Configurazione avanzata ID verificato di Microsoft Entra

La configurazione avanzata dell'ID verificato è il modo classico di configurare l'ID verificato in cui l'amministratore deve configurare Azure KeyVault, occuparsi della registrazione dell'ID decentralizzato e della verifica del dominio.

In questa esercitazione si apprenderà come usare la configurazione avanzata per configurare il tenant di Microsoft Entra per l'uso del servizio credenziali verificabili.

In particolare, si apprenderà come:

• Creare un'istanza di Azure Key Vault.
• Configurare il servizio ID verificato usando la configurazione avanzata.
• Registra un’applicazione in Microsoft Entra ID.

Il diagramma seguente illustra l'architettura di ID verificato e il componente configurato.

Prerequisiti

• È necessario un tenant di Azure con una sottoscrizione attiva. Se non si ha una sottoscrizione di Azure, crearne una gratuitamente.
• Assicurarsi di disporre dell'autorizzazione amministratore globale o amministratore dei criteri di autenticazione per la directory da configurare. Se non si è l'amministratore globale, è necessaria l'autorizzazione amministratore di applicazioni per completare la registrazione dell'app, inclusa la concessione del consenso amministratore.
• Assicurarsi di avere il ruolo di collaboratore per la sottoscrizione di Azure o il gruppo di risorse in cui si distribuisce Azure Key Vault.
• Assicurarsi di fornire le autorizzazioni di accesso per Key Vault. Per ulteriori informazioni, vedere Fornire l'accesso a chiavi, certificati e segreti di Key Vault con un controllo degli accessi in base al ruolo di Azure.

Creare un insieme di credenziali delle chiavi

Nota

L'insieme di credenziali delle chiavi di Azure usato per configurare il servizio ID verificato deve disporre di criteri di accesso di Key Vault per il relativo modello di autorizzazione. Esiste attualmente una limitazione se Key Vault ha il controllo degli accessi in base al ruolo di Azure

Azure Key Vault è un servizio cloud che consente la gestione sicura di archiviazione e accesso di segreti e chiavi. Il servizio ID verificato archivia le chiavi pubbliche e private in Azure Key Vault. Queste chiavi vengono usate per firmare e verificare le credenziali.

Se non si dispone di un'istanza di Azure Key Vault disponibile, seguire questa procedura per creare un insieme di credenziali delle chiavi usando il portale di Azure, l'insieme di credenziali delle chiavi di Azure usato per configurare il servizio ID verificato deve avere criteri di accesso di Key Vault per il modello di autorizzazione anziché il controllo degli accessi in base al ruolo di Azure attualmente predefinito durante la creazione di un insieme di credenziali delle chiavi di Azure.

Nota

Per impostazione predefinita, l'account che crea un insieme di credenziali è l'unico con accesso. Il servizio ID verificato deve accedere all'insieme di credenziali delle chiavi. È necessario autenticare l'insieme di credenziali delle chiavi, consentendo all'account usato durante la configurazione di creare ed eliminare chiavi. L'account usato durante la configurazione richiede anche le autorizzazioni per firmare in modo che possa creare l'associazione di dominio per ID verificato. Se si usa lo stesso account durante il test, modificare i criteri predefiniti per concedere l'autorizzazione di firma dell'account, oltre alle autorizzazioni predefinite concesse agli autori dell'insieme di credenziali.

Gestire l'accesso all'insieme di credenziali delle chiavi

Prima di poter configurare l'ID verificato, è necessario fornire l'accesso a Key Vault. In questo modo viene definito se un amministratore specificato può eseguire operazioni sui segreti e sulle chiavi di Key Vault. Fornire le autorizzazioni di accesso all'insieme di credenziali delle chiavi sia per l'account amministratore id verificato che per l'entità API del servizio richiesta creata.

Dopo aver creato l'insieme di credenziali delle chiavi, le credenziali verificabili generano un set di chiavi usate per fornire la sicurezza dei messaggi. Queste chiavi vengono archiviate in Key Vault. Si usa un set di chiavi per la firma delle credenziali verificabili.

Configurare l'ID verificato

Per configurare l'ID verificato, seguire questa procedura:

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra come Amministratore globale.

2. Nel menu a sinistra selezionare Panoramica in ID verificato.

3. Dal menu centrale selezionare La scheda Setup (Configurazione ) e quindi selezionare Advanced Setup (Installazione avanzata).

4. Selezionare Configura impostazioni dell'organizzazione

5. Configurare l'organizzazione specificando le informazioni seguenti:

   1. Nome organizzazione: immettere un nome per fare riferimento all'azienda all'interno degli ID verificati. Questo nome non è visibile ai clienti.

   2. Dominio attendibile: immettere un dominio aggiunto a un endpoint di servizio nel documento di identità decentralizzata (DID). Il dominio è ciò che associa il DID a qualcosa di tangibile che l'utente potrebbe conoscere della propria azienda. Microsoft Authenticator e altri portafogli digitali usano queste informazioni per verificare che il DID sia collegato al dominio. Se il portafoglio può verificare il DID, visualizza un simbolo che indica che la verifica è stata eseguita. Se il portafoglio non è in grado di verificare il DID, informa l'utente che le credenziali sono state rilasciate da un'organizzazione che non è stato possibile convalidare.

      Importante

      Il dominio non può essere un reindirizzamento. In caso contrario, l'operazione DID e il dominio non possono essere collegati. Assicurarsi di usare HTTPS per il dominio. Ad esempio: https://did.woodgrove.com. Assicurarsi anche che il modello di autorizzazione dell'insieme di credenziali delle chiavi sia impostato su Criteri di accesso all'insieme di credenziali.

   3. Insieme di credenziali delle chiavi: selezionare l'insieme di credenziali delle chiavi creato in precedenza.

6. Seleziona Salva.

   

Registrare un’applicazione in Microsoft Entra ID

L'applicazione deve ottenere i token di accesso quando vuole chiamare ID verificato di Microsoft Entra in modo che possa emettere o verificare le credenziali. Per ottenere i token di accesso, è necessario registrare un'applicazione e concedere l'autorizzazione API per il servizio di richiesta ID verificato. Ad esempio, usare la procedura seguente per un'applicazione Web:

1. Accedi all'Interfaccia di amministrazione di Microsoft Entra come Amministratore globale.

2. Selezionare Microsoft Entra ID.

3. In Applicazioni selezionare Registrazioni app> Nuova registrazione.

   

4. Immettere un nome visualizzato per l'applicazione. Ad esempio: verificabile-credentials-app.

5. Per Tipi di account supportati, selezionare Account solo in questa directory organizzativa (Solo directory predefinita - Tenant singolo).For Supported account types, select Accounts in this organizational directory only (Default Directory only - Single tenant)).

6. Selezionare Registra per creare l'applicazione.

   

Concedere le autorizzazioni per ottenere i token di accesso

In questo passaggio si concedono le autorizzazioni all'entità servizio Richiesta servizio credenziali verificabili.

Per aggiungere le autorizzazioni necessarie, seguire questa procedura:

1. Rimanere nella pagina dei dettagli dell'applicazione verificabile-credentials-app . Seleziona Autorizzazioni API>Aggiungi un'autorizzazione.

   

2. Seleziona API utilizzate dall'organizzazione.

3. Cercare l'entità servizio Richiesta servizio credenziali verificabili e selezionarla.

   

4. Scegliere Autorizzazione applicazionee espandere VerificaableCredential.Create.All.

   

5. Selezionare Aggiungi autorizzazioni.

6. Selezionare Concedi consenso amministratore per <il nome> del tenant.

È possibile scegliere di concedere separatamente le autorizzazioni di rilascio e presentazione se si preferisce separare gli ambiti in applicazioni diverse.

Registrare l'ID decentralizzato e verificare la proprietà del dominio

Dopo l'installazione di Azure Key Vault e il servizio ha una chiave di firma, è necessario completare il passaggio 2 e 3 nella configurazione.

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra come Amministratore globale.
2. Selezionare ID verificato.
3. Nel menu a sinistra selezionare Panoramica.
4. Dal menu centrale selezionare Registra ID decentralizzato per registrare il documento DID, come indicato nell'articolo Come registrare l'ID decentralizzato per did:web. È necessario completare questo passaggio prima di poter continuare a verificare il dominio.
5. Dal menu centrale selezionare Verifica la proprietà del dominio per verificare il dominio, come indicato nell'articolo Verificare la proprietà del dominio per l'identificatore decentralizzato (DID)

Dopo aver completato correttamente i passaggi di verifica e avere segni di spunta verdi su tutti e tre i passaggi, si è pronti per continuare con l'esercitazione successiva.

Passaggi successivi

• Informazioni su come rilasciare le credenziali ID verificato di Microsoft Entra da un'applicazione Web.
• Informazioni su come verificare le credenziali ID verificato di Microsoft Entra.