Поделиться через

Настройка проверяемых учетных данных

  • Статья

Определения проверяемых учетных данных (VC) состоят из двух компонентов: определения отображения и определения правил . Определение отображения определяет фирменную символику удостоверения и стиль заявлений. Определение правил определяет, какие пользователи должны предоставить перед получением проверяемых учетных данных.

В этой статье объясняется, как изменить оба типа определений в соответствии с требованиями вашей организации.

Определение: визуальное представление учетных данных кошелька

Проверенный идентификатор Microsoft Entra предлагает ограниченный набор параметров, которые можно использовать для отражения вашего бренда. В этой статье содержатся инструкции по настройке учетных данных и рекомендации по проектированию учетных данных, которые выглядят отлично после их выдачи пользователям.

Microsoft Authenticator, будучи децентрализованным кошельком удостоверений, отображает проверяемые учетные данные, выданные пользователям в качестве карточек. Администратор VC может выбрать цвета карточек, значки и текстовые строки, чтобы соответствовать фирменной символике вашей организации.

снимок экрана: карточка проверенных учетных данных в Authenticator, с выделенными ключевыми элементами.

Карточки также содержат настраиваемые поля. Эти поля можно использовать для того, чтобы пользователи знали назначение карточки, атрибуты, которые он содержит, и многое другое.

Создайте определение отображения учетных данных

Определение отображения — это простой документ JSON, описывающий, как приложение кошелька должно отображать содержимое проверяемых учетных данных.

Заметка

Эта модель отображения в настоящее время используется только Microsoft Authenticator.

Определение отображения имеет следующую структуру. URI логотипа, если указан в виде URL, должен быть общедоступным в интернете.

{
    "locale": "en-US",
    "card": {
      "title": "Verified Credential Expert",
      "issuedBy": "Microsoft",
      "backgroundColor": "#000000",
      "textColor": "#ffffff",
      "logo": {
        "uri": "https://didcustomerplayground.z13.web.core.windows.net/VerifiedCredentialExpert_icon.png",
        "description": "Verified Credential Expert Logo"
      },
      "description": "Use your verified credential to prove to anyone that you know all about verifiable credentials."
    },
    "consent": {
      "title": "Do you want to get your Verified Credential?",
      "instructions": "Sign in with your account to get your card."
    },
    "claims": [
      {
        "claim": "vc.credentialSubject.firstName",
        "label": "First name",
        "type": "String"
      },
      {
        "claim": "vc.credentialSubject.lastName",
        "label": "Last name",
        "type": "String"
      }
    ]
}

Дополнительные сведения о свойствах см. в разделе тип displayModel.

Определение правил: требования от пользователя

Определение правил — это простой документ JSON, описывающий важные свойства проверяемых учетных данных. В частности, в нем описывается, как используются утверждения для заполнения проверяемых учетных данных и типа учетных данных.

{
  "attestations": {
      ...
  },
  "validityInterval":  2592000,
  "vc": {
    "type": [
      "VerifiedCredentialExpert"
    ]
  }
}

Аттестации

Следующие четыре типа аттестации в настоящее время доступны для настройки в определении правил. Существуют различные способы предоставления утверждений, используемых службой выдачи идентификаторов Microsoft Entra Verified ID, для вставки в удостоверяемые учетные данные и подтверждения этой информации посредством вашего децентрализованного идентификатора (DID). В определении правил можно использовать несколько типов аттестации.

  • маркер идентификатора. Если этот параметр настроен, необходимо предоставить URI конфигурации OpenID Connect и включить утверждения, которые должны быть включены в проверяемые учетные данные. Пользователям предлагается войти в приложение Authenticator, чтобы выполнить это требование и добавить связанные утверждения из учетной записи. Сведения о настройке этого параметра см. в этом руководстве по эксплуатации

  • подсказка идентификационного токена: В примере приложения и учебного пособия используется подсказка идентификационного токена. Если этот параметр настроен, приложение доверяющей стороны должно предоставить утверждения, которые должны быть включены в проверяемые учетные данные в запросе API службы выдачи запросов. Откуда приложение доверяющей стороны получает утверждения, зависит от самого приложения, но они могут поступать из текущего сеанса входа, из внутренних CRM-систем или даже из самоутвержденных данных, введенных пользователем. Сведения о настройке этого параметра см. в этом руководстве по

  • проверяемые учетные данные. Конечный результат потока выдачи заключается в создании проверяемых учетных данных, но вы также можете попросить пользователя представить проверяемые учетные данные для выдачи. Определение правил может принимать определенные утверждения из представленных проверяемых удостоверений и включать эти утверждения в вновь выданные проверяемые удостоверения вашей организации. Для настройки этого параметра см. это пошаговое руководство

  • самозаверяемых утверждений: если выбран этот параметр, пользователь может вводить сведения непосредственно в Authenticator. В настоящее время строки являются единственными поддерживаемыми входными данными для самозаверяемых утверждений. Сведения о настройке этого параметра см. в этом руководстве по

Для получения дополнительной информации о модели JSON правил смотрите в разделе тип модели правил.

Типы учетных данных

Все проверяемые учетные данные должны объявлять тип в определении правил . Тип учетных данных отличает схему проверяемых учетных данных от других учетных данных и обеспечивает взаимодействие между издателями и проверятелями. Чтобы указать тип учетных данных, укажите один или несколько типов учетных данных, удовлетворяющих учетным данным. Каждый тип представлен уникальной строкой. Часто универсальный код ресурса (URI) используется для обеспечения глобальной уникальности. Идентификатор ресурса (URI) не обязательно должен быть адресуемым. Он рассматривается как строка. Например, в дипломе, выданном Университетом Contoso, могут быть указаны следующие типы:

Тип Цель
https://schema.org/EducationalCredential Объявляет, что дипломы, выданные Университетом Contoso, содержат атрибуты, определенные объектом schema.org EducationaCredential.
https://schemas.ed.gov/universityDiploma2020 Объявляет, что дипломы, выданные Университетом Contoso, содержат атрибуты, определенные Министерством образования США.
https://schemas.contoso.edu/diploma2020 Объявляет, что дипломы, выданные Университетом Contoso, содержат атрибуты, определенные Университетом Contoso.

Объявляя три типа дипломов, Contoso может выдавать учетные данные, удовлетворяющие разным запросам проверяющих. Банк может запросить набор EducationCredentialот пользователя, и диплом можно использовать для удовлетворения запроса. Или Ассоциация выпускников Университета Contoso может запросить учетные данные типа https://schemas.contoso.edu/diploma2020, и диплом может также удовлетворить этот запрос.

Чтобы обеспечить взаимодействие учетных данных, рекомендуется тесно сотрудничать с соответствующими организациями, чтобы определить типы учетных данных, схемы и URI для использования в отрасли. Многие отраслевые органы предоставляют рекомендации по структуре официальных документов, которые можно изменить для определения содержимого проверяемых учетных данных. Вы также должны тесно взаимодействовать с проверятелями ваших учетных данных, чтобы понять, как они намерены запрашивать и использовать проверяемые учетные данные.

Дальнейшие действия

Теперь, когда у вас есть лучшее понимание проверяемых удостоверений и способов создания собственных, см. следующую информацию: