次の方法で共有


Microsoft Entra の検証済み ID の詳細設定

検証済み ID の詳細設定は、検証済み ID を設定する従来の方法であり、管理者が Azure KeyVault を構成し、分散型 ID の登録とドメインの検証を行う必要があります。

このチュートリアルでは、詳細設定を使用して、検証可能な資格情報サービスを使用するように Microsoft Entra テナントを構成する方法について説明します。

具体的には、次の方法を学習します。

  • Azure Key Vault インスタンスを作成する。
  • 詳細設定を使用して、検証済み ID サービスを構成する。
  • アプリケーションを Microsoft Entra ID に登録します。

次の図は、確認済み ID のアーキテクチャと、構成するコンポーネントです。

Microsoft Entra 確認済み ID アーキテクチャを表す図。

前提条件

Key Vault を作成します

Note

Verified ID サービスのセットアップに使用する Azure Key Vault には、アクセス許可モデル用の Key Vault アクセス ポリシー が必要です。 現在、Key Vault に Azure ロールベースのアクセス制御がある場合には制限があります

Azure Key Vault は、シークレットとキーを安全に保管してアクセスを管理できるようにするクラウド サービスです。 確認済み ID サービスでは、公開キーと秘密キーが Azure Key Vault に格納されます。 これらのキーは、資格情報の署名と検証に使用されます。

Azure Key Vault インスタンスを使用できない場合は、次の手順に従って Azure portal を使用してキー コンテナーを作成します。Verified ID サービスのセットアップに使用する Azure Key Vault には、Azure Key Vault 作成時に現在デフォルトとなっている Azure ロール ベースのアクセス制御ではなく、アクセス許可モデルの Key Vault アクセス ポリシーが必要です。

Note

既定では、コンテナーを作成したアカウントのみにアクセス権があります。 確認済み ID サービスはキー コンテナーにアクセスする必要があります。 キー コンテナーで認証を行って、構成時に使われるアカウントがキーを作成および削除できるようにする必要があります。 構成中に使われるアカウントには、確認済み ID のドメイン バインドを作成できるように、署名のためのアクセス許可も必要です。 テスト中に同じアカウントを使用する場合は、コンテナーの作成者に既定で付与されるアクセス許可のほかに、署名するためのアクセス許可をそのアカウントに付与するように既定のポリシーを変更してください。

キー コンテナーへのアクセスを管理する

検証済み ID を設定するには、その前に Key Vault のアクセス権を提供する必要があります。 これは、指定された管理者が Key Vault のシークレットとキーに対して操作を実行できるかどうかを定義します。 検証済み ID 管理者アカウントと、作成した Request Service API プリンシパルの両方に、キー コンテナーに対するアクセス許可を提供します。

キー コンテナーを作成すると、検証可能な資格情報によって、メッセージ セキュリティを確保するために使用される一連のキーが生成されます。 これらのキーは、Key Vault に格納されます。 キー セットは、検証可能な資格情報の署名、更新、および回復に使用します。

確認済み ID を設定する

検証可能な資格情報を設定する方法を示すスクリーンショット。

確認済み ID を設定するには、次の手順のようにします。

  1. Microsoft Entra 管理センターグローバル管理者としてサインインします。

  2. [検証済み ID] を選びます。

  3. 左側のメニューから、[設定] を選択します。

  4. 中央のメニューで、[組織の設定を構成] を選びます。

  5. 次の情報を指定して、組織を設定します。

    1. 組織名: 検証済み ID で自分のビジネスを参照する名前を入力します。 顧客にこの名前は表示されません。

    2. 信頼される側のドメイン: 分散化 ID (DID) ドキュメントのサービス エンドポイントに追加されるドメインを入力します。 ドメインは、ユーザーがお客様のビジネスについて知っている具体的な何かに DID をバインドするものです。 Microsoft Authenticator とその他のデジタル ウォレットでは、DID がドメインにリンクされていることを検証するために、この情報を使用します。 DID を検証できる場合、ウォレットには検証済み記号が表示されます。 ウォレットで DID を検証できない場合、検証できない資格情報が組織によって発行されたことがユーザーに通知されます。

      重要

      ドメインはリダイレクトしないようにします。 そうしないと、DID とドメインはリンクできません。 ドメインに HTTPS を使用してください。 (例: https://did.woodgrove.com)。

    3. キー コンテナー: 前に作成したキー コンテナーを選択します。

  6. [保存] を選択します。

    検証可能な資格情報を設定する方法の最初の手順を示すスクリーンショット。

アプリケーションを Microsoft Entra ID に登録します

アプリケーションは、資格情報を発行または検証できるように Microsoft Entra 確認済み ID を呼び出す必要があるときに、アクセス トークンを取得する必要があります。 アクセス トークンを取得するには、アプリケーションを登録し、確認済み ID 要求サービスに対する API アクセス許可を付与する必要があります。 たとえば、Web アプリケーションには次の手順を使用します。

  1. Microsoft Entra 管理センターグローバル管理者としてサインインします。

  2. [Microsoft Entra ID] を選びます。

  3. [アプリケーション][アプリの登録]>[新規登録] の順に選択します。

    新しいアプリケーションの登録を選択する方法を示すスクリーンショット。

  4. アプリケーションの表示名を入力します。 たとえば、verifiable-credentials-app と指定します。

  5. [サポートされているアカウントの種類] で、 [Accounts in this organizational directory only (Default Directory only - Single tenant)](この組織ディレクトリのアカウントのみ (既定のディレクトリのみ - シングル テナント)) を選択します。

  6. [登録] を選択して、アプリケーションを作成します。

    検証可能な資格情報アプリを登録する方法を示すスクリーンショット。

アクセス トークンを取得するためにアクセス許可を付与する

この手順では、検証可能な資格情報サービス要求のサービス プリンシパルにアクセス許可を付与します。

必要なアクセス許可を追加するには、次の手順に従います。

  1. verifiable-credentials-app アプリケーション詳細ページで作業を続けます。 [API のアクセス許可][アクセス許可の追加] の順に選択します。

    検証可能な資格情報アプリにアクセス許可を追加する方法を示すスクリーンショット。

  2. [所属する組織で使用している API] を選択します。

  3. 検証可能な資格情報サービス要求サービス プリンシパルを検索し、選択します。

    サービス プリンシパルを選択する方法を示すスクリーンショット。

  4. [アプリケーションのアクセス許可] を選択し、 [VerifiableCredential.Create.All] を展開します。

    必要なアクセス許可を選択する方法を示すスクリーンショット。

  5. [アクセス許可の追加] を選択します.

  6. [<テナント名> に管理者の同意を与えます] を選択します。

範囲を異なるアプリケーションに分離する場合、発行とプレゼンテーションのアクセス許可を別々に付与することを選択できます。

発行またはプレゼンテーションの詳細なアクセス許可を選択する方法を示すスクリーンショット。

分散化 ID を登録してドメインの所有権を確認する

Azure Key Vault がセットアップされ、サービスに署名キーが設定されたら、セットアップの手順 2 と 3 を完了する必要があります。

検証可能な資格情報を設定する方法の手順 2 と 3 示すスクリーンショット。

  1. Microsoft Entra 管理センターグローバル管理者としてサインインします。
  2. [検証可能な資格情報] を選択します。
  3. 左側のメニューから、[設定] を選択します。
  4. 中央のメニューから、記事「did:web に分散化 ID を登録する方法」の手順に従って、[Register decentralized ID] (分散化 ID の登録) を選択して DID ドキュメントを登録します。 ドメインの確認を続けるには、先にこの手順を完了しておく必要があります。 信頼システムとして did:ion を選択した場合は、この手順はスキップしてください。
  5. 中央のメニューで、記事「分散化識別子 (DID) に対するドメイン所有権を確認する」の手順に従って、[ドメインの所有権を確認します] を選択してドメインを確認します

検証手順が正常に完了し、3 つすべての手順に緑のチェックマークが付いたら、次のチュートリアルに進む準備が整っています。

次の手順