vyberte Přidat oprávnění.

6. Vyberte Udělení souhlasu správce pro <název> vašeho tenanta.

Pokud dáváte přednost oddělení oborů různým aplikacím, můžete udělovat oprávnění k vystavování a prezentaci samostatně.

Registrace decentralizovaného ID a ověření vlastnictví domény

Jakmile je služba Azure Key Vault nastavená a služba má podpisový klíč, musíte v nastavení dokončit krok 2 a 3.

1. Přihlaste se do Centra pro správu Microsoft Entra jako globální správce.
2. Vyberte Ověřené ID.
3. V nabídce vlevo vyberte Přehled.
4. V prostřední nabídce vyberte Zaregistrovat decentralizované ID a zaregistrujte dokument DID podle pokynů v článku Postup registrace decentralizovaného ID pro did:web. Než budete moct pokračovat v ověření domény, musíte tento krok dokončit.
5. V prostřední nabídce vyberte Ověřit vlastnictví domény a podle pokynů v článku Ověření vlastnictví domény u decentralizovaného identifikátoru (DID)

Jakmile úspěšně dokončíte ověřovací kroky a u všech tří kroků budete mít zelené značky zaškrtnutí, budete připraveni pokračovat k dalšímu kurzu.

Další kroky

• Zjistěte, jak vydat Ověřené ID Microsoft Entra přihlašovací údaje z webové aplikace.
• Zjistěte, jak ověřit Ověřené ID Microsoft Entra přihlašovací údaje.