Настройка средства проверки проверяемых удостоверений Microsoft Entra

В Проверенные учетные данные Microsoft Entra учетных данных из приложения вы узнаете, как выдавать и проверять учетные данные с помощью того же клиента Microsoft Entra. В реальном сценарии, где издатель и проверяющий являются отдельными организациями, проверяющий использует свой собственный клиент Microsoft Entra для проверки учетных данных, выданных другой организацией. С помощью этого учебника мы выполним действия, необходимые для предъявления и проверки вашего первого проверяемого удостоверения — карточки эксперта с проверенным удостоверением.

Как проверяющий вы предоставите привилегии субъектам, у которых есть карточки эксперта с проверенным удостоверением. С помощью этого учебника вы запустите на локальном компьютере пример приложения, которое потребует предъявить карточку эксперта с проверенным удостоверением, а затем проверит ее.

Вы узнаете, как выполнять следующие задачи:

• Скачивание кода примера приложения на локальный компьютер.
• Настройка Проверенные учетные данные Microsoft Entra в клиенте Microsoft Entra
• Сбор сведений об удостоверениях и средах для настройки примера приложения и добавления в него сведений о карточке эксперта с проверенным удостоверением.
• запустить пример приложения и начать процесс выдачи проверяемых удостоверений.

Необходимые компоненты

• Настройка арендатора для службы "Проверенные учетные данные Microsoft Entra".
• Чтобы клонировать репозиторий с примером приложения, установите Git.
• Visual Studio Code, Visual Studio или аналогичный редактор кода.
• .NET 7.0.
• Скачайте ngrok и зарегистрируйтесь для получения бесплатной учетной записи. Если вы не можете использовать ngrok в организации, ознакомьтесь с этим вопросом и ответами.
• Мобильное устройство с последней версией Microsoft Authenticator.

Сбор сведений об арендаторе для настройки примера приложения

После настройки службы проверенного идентификатора Azure AD можно собрать некоторые сведения о среде и настроенных проверяемых удостоверениях. Эти сведения необходимы для настройки примера приложения.

1. В разделе Проверяемое удостоверение выберите Параметры организации.
2. Скопируйте значение параметра Идентификатор арендатора и сохраните его для дальнейшего использования.
3. Скопируйте значение параметра Децентрализованное удостоверение и сохраните его для дальнейшего использования.

На следующем снимке экрана показано, как скопировать необходимые значения:

Скачивание примера кода

Пример приложения .NET доступен в репозитории GitHub. Сначала скачайте пример кода из репозитория GitHub или клонируйте репозиторий на локальный компьютер:

git clone git@github.com:Azure-Samples/active-directory-verifiable-credentials-dotnet.git 

Настройка приложения для проверки проверяемых удостоверений

Создайте секрет клиента для зарегистрированного приложения, которое вы создали. Приложение использует секрет клиента для подтверждения подлинности при запросе токенов.

1. В идентификаторе Microsoft Entra перейдите к Регистрация приложений.

2. Выберите приложение verifiable-credentials-app, которое вы создали ранее.

3. Щелкните имя приложения, чтобы открыть страницу сведений о регистрации приложений.

4. Скопируйте значение параметра Идентификатор приложения (клиента) и сохраните для последующего использования.

   

5. На странице Сведения о регистрации приложений в разделе главного меню Управление выберите Сертификаты и секреты.

6. Щелкните Создать секрет клиента.

   1. В поле Описание введите описание секрета клиента (например, vc-sample-secret).

   2. Для параметра Истекает выберите срок действия секрета (например, "6 месяцев"). Нажмите кнопку Добавить.

   3. Запишите значение секрета в поле Значение. Это значение потребуется на следующем шаге. Это значение больше не будет показано. Его нельзя получить никаким другим способом, поэтому запишите его, как только оно появится.

На этом этапе у вас должны быть все необходимые сведения для настройки примера приложения.

Изменение примера приложения

Мы внесли изменения в код издателя примера приложения, чтобы обновить его, используя URL-адрес проверяемого удостоверения. Это позволяет выдавать проверяемые удостоверения с помощью вашего собственного клиента.

1. В каталоге active-directory-verifiable-credentials-dotnet-main откройте Visual Studio Code. Выберите проект в каталоге 1. asp-net-core-api-idtokenhint.

2. В корневой папке проекта откройте файл appsettings.json. Этот файл содержит сведения об учетных данных в среде проверенного идентификатора Microsoft Entra. Обновите следующие свойства, указав сведения, записанные на предыдущих шагах.

   1. Tenant ID: идентификатор арендатора.
   2. Client ID: идентификатор клиента.
   3. Client Secret: секрет клиента.
   4. DidAuthority: ваш децентрализованный идентификатор
   5. CredentialType: тип учетных данных

   CredentialManifest требуется только для выдачи, поэтому если все, что вы хотите сделать, это презентация, она строго не нужна.

3. Сохраните файл appsettings.json.

В следующем коде JSON показано, как должен выглядеть файл appsettings.json:

{
  "VerifiedID": {
    "Endpoint": "https://verifiedid.did.msidentity.com/v1.0/verifiableCredentials/",
    "VCServiceScope": "3db474b9-6a0c-4840-96ac-1fceb342124f/.default",
    "Instance": "https://login.microsoftonline.com/",
    "TenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
    "ClientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
    "ClientSecret": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
    "CertificateName": "[Or instead of client secret: Enter here the name of a certificate (from the user cert store) as registered with your application]",
    "DidAuthority": "did:web:...your-decentralized-identifier...",
    "CredentialType": "VerifiedCredentialExpert",
    "CredentialManifest":  "https://verifiedid.did.msidentity.com/v1.0/aaaabbbb-0000-cccc-1111-dddd2222eeee/verifiableCredentials/contracts/VerifiedCredentialExpert"
  }
}

Запуск и проверка примера приложения

Теперь вы можете запустить пример приложения, чтобы предъявить и проверить карточку эксперта с поверенным удостоверением.

1. В Visual Studio Code запустите проект Verifiable_credentials_DotNet. или в командной оболочке выполните следующие команды:

   cd active-directory-verifiable-credentials-dotnet\1-asp-net-core-api-idtokenhint
   dotnet build "AspNetCoreVerifiableCredentials.csproj" -c Debug -o .\bin\Debug\net6
   dotnet run
   

2. В другом терминале выполните приведенную ниже команду. Эта команда запускает ngrok, чтобы настроить URL-адрес на порту 5000 и сделать его общедоступным в Интернете.

   ngrok http 5000 
   

   Примечание.

   На некоторых компьютерах может потребоваться выполнить команду в таком формате: ./ngrok http 5000.

3. Откройте URL-адрес HTTPS, созданный службой ngrok.

   

4. В веб-браузере нажмите кнопку Verify Credential (Проверить удостоверение).

   

5. На мобильном устройстве просканируйте QR-код с помощью приложения Authenticator. Дополнительные сведения о сканировании QR-кода см. в разделе часто задаваемых вопросов.

6. В предупреждении о том, что это приложение или веб-сайт могут представлять риск, щелкните Дополнительно. Это предупреждение отображается, потому что ваш домен не проверен. При работе с этим учебником вы можете пропустить регистрацию домена.

   

7. В предупреждении выберите Все равно продолжить (небезопасно).

   

8. Одобрите запрос, нажав кнопку Разрешить.

   

9. После одобрения запроса появится сообщение о том, что он одобрен. Вы также можете проверить это в журнале. Чтобы просмотреть журнал, выберите проверяемое удостоверение.

   

10. Выберите Недавние действия.

    

11. На странице Недавние действия будут показаны последние действия, выполнявшиеся с проверяемым удостоверением.

    

12. Вернитесь в приложение. В нем появится сообщение о том, что проверяемое удостоверение было предъявлено.

    

Следующие шаги

См. статью Настройка проверяемого удостоверения.