Avancerad Microsoft Entra – verifierat ID konfiguration

Konfiguration av avancerat verifierat ID är det klassiska sättet att konfigurera verifierat ID där du som administratör konfigurerar olika komponenter manuellt. Detta inkluderar att konfigurera Azure Key Vault, registrera ditt decentraliserade ID och verifiera din domän. Den avancerade konfigurationen ger dig fullständig kontroll över konfigurationsprocessen, vilket säkerställer att varje detalj uppfyller organisationens specifika krav. Det är idealiskt för företag som behöver en anpassad konfiguration.

Avancerad konfiguration omfattar följande steg:

1. Konfigurera Azure Key Vault-: Lagra och hantera nycklarna som används för signering och verifiering av autentiseringsuppgifter på ett säkert sätt.
2. Registrera decentraliserat ID: Skapa och registrera din decentraliserade identifierare (DID) för att upprätta en betrodd identitet.
3. Verifiera domän: Kontrollera att domänen är korrekt länkad till din DID, vilket ger en betrodd källa för dina autentiseringsuppgifter.

I den här handledningen lär du dig att:

• Skapa en Azure Key Vault-instans.
• Konfigurera dig som verifierad ID-tjänst med hjälp av den avancerade konfigurationen.
• Registrera ett klientprogram i Microsoft Entra ID.

Följande diagram illustrerar arkitekturen för verifierat ID och den komponent som du konfigurerar.

Förutsättningar

• Du behöver en Azure-klient med en aktiv prenumeration. Om du inte har en Azure-prenumeration skapar du en kostnadsfritt.
• Kontrollera att du har Global Administratör eller Administratör för Autentiseringsprincip behörighet för den katalog som du vill konfigurera. Om du inte är global administratör behöver du programadministratör behörighet för att slutföra appregistreringen, inklusive att bevilja administratörsmedgivande.
• Se till att du har deltagarrollen för Azure-prenumerationen eller resursgruppen där du distribuerar Azure Key Vault.
• Se till att du ger åtkomstbehörigheter för Key Vault. Mer information finns i Ge åtkomst till Key Vault-nycklar, certifikat och hemligheter med en rollbaserad åtkomstkontroll i Azure.

Skapa ett nyckelvalv

Kommentar

Azure Key Vault som du använder för att konfigurera tjänsten Verifierat ID måste ha Åtkomstprincip för Key Vault för sin behörighetsmodell. Det finns för närvarande en begränsning om Key Vault har rollbaserad åtkomstkontroll i Azure

Azure Key Vault är en molntjänst som möjliggör säker lagring och åtkomsthantering av hemligheter och nycklar. Tjänsten Verifierat ID lagrar offentliga och privata nycklar i Azure Key Vault. Dessa nycklar används för att signera och verifiera autentiseringsuppgifter.

Om du inte har någon Tillgänglig Azure Key Vault-instans följer du de här stegen för att skapa ett nyckelvalv med hjälp av Azure-portalen. Azure Key Vault som du använder för att konfigurera tjänsten Verifierat ID måste ha Key Vault-åtkomstprincip för dess behörighetsmodell i stället för rollbaserad åtkomstkontroll i Azure.

Kommentar

Som standard är valvets skaparkonto det enda med åtkomst. Tjänsten Verifierat ID behöver åtkomst till nyckelvalvet. Du måste autentisera ditt nyckelvalv så att kontot som används under konfigurationen kan skapa och ta bort nycklar. Kontot som används under konfigurationen kräver också behörighet att signera så att det kan skapa domänbindningen för verifierat ID. Om du använder samma konto under testningen ändrar du standardprincipen för att bevilja behörighet för kontosignering, utöver de standardbehörigheter som beviljats valvskapare.

Hantera åtkomst till nyckelvalvet

Innan du kan konfigurera verifierat ID behöver du Key Vault-åtkomst. Ge åtkomstbehörigheter till ditt nyckelvalv för både administratörskontot för verifierat ID och för api-huvudnamnet för begärandetjänsten som du skapade.

När du har skapat ditt nyckelvalv genererar verifierbara autentiseringsuppgifter en uppsättning nycklar som används för att tillhandahålla meddelandesäkerhet. Dessa nycklar lagras i Key Vault. Du använder en nyckeluppsättning för signering av verifierbara autentiseringsuppgifter.

Konfigurera verifierat ID

Följ dessa steg för att konfigurera verifierat ID:

1. Logga in på administrationscentret för Microsoft Entra som global administratör.

2. På den vänstra menyn väljer du Översikt under Verifierat ID.

3. På menyn i mitten väljer du fliken Installation och väljer sedan Avancerad installation.

4. Välj Konfigurera organisationsinställningar

5. Konfigurera din organisation genom att ange följande information:

   1. Organisationsnamn: Ange ett namn som refererar till ditt företag i Verifierade ID:er. Dina kunder ser inte det här namnet.

   2. Betrodd domän: Ange ett domännamn. Namnet du anger läggs till i en tjänstslutpunkt i dokumentet om decentraliserad identitet (DID). Domänen är det som binder din DID till något konkret som användaren kanske känner till om ditt företag. Microsoft Authenticator och andra digitala plånböcker använder den här informationen för att verifiera att din DID är länkad till din domän. Om plånboken kan verifiera DID visas en verifierad symbol. Om plånboken inte kan verifiera DID informerar den användaren om att utfärdaren av autentiseringsuppgifter är en organisation som den inte kunde verifiera.

      Viktigt!

      Domänen kan inte vara en omdirigering. Annars kan INTE DID och domänen länkas. Se till att använda HTTPS för domänen. Exempel: https://did.woodgrove.com. Kontrollera också att Nyckelvalvets behörighetsmodell är inställd på Åtkomstprincip för valv.

   3. Nyckelvalv: Välj det nyckelvalv som du skapade tidigare.

6. Välj Spara.

   

Registrera ett program i Microsoft Entra-ID

Ditt program måste hämta åtkomsttoken när det vill anropa till Microsoft Entra – verifierat ID så att det kan utfärda eller verifiera autentiseringsuppgifter. För att få åtkomsttoken måste du registrera ett program och bevilja API-behörighet för tjänsten för verifierad ID-begäran. Använd till exempel följande steg för ett webbprogram:

1. Logga in på administrationscentret för Microsoft Entra som global administratör.

2. Välj Microsoft Entra ID.

3. Under Program väljer du Appregistreringar> Ny registrering.

   

4. Ange ett visningsnamn för programmet. Till exempel: verifiable-credentials-app.

5. För Kontotyper som stöds väljer du Endast Konton i den här organisationskatalogen (endast standardkatalog – enskild klient).

6. Välj Registrera för att skapa programmet.

   

Bevilja behörigheter för att hämta åtkomsttoken

I det här steget beviljar du behörigheter till tjänstens huvudnamn för verifierbara autentiseringsuppgifter för tjänstbegäran .

Följ dessa steg för att lägga till de behörigheter som krävs:

1. Stanna kvar på programinformationssidan verifiable-credentials-app . Välj API-behörigheter>Lägg till en behörighet.

   

2. Välj API:er som min organisation använder.

3. Sök efter tjänstens huvudnamn för verifierbara autentiseringsuppgifter och välj det.

   

4. Välj Programbehörighet och expandera VerifiableCredential.Create.All.

   

5. Välj Lägg till behörigheter.

6. Välj Bevilja administratörsmedgivande för <ditt klientnamn>.

Du kan välja att bevilja utfärdande- och presentationsbehörigheter separat om du föredrar att avgränsa omfången till olika program.

Registrera decentraliserat ID och verifiera domänägarskapet

När Azure Key Vault har konfigurerats och tjänsten har en signeringsnyckel måste du slutföra steg 2 och 3 i konfigurationen.

1. Logga in på administrationscentret för Microsoft Entra som global administratör.
2. Välj Verifierat ID.
3. Välj Översikt på den vänstra menyn.
4. På menyn i mitten väljer du Registrera decentraliserat ID för att registrera did-dokumentet enligt anvisningarna i artikeln Så här registrerar du ditt decentraliserade ID för did:web. Du måste slutföra det här steget innan du kan fortsätta att verifiera domänen.
5. På menyn i mitten väljer du Verifiera domänägarskap för att verifiera din domän enligt anvisningarna i artikeln Verifiera domänägarskapet till din decentraliserade identifierare (DID)

När du har slutfört verifieringsstegen och har gröna bockmarkeringar för alla tre stegen är du redo att fortsätta till nästa självstudie.

Nästa steg

• Lär dig hur du utfärdar Microsoft Entra – verifierat ID autentiseringsuppgifter från ett webbprogram.
• Lär dig hur du verifierar Microsoft Entra – verifierat ID autentiseringsuppgifter.