Partilhar via

Configuração avançada de ID verificada do Microsoft Entra

  • Artigo

A configuração avançada de ID verificada é a maneira clássica de configurar a ID verificada, onde você, como administrador, configura manualmente vários componentes. Isso inclui configurar o Azure Key Vault, registrar sua ID descentralizada e verificar seu domínio. A configuração avançada oferece controle total sobre o processo de configuração, garantindo que cada detalhe atenda aos requisitos específicos da sua organização. É ideal para empresas que precisam de uma configuração personalizada.

A configuração avançada envolve as seguintes etapas:

  1. Configurar o Azure Key Vault: armazene e gerencie com segurança as chaves usadas para assinar e verificar credenciais.
  2. Registar ID Descentralizado: Crie e registe o seu identificador descentralizado (DID) para estabelecer uma identidade fiável.
  3. Verificar domínio: Certifique-se de que o seu domínio está corretamente vinculado ao seu DID, proporcionando uma fonte confiável para as suas credenciais.

Neste tutorial, você aprenderá a:

  • Criar uma instância do Azure Key Vault.
  • Configure o serviço de ID Verificada usando a configuração avançada.
  • Registar uma aplicação no Microsoft Entra ID

O diagrama a seguir ilustra a arquitetura de ID verificada e o componente que você configura.

Diagrama que ilustra a arquitetura de ID Verificada do Microsoft Entra.

Pré-requisitos

  • Você precisa de um locatário do Azure com uma assinatura ativa. Se você não tiver uma assinatura do Azure, crie uma gratuitamente.
  • Verifique se você tem a permissão de Administrador Global ou de administrador de política de autenticação para o diretório que deseja configurar. Se você não for o Administrador Global, precisará da permissão de administrador do aplicativo para concluir o registro do aplicativo, incluindo a concessão de consentimento de administrador.
  • Certifique-se de que tem a função de colaborador para a subscrição do Azure ou para o grupo de recursos onde está a implementar o Azure Key Vault.
  • Certifique-se de fornecer permissões de acesso para o Cofre da Chave. Para obter mais informações, consulte Fornecer acesso a chaves, certificados e segredos do Cofre da Chave com um controle de acesso baseado em função do Azure.

Criar um cofre de chaves

Nota

O Cofre da Chave do Azure que você usa para configurar o serviço de ID Verificada deve ter a Política de Acesso ao Cofre da Chave para seu modelo de Permissão. Atualmente, há uma limitação se o Cofre da Chave tiver controle de acesso baseado em função do Azure

O Azure Key Vault é um serviço de nuvem que permite o armazenamento seguro e o gerenciamento de acesso de segredos e chaves. O serviço de ID Verificada armazena chaves públicas e privadas no Cofre de Chaves do Azure. Essas chaves são usadas para assinar e verificar credenciais.

Se você não tiver uma instância do Cofre da Chave do Azure disponível, siga estas etapas criar um cofre de chaves usando o portal do Azure. O Cofre de Chaves do Azure que você usa para configurar o serviço Verified ID deve ter Política de Acesso ao Cofre de Chaves como seu modelo de permissões, em vez do controle de acesso baseado em funções do Azure.

Nota

Por padrão, a conta do criador do cofre é a única com acesso. O serviço de ID Verificada precisa de acesso ao cofre de chaves. Você deve autenticar seu cofre de chaves, permitindo que a conta usada durante a configuração crie e exclua chaves. A conta usada durante a configuração também requer permissões para assinar para que possa criar a associação de domínio para ID Verificada. Se você usar a mesma conta durante o teste, modifique a política padrão para conceder a permissão de assinatura da conta, além das permissões padrão concedidas aos criadores do cofre.

Gerenciar o acesso ao cofre de chaves

Antes de configurar a Identificação Verificada, precisa de acesso ao Cofre de Chaves . Forneça permissões de acesso ao cofre de chaves para a conta de administrador de ID Verificada e para a entidade de administração da API de Serviço de Solicitação que você criou.

Depois de criar o cofre de chaves, as Credenciais Verificáveis geram um conjunto de chaves usadas para fornecer segurança de mensagens. Essas chaves são armazenadas no Cofre da Chave. Você usa um conjunto de chaves para assinar credenciais verificáveis.

Configurar a Identificação Verificada

Captura de tela que mostra como configurar credenciais verificáveis.

Para configurar a ID verificada, siga estes passos:

  1. Entre no centro de administração do Microsoft Entra como Administrador Global.

  2. No menu à esquerda, selecione Visão geral em Identificação verificada.

  3. No menu do meio, selecione a guia Configuração e, em seguida, selecione Configuração avançada.

  4. Selecione Definir configurações da organização

  5. Configure sua organização fornecendo as seguintes informações:

    1. Nome da organização: insira um nome para fazer referência à sua empresa nas IDs verificadas. Seus clientes não veem esse nome.

    2. Domínio fidedigno: Introduza um nome de domínio. O nome especificado é adicionado a um ponto de extremidade de serviço no seu documento de Identidade Descentralizada (DID). O domínio é o que liga o seu DID a algo tangível que o usuário pode saber sobre o seu negócio. O Microsoft Authenticator e outras carteiras digitais usam essas informações para validar que seu DID está vinculado ao seu domínio. Se a carteira puder verificar o DID, ela exibirá um símbolo verificado. Se a carteira não puder verificar o DID, informará ao utilizador que o emissor da credencial é uma organização que não conseguiu validar.

      Importante

      O domínio não pode ser um redirecionamento. Caso contrário, o DID e o domínio não poderão ser vinculados. Certifique-se de usar HTTPS para o domínio. Por exemplo: https://did.woodgrove.com. Certifique-se também de que o Modelo de Permissão do Cofre da Chave esteja definido como Política de Acesso ao Cofre.

    3. Cofre de chaves: selecione o cofre de chaves que você criou anteriormente.

  6. Selecione Guardar.

    Captura de tela que mostra como configurar as Credenciais Verificáveis na primeira etapa.

Registar uma aplicação no Microsoft Entra ID

Seu aplicativo precisa obter tokens de acesso quando quiser chamar a ID Verificada do Microsoft Entra para que possa emitir ou verificar credenciais. Para obter tokens de acesso, você precisa registrar um aplicativo e conceder permissão de API para o Serviço de Solicitação de ID Verificada. Por exemplo, use as seguintes etapas para um aplicativo Web:

  1. Entre no centro de administração do Microsoft Entra como Administrador Global.

  2. Selecione Microsoft Entra ID.

  3. Em Aplicações, selecione >

    Captura de tela que mostra como selecionar um novo registro de aplicativo.

  4. Insira um nome de exibição para seu aplicativo. Por exemplo: verifiable-credentials-app.

  5. Em Tipos de conta suportados, selecione Contas somente neste diretório organizacional (Somente diretório padrão - Locatário único).

  6. Selecione Registar para criar a aplicação.

    Captura de tela que mostra como registrar o aplicativo de credenciais verificáveis.

Conceder permissões para obter tokens de acesso

Nesta etapa, você concede permissões à entidade de Serviço de Solicitação de Serviço de Credenciais Verificáveis .

Para adicionar as permissões necessárias, siga estes passos:

  1. Permaneça na página de detalhes do aplicativo de credenciais verificáveis. Selecione Permissões de API>Adicionar uma permissão.

    Captura de tela que mostra como adicionar permissões ao aplicativo de credenciais verificáveis.

  2. Selecione APIs que a minha organização utiliza.

  3. Procure a entidade de serviço de Solicitação de Serviço de Credenciais Verificáveis e selecione-a.

    Captura de tela que mostra como selecionar a entidade de serviço.

  4. Escolha Application Permission e expanda VerifiableCredential.Create.All.

    Captura de tela que mostra como selecionar as permissões necessárias.

  5. Selecione Adicionar permissões.

  6. Selecione Conceder consentimento de administrador para <o nome> do seu inquilino.

Você pode optar por conceder permissões de emissão e apresentação separadamente se preferir segregar os escopos para aplicativos diferentes.

Captura de tela que mostra como selecionar permissões granulares para emissão ou apresentação.

Registre a ID descentralizada e verifique a propriedade do domínio

Depois que o Cofre da Chave do Azure for configurado e o serviço tiver uma chave de assinatura, você deverá concluir as etapas 2 e 3 na configuração.

Captura de tela que mostra como configurar as Credenciais Verificáveis etapa 2 e 3.

  1. Entre no centro de administração do Microsoft Entra como Administrador Global.
  2. Selecione Identificação verificada.
  3. No menu à esquerda, selecione Visão geral.
  4. No menu do meio, selecione Registrar ID descentralizado para registrar seu documento DID, conforme instruções no artigo Como registrar seu ID descentralizado para did:web. Tem de concluir este passo antes de poder continuar a verificar o seu domínio.
  5. No menu do meio, selecione Verificar propriedade do domínio para verificar seu domínio, conforme instruções no artigo Verificar a propriedade do domínio para seu identificador descentralizado (DID)

Depois de concluir com êxito as etapas de verificação e ter marcas de seleção verdes em todas as três etapas, você estará pronto para continuar para o próximo tutorial.

Próximos passos