Partager via

Vérifier la propriété du domaine à votre identificateur décentralisé

  • Article

Dans cet article, nous examinons les étapes nécessaires pour vérifier votre propriété du nom de domaine que vous utilisez pour votre identificateur décentralisé (DID).

Conditions préalables

Pour vérifier la propriété du domaine à votre DID, vous devez :

Vérifier la propriété du domaine et distribuer le fichier did-configuration.json

Le domaine dont vous vérifiez la propriété pour votre DID est défini dans la section vue d’ensemble . Le domaine doit être un domaine sous votre contrôle et doit être au format https://www.example.com/.

  1. Dans le Centre d’administration Microsoft Entra, choisissez la page ID vérifié.

  2. Sélectionnez Vue d’ensemble et, dans cette section, choisissez Vérifier la propriété du domaine.

  3. Sélectionnez Vérifier pour le domaine.

  4. Copiez ou téléchargez le fichier did-configuration.json.

    Capture d’écran montrant le téléchargement de la configuration connue.

  5. Hébergez le fichier did-configuration.json à l’emplacement spécifié. Par exemple, si vous avez spécifié un domaine https://www.example.com, le fichier doit être hébergé à https://www.example.com/.well-known/did-configuration.json. Il ne peut y avoir aucun autre chemin d’accès dans l’URL, à l’exception du nom .well-known path.

  6. Lorsque did-configuration.json est disponible publiquement à l’URL .well-known/did-configuration.json, vérifiez-le en sélectionnant Actualiser l'état de vérification.

    Capture d’écran montrant la configuration bien connue vérifiée.

  7. Testez l’émission ou la présentation avec Microsoft Authenticator pour valider. Assurez-vous que le paramètre Avertissement concernant les applications non sécurisées dans Authenticator est activé. Le paramètre est activé par défaut.

Comment puis-je vérifier que la vérification fonctionne ?

Le portail vérifie que did-configuration.json est accessible sur Internet et valide lorsque vous sélectionnez Actualiser l'état de la vérification. Authenticator n’honore pas les redirections HTTP. Vous devez également envisager de vérifier que vous pouvez demander cette URL dans un navigateur pour éviter les erreurs telles que ne pas utiliser HTTPS, un certificat TLS/SSL incorrect ou l’URL qui n’est pas publique. Si le fichier did-configuration.json ne peut pas être demandé anonymement dans un navigateur ou via des outils tels que curl, sans avertissements ni erreurs, alors le portail ne peut pas non plus terminer l'étape de vérification du statut de rafraîchissement .

Remarque

Si vous rencontrez des problèmes lors de l’actualisation de votre état de vérification, vous pouvez le résoudre en exécutant curl -Iv https://yourdomain.com/.well-known/did-configuration.json sur une machine avec le système d’exploitation Ubuntu. Le sous-système Windows pour Linux avec Ubuntu fonctionne également. Si curl échoue, la mise à jour de l’état de vérification ne fonctionnera pas.

Pourquoi dois-je vérifier la propriété du domaine de notre DID ?

Un DID démarre en tant qu’identificateur qui n’est pas ancré dans les systèmes existants. Un DID est utile, car un utilisateur ou une organisation peut le posséder et le contrôler. Si une entité qui interagit avec l'organisation ne sait pas à qui appartient le DID, alors le DID n'est pas aussi utile.

La liaison d’un DID à un domaine résout le problème d’approbation initial en autorisant toute entité à vérifier par chiffrement la relation entre un DID et un domaine.

La vérification d’identité respecte les spécifications de la configuration DID connue pour créer le lien. Le service d’informations d’identification vérifiables lie votre DID et votre domaine. Le service inclut les informations de domaine que vous avez fournies dans votre DID et génère le fichier de configuration connu :

  1. L’ID vérifié utilise les informations de domaine que vous fournissez pendant la configuration de l’organisation pour écrire un point de terminaison de service dans le document DID. Toutes les parties qui interagissent avec votre DID peuvent voir le domaine auquel votre DID déclare être associé.

    "service": [
  {
    "id": "#linkeddomains",
    "type": "LinkedDomains",
    "serviceEndpoint": {
      "origins": [
        "https://verifiedid.contoso.com/"
      ]
    }
  }
]

  2. Le service de certificat vérifiable dans l'identifiant vérifié génère une ressource de configuration bien connue et conforme que vous devez héberger sur votre domaine. Le fichier de configuration comprend un justificatif vérifiable auto-émis du type de justificatif DomainLinkageCredential, signé avec votre DID, ayant pour origine votre domaine. Voici un exemple du fichier de configuration stocké à l’URL du domaine racine.

    {
  "@context": "https://identity.foundation/.well-known/contexts/did-configuration-v0.0.jsonld",
  "linked_dids": [
    "jwt..."
  ]
}

Expérience utilisateur dans le portefeuille

Lorsqu’un utilisateur passe par un flux d’émission ou présente des justificatifs vérifiables, il doit savoir quelque chose sur l’organisation et son DID. Authenticator valide la relation d’un DID avec le domaine dans le document DID et présente aux utilisateurs deux expériences différentes en fonction du résultat.

Domaine vérifié

Avant que l’authentificateur affiche une icône vérifié, quelques points doivent être vrais :

  • Le DID qui signe la demande d'Open ID auto-émise (SIOP) doit avoir un point de terminaison de service pour un domaine lié.
  • Le domaine racine n’utilise pas de redirection et utilise HTTPS.
  • Le domaine répertorié dans le document DID possède une ressource connue résolvable.
  • Le justificatif vérifiable de la ressource bien connue est signé avec le même DID qui avait été utilisé pour signer le SIOP qu'Authenticator a utilisé pour démarrer le processus.

Si tous les points mentionnés précédemment sont vrais, Authenticator affiche une page vérifiée et inclut le domaine qui a été validé.

Capture d’écran montrant une nouvelle demande d’autorisation.

Domaine non vérifié

Si l’un des points précédents n’est pas vrai, Authenticator affiche un avertissement de page complète indiquant que le domaine n’est pas vérifié. L’utilisateur est averti qu’il est au milieu d’une transaction potentiellement risquée et qu’il doit procéder avec prudence. Ils ont peut-être choisi de prendre cette route parce que :

  • Le DID n’est pas ancré dans un domaine.
  • La configuration n’a pas été configurée correctement.
  • Le DID avec lequel l’utilisateur interagit peut être malveillant et ne peut en fait pas prouver qu’il possède le domaine lié.

Il est très important que vous liez votre DID à un domaine reconnaissable à l’utilisateur.

Capture d’écran montrant l’avertissement de domaine non vérifié sur l’écran Ajouter des informations d’identification.

Comment mettre à jour le domaine lié sur mon DID ?

Avec le système d’approbation web, la mise à jour de votre domaine lié n’est pas prise en charge. Vous devez vous désinscrire et vous réinscrire.

Connexion de domaine simplifiée pour les développeurs

Remarque

Le document DID doit être disponible publiquement pour que l’inscription DID réussisse.

Le moyen le plus simple pour un développeur d’obtenir un domaine à utiliser pour un domaine lié consiste à utiliser la fonctionnalité de site web statique de Azure Storage. Vous ne pouvez pas contrôler le nom de domaine, sauf qu’il contient le nom de votre compte de stockage dans le cadre de son nom d’hôte.

Pour configurer rapidement un domaine à utiliser pour un domaine lié :

  1. Créez un compte de stockage. Lors de la création, sélectionnez StorageV2 (compte v2 universel) et stockage localement redondant (LRS).
  2. Accédez au compte de stockage et sélectionnez site web statique dans le menu le plus à gauche et activez site web statique. Si vous ne voyez pas l’élément de menu site web statique, vous n’avez pas créé de compte de stockage V2.
  3. Copiez le nom du point de terminaison principal qui apparaît après l’enregistrement. Cette valeur est votre nom de domaine. Cela ressemble à quelque chose comme https://<your-storageaccountname>.z6.web.core.windows.net/.

Quand il est temps de charger le fichier did-configuration.json :

  1. Accédez au compte de stockage et sélectionnez Conteneurs dans le menu le plus à gauche. Sélectionnez ensuite le conteneur nommé $web.
  2. Sélectionnez Charger et sélectionnez l’icône de dossier pour rechercher votre fichier.
  3. Avant de téléverser, ouvrez la section Avancé et spécifiez .well-known dans la zone de texte Charger dans le dossier.
  4. Chargez le fichier.

Vous disposez maintenant de votre fichier publiquement disponible sur une URL qui ressemble à https://<your-storageaccountname>.z6.web.core.windows.net/.well-known/did-configuration.json.

Étapes suivantes