Verificar a propriedade do domínio para o seu identificador descentralizado

Neste artigo, analisamos as etapas necessárias para verificar sua propriedade do nome de domínio que você está usando para seu identificador descentralizado (DID).

Pré-requisitos

Para verificar a propriedade do domínio para o seu DID, você precisa:

• Conclua Introdução e o conjunto de tutoriais subsequente.

Verificar a propriedade do domínio e distribuir o arquivo did-configuration.json

O domínio do qual você verifica a propriedade do seu DID é definido na seção de visão geral. O domínio precisa ser um domínio sob seu controle e deve estar no formato https://www.example.com/.

1. No portal do Azure, vá para a página ID Verificada .

2. Selecione Configuração>Verificar propriedade do domínio e selecione Verificar para o domínio.

3. Copie ou transfira o did-configuration.json ficheiro.

   

4. Hospede o did-configuration.json arquivo no local especificado. Por exemplo, se você especificou o domínio https://www.example.com, o arquivo precisa ser hospedado em https://www.example.com/.well-known/did-configuration.json. Não pode haver outro caminho no URL, exceto o .well-known path nome.

5. Quando did-configuration.json estiver disponível publicamente no URL, verifique-o .well-known/did-configuration.json selecionando Atualizar status de verificação.

   

6. Teste, emita ou apresentação com o Microsoft Authenticator para validar. Verifique se a configuração Avisar sobre aplicativos não seguros no Autenticador está ativada. A configuração está ativada por padrão.

Como posso verificar se a verificação está a funcionar?

O portal verifica se did-configuration.json está acessível pela Internet e é válido quando você seleciona Atualizar status de verificação. O autenticador não respeita redirecionamentos HTTP. Você também deve considerar verificar se pode solicitar essa URL em um navegador para evitar erros como não usar HTTPS, um certificado SSL incorreto ou a URL não ser pública. Se o did-configuration.json arquivo não puder ser solicitado anonimamente em um navegador ou por meio de ferramentas como curl, sem avisos ou erros, o portal também não poderá concluir a etapa de status Atualizar verificação.

Nota

Se você estiver tendo problemas para atualizar seu status de verificação, você pode solucioná-lo executando curl -Iv https://yourdomain.com/.well-known/did-configuration.json em uma máquina com Ubuntu OS. Subsistema Windows para Linux com Ubuntu também funciona. Se a curvatura falhar, atualizar o status de verificação não funcionará.

Por que preciso verificar a propriedade do domínio do nosso DID?

Um DID começa como um identificador que não está ancorado em sistemas existentes. Um DID é útil porque um usuário ou organização pode possuí-lo e controlá-lo. Se uma entidade que interage com a organização não sabe "a quem" o DID pertence, então o DID não é tão útil.

Vincular um DID a um domínio resolve o problema de confiança inicial, permitindo que qualquer entidade verifique criptograficamente a relação entre um DID e um domínio.

Como a Identificação Verificada vincula DIDs e domínios?

A ID verificada segue a conhecida especificação de configuração DID para criar o link. O serviço de credenciais verificáveis vincula seu DID e domínio. O serviço inclui as informações de domínio que você forneceu em seu DID e gera o arquivo de configuração conhecido:

1. A ID verificada usa as informações de domínio fornecidas durante a configuração da organização para escrever um ponto de extremidade de serviço no documento DID. Todas as partes que interagem com o seu DID podem ver o domínio ao qual o seu DID proclama estar associado.

   "service": [
     {
       "id": "#linkeddomains",
       "type": "LinkedDomains",
       "serviceEndpoint": {
         "origins": [
           "https://verifiedid.contoso.com/"
         ]
       }
     }
   ]
   

2. O serviço de credenciais verificáveis na ID verificada gera um recurso de configuração compatível e conhecido que você deve hospedar em seu domínio. O arquivo de configuração inclui uma credencial verificável auto-emitida do tipo DomainLinkageCredentialde credencial, assinada com seu DID, que tem uma origem do seu domínio. Aqui está um exemplo do arquivo de configuração armazenado na URL do domínio raiz.

   {
     "@context": "https://identity.foundation/.well-known/contexts/did-configuration-v0.0.jsonld",
     "linked_dids": [
       "jwt..."
     ]
   }
   

Experiência do utilizador na carteira

Quando um usuário está passando por um fluxo de emissão ou apresentando uma credencial verificável, ele deve saber algo sobre a organização e seu DID. O autenticador valida a relação de um DID com o domínio no documento DID e apresenta aos usuários duas experiências diferentes, dependendo do resultado.

Domínio verificado

Antes que o Autenticador exiba um ícone Verificado , alguns pontos devem ser verdadeiros:

• O DID que assina a solicitação SIOP (Open ID) auto-emitida deve ter um ponto de extremidade de serviço para um domínio vinculado.
• O domínio raiz não usa um redirecionamento e usa HTTPS.
• O domínio listado no documento DID tem um recurso bem conhecido resolúvel.
• A credencial verificável do recurso conhecido é assinada com o mesmo DID que foi usado para assinar o SIOP que o Autenticador usou para iniciar o fluxo.

Se todos os pontos mencionados anteriormente forem verdadeiros, o Autenticador exibirá uma página verificada e incluirá o domínio que foi validado.

Domínio não verificado

Se algum dos pontos anteriores não for verdadeiro, o Autenticador exibirá um aviso de página inteira indicando que o domínio não foi verificado. O usuário é avisado de que está no meio de uma transação potencialmente arriscada e deve proceder com cautela. Podem ter optado por este caminho porque:

• O DID não está ancorado a um domínio.
• A configuração não foi configurada corretamente.
• O DID com o qual o usuário está interagindo pode ser mal-intencionado e, na verdade, não pode provar que ele possui o domínio vinculado.

É muito importante que você vincule seu DID a um domínio que seja reconhecível pelo usuário.

Como faço para atualizar o domínio vinculado no meu DID?

Com o sistema de confiança na Web, não há suporte para a atualização do domínio vinculado. Você tem que optar por sair e embarcar novamente.

Domínio vinculado facilitado para desenvolvedores

Nota

O documento DID deve estar disponível publicamente para que o registo DID seja bem-sucedido.

A maneira mais fácil para um desenvolvedor obter um domínio para usar para um domínio vinculado é usar o recurso de site estático do Armazenamento do Azure. Você não pode controlar qual é o nome de domínio, exceto que ele contém o nome da conta de armazenamento como parte de seu nome de host.

Para configurar rapidamente um domínio a ser usado para um domínio vinculado:

1. Criar uma conta de armazenamento. Durante a criação, selecione StorageV2 (conta v2 de uso geral) e Armazenamento com redundância local (LRS).
2. Vá para a conta de armazenamento e selecione Site estático no menu mais à esquerda e ative Site estático. Se não conseguir ver o item de menu Web estático , não criou uma conta de armazenamento V2 .
3. Copie o nome do ponto de extremidade primário que aparece depois de salvar. Este valor é o seu nome de domínio. Parece algo como https://<your-storageaccountname>.z6.web.core.windows.net/.

Quando é hora de carregar o did-configuration.json ficheiro:

1. Vá para a conta de armazenamento e selecione Contêineres no menu mais à esquerda. Em seguida, selecione o contêiner chamado $web.
2. Selecione Carregar e selecione o ícone da pasta para encontrar o seu ficheiro.
3. Antes de carregar, abra a seção Avançado e especifique .well-known na caixa de texto Carregar para pasta.
4. Carregue o ficheiro CSV .

Agora você tem seu arquivo disponível publicamente em um URL que se parece https://<your-storageaccountname>.z6.web.core.windows.net/.well-known/did-configuration.jsoncom .

Próximos passos

• Personalize a sua ID Verificada do Microsoft Entra