Perguntas Mais Frequentes (FAQ)

Esta página contém perguntas frequentes sobre Credenciais Verificáveis e Identidade Descentralizada. As perguntas estão organizadas nas seguintes secções.

• Vocabulário e noções básicas
• Questões conceituais sobre identidade descentralizada

Noções básicas

O que é um DID?

Os identificadores descentralizados (DIDs) são identificadores exclusivos usados para proteger o acesso a recursos, assinar e verificar credenciais e facilitar a troca de dados entre aplicativos. Ao contrário dos nomes de usuário e endereços de e-mail tradicionais, entidades e possuir e controlar os próprios DIDs (seja uma pessoa, dispositivo ou empresa). Os DIDs existem independentemente de qualquer organização externa ou intermediário confiável. A especificação do identificador descentralizado do W3C explica os DIDs com mais detalhes.

Por que precisamos de um DID?

A confiança digital exige fundamentalmente que os participantes possuam e controlem suas identidades, e a identidade começa no identificador. Em uma era de violações diárias e em larga escala do sistema e ataques a honeypots de identificadores centralizados, a descentralização da identidade está se tornando uma necessidade crítica de segurança para consumidores e empresas. Os indivíduos que possuem e controlam as suas identidades podem trocar dados e provas verificáveis. Um ambiente de credenciais distribuídas permite a automação de muitos processos de negócios que atualmente são manuais e trabalhosos intensivos.

O que é uma credencial verificável?

As credenciais fazem parte do nosso dia-a-dia. As carteiras de motorista são usadas para afirmar que somos capazes de operar um veículo motorizado. Os diplomas universitários podem ser usados para afirmar o nosso nível de educação e os passaportes emitidos pelo governo permitem-nos viajar entre países e regiões. As Credenciais Verificáveis fornecem um mecanismo para expressar esses tipos de credenciais na Web de uma forma criptograficamente segura, respeitando a privacidade e verificável por máquina. A especificação de credenciais verificáveis do W3C explica as credenciais verificáveis em mais detalhes.

Questões conceptuais

O que acontece quando um utilizador perde o telemóvel? Conseguirão recuperar a sua identidade?

Existem várias maneiras de oferecer um mecanismo de recuperação aos usuários, cada uma com suas próprias compensações. A Microsoft atualmente avalia opções e projeta abordagens de recuperação que oferecem conveniência e segurança, respeitando a privacidade e a autosoberania do usuário.

Como um usuário pode confiar em uma solicitação de um emissor ou verificador? Como eles sabem que um DID é o verdadeiro DID para uma organização?

Implementamos a especificação de configuração DID bem conhecida da Decentralized Identity Foundation para conectar um DID a um sistema existente altamente conhecido, nomes de domínio. Cada DID criado usando a ID Verificada do Microsoft Entra tem a opção de incluir um nome de domínio raiz codificado no Documento DID. Siga o artigo intitulado Vincular seu domínio ao seu identificador distribuído para saber mais sobre domínios vinculados.

Quais são as limitações de tamanho para uma credencial verificável na ID verificada?

• Para pedido de emissão - 1 MB
• Foto na credencial verificável - 1 MB
• Resultado de retorno de chamada 10 MB sem recibo

Quais são os requisitos de licenciamento?

Não há requisitos especiais de licenciamento para emitir credenciais verificáveis.

Como faço para redefinir o serviço Microsoft Entra Verified ID?

A redefinição requer que você desative e volte a entrar no serviço de ID Verificada do Microsoft Entra. Sua configuração de credenciais verificáveis existente é redefinida e seu locatário obtém um novo DID para usar durante a emissão e apresentação.

1. Siga as instruções de exclusão .
2. Examine as etapas de implantação do Microsoft Entra Verified ID para reconfigurar o serviço.
   1. Se você estiver configurando manualmente a ID Verificada, escolha um local para que seu Cofre da Chave do Azure esteja na mesma região ou na região mais próxima. Escolher a mesma região evita problemas de desempenho e latência.
3. Conclua a configuração do seu serviço de credenciais verificáveis. Você precisa recriar suas credenciais.
   1. Você também precisa emitir novas credenciais porque seu locatário agora possui um novo DID.

Como posso verificar a região do meu inquilino do Microsoft Entra?

1. No portal do Azure, vá para Microsoft Entra ID para a assinatura que você usa para sua implantação de ID Verificada do Microsoft Entra.

2. Em Gerir, selecione Propriedades.

   

3. Veja o valor para País ou Região. Se o valor for um país ou uma região na Europa, o serviço Microsoft Entra Verified ID está configurado na Europa.

O Microsoft Entra Verified ID suporta ION como seu método DID?

A ID verificada suportava o método DID:ION em pré-visualização até dezembro de 2023, após o que foi descontinuado.

Como faço para mover para did:web de did:ion?

Se quiser mudar para did:web a partir do , pode seguir estes passos através da did:ion de administrador. A mudança de autoridade requer a reemissão de todas as credenciais:

Exportar definições de credenciais did:ion existentes

1. Para a did:ion autoridade, use o portal para copiar toda a exibição e definição de regras das credenciais existentes.
2. Se você tiver mais de uma autoridade, precisará usar as APIs de administrador se a did:ion autoridade não for a autoridade padrão. No locatário da ID verificada, conecte-se usando a API de administrador, liste as autoridades para obter a ID da autoridade para a did:ion autoridade. Em seguida, use a API de contratos de lista para exportá-los e salvar o resultado em um arquivo para que você possa recriá-los.

Criando uma nova autoridade did:web

1. Usando a API integrada , crie a nova did:web autoridade. Como alternativa, se o seu locatário tiver apenas uma autoridade did:ion, você também pode executar uma desativação do serviço seguida de uma operação de aceitação para reiniciar com as configurações de ID Verificada. Neste caso, você pode escolher entre configuração rápida e manual .
2. Se você estiver configurando uma autoridade did:web usando a API Admin, precisará chamar gerar documento DID para gerar seu documento did e chamar gerar documento conhecido e, em seguida, carregar arquivos JSON para o respetivo caminho conhecido.

Recriar definições de credenciais

Depois de criar sua nova did:web autoridade, você precisa recriar suas definições de credenciais. Você pode fazer isso através do portal se optou por não participar e reintegrou, ou você precisa usar a API de criação de contrato para recriá-los.

Atualizar aplicativos existentes

1. Atualize qualquer um dos seus aplicativos existentes (aplicativos emissores/verificadores) para usar o novo did:web authority. Para aplicativos de emissão, atualize também a URL do manifesto de credenciais.
2. Emissão de testes e fluxos de verificação da nova autoridade did:web. Uma vez que os testes sejam bem-sucedidos, prossiga para a próxima etapa para a exclusão da autoridade did:ion.

Excluir fez:autoridade de iões

Se você não optou por não participar e reintegrou, você precisa remover sua antiga did:ion autoridade. Use a API de autoridade de exclusão para excluir a autoridade did:ion.

Se eu reconfigurar o serviço Microsoft Entra Verified ID, preciso revincular meu DID ao meu domínio?

Sim, depois de reconfigurar o serviço, o locatário tem um novo uso DID para emitir e verificar credenciais verificáveis. Você precisa associar seu novo DID ao seu domínio.

É possível solicitar à Microsoft para recuperar "DIDs antigos"?

Não, neste momento não é possível manter o DID do seu inquilino depois de ter optado por não participar no serviço.

Eu não posso usar ngrok, o que eu faço?

Os tutoriais para implantar e executar os exemplos descrevem o ngrok uso da ferramenta como um proxy de aplicativo. Essa ferramenta às vezes é impedida por administradores de TI de ser usada em redes corporativas. Uma alternativa é implantar o exemplo no Serviço de Aplicativo do Azure e executá-lo na nuvem. Os links a seguir ajudam você a implantar o respetivo exemplo no Serviço de Aplicativo do Azure. O nível de preço gratuito é suficiente para hospedar a amostra. Para cada tutorial, você precisa começar criando primeiro a instância do Serviço de Aplicativo do Azure, depois ignorar a criação do aplicativo, pois já tem um aplicativo, e continuar o tutorial com a implantação.

• Dotnet - Publicar no Serviço de Aplicativo
• Nó - Implantar no Serviço de Aplicativo
• Java - Implementar no Serviço de Aplicativo. Você precisa adicionar o plug-in maven para o Serviço de Aplicativo do Azure ao exemplo.
• Python - Implantar usando o Visual Studio Code

Independentemente do idioma do exemplo que você está usando, o nome https://something.azurewebsites.net de host do Azure AppService é usado como o ponto de extremidade público. Você não precisa configurar algo extra para fazê-lo funcionar. Se você fizer alterações no código ou na configuração, precisará reimplantar o exemplo no Azure AppServices. A solução de problemas/depuração não é tão fácil quanto executar o exemplo em sua máquina local, onde os rastreamentos na janela do console mostram erros, mas você pode obter quase o mesmo usando o Log Stream.

Proteção de rede para eventos de retorno de chamada

A API do Serviço de Solicitação usa retornos de chamada para uma URL fornecida pelo aplicativo de terceira parte confiável. Este URL tem de estar acessível a partir do sistema de Identificação Verificada para que os retornos de chamada sejam recebidos. Os retornos de chamada são provenientes da infraestrutura do Azure na mesma região que o locatário do Microsoft Entra. Se você precisar fortalecer sua rede, você tem duas opções.

• Use as tagsde serviço de firewall do Azure AzureCloud.
• Use o intervalo CIDR publicado para configurar seu firewall. Você precisa usar o AzureCloud.regiões que correspondem ao local onde o locatário do Microsoft Entra está implantado para configurar o firewall e permitir a passagem do tráfego de retorno de chamada da API do Serviço de Solicitação. Por exemplo, se o seu locatário estiver na UE, você deve escolher todos os intervalos CIDR do AzureCloud.northeurope, .westeurope, etc., para a configuração dos seus firewalls.

Digitalização do código QR

Na documentação, a instrução scan the QR code refere-se à verificação com o aplicativo móvel Microsoft Authenticator, salvo indicação em contrário. É possível escanear o código QR com o aplicativo da câmera do celular, que então inicia o Microsoft Authenticator. Para que isso funcione, o manipulador de protocolo para openid-vc:// deve ser registrado para o Microsoft Authenticator. Se outro aplicativo móvel tiver sido registrado para ele, o Autenticador não será aberto.

Nos telemóveis Android, os problemas conhecidos de digitalização do código QR são:

• No Android 9 e versões mais antigas, digitalizar o código QR com o aplicativo da câmera não funciona, e não há outra solução alternativa além de usar o aplicativo Microsoft Authenticator para digitalizá-lo.
• Em telefones Android com perfis profissionais e pessoais, cada perfil tem sua própria instância do aplicativo Microsoft Authenticator. Se você tiver uma credencial no aplicativo Autenticador do perfil de trabalho e tentar escanear um código QR usando o aplicativo da câmera do perfil pessoal, o aplicativo Autenticador pessoal será aberto. Isso causa um erro porque a credencial está no perfil de trabalho, não no pessoal. A mensagem de erro dirá: "Você terá que adicionar esta ID verificada e tentar novamente."

Próximos passos

• Personalizar as suas credenciais verificáveis