高级 Microsoft Entra 验证 ID 设置

高级验证 ID 设置是设置已验证 ID 的经典方法,管理员必须配置 Azure KeyVault、负责注册分散式 ID 和验证域。

本教程介绍如何使用高级设置将 Microsoft Entra 租户配置为使用可验证凭据服务。

具体来说,你将学习如何:

  • 创建 Azure Key Vault 实例。
  • 使用高级设置配置验证 ID 服务。
  • 在 Microsoft Entra ID 中注册应用程序。

下图显示了验证 ID 体系结构以及所配置的组件。

展示 Microsoft Entra 验证 ID 体系结构的示意图。

先决条件

创建 Key Vault

注意

用于设置已验证 ID 服务的 Azure 密钥保管库必须对其权限模型具有密钥保管库访问策略。 如果密钥保管库具有 Azure 基于角色的访问控制,则当前存在限制

Azure Key Vault 是一种云服务,可实现对机密和密钥的安全存储和访问管理。 验证 ID 服务将公钥和私钥存储在 Azure Key Vault 中。 这些密钥用来对凭据进行签名和验证。

如果没有可用的 Azure 密钥保管库实例,请按照以下步骤使用 Azure 门户创建密钥保管库。用于设置已验证 ID 服务的 Azure 密钥保管库必须对其权限模型具有密钥保管库访问策略,而不是创建 Azure 密钥保管库时当前默认的 Azure 基于角色的访问控制。

注意

默认情况下,仅创建保管库的帐户具有访问权限。 验证 ID 服务需要密钥保管库的访问权限。 必须对密钥保管库进行身份验证,允许配置期间使用的帐户创建和删除密钥。 配置期间使用的帐户还需要具有签名权限,以便它可以创建验证 ID 的域绑定。 如果在测试时使用的是同一帐户,请将默认策略修改为除了授予保管库创建者默认访问权限以外,授予帐户登录权限。

管理对密钥保管库的访问权限

在设置验证 ID 之前,需要提供密钥保管库访问权限。 它定义了指定的管理员是否可对密钥保管库机密和密钥执行操作。 为验证 ID 管理员帐户以及你创建的请求服务 API 主体提供对密钥保管库的访问权限。

创建密钥保管库后,可验证凭据可生成一组用于提供消息安全性的密钥。 这些密钥存储在密钥保管库中。 使用密钥集对可验证凭据进行签名。

设置验证 ID

屏幕截图显示如何设置可验证凭据。

若要设置验证 ID,请执行以下步骤:

  1. 全局管理员身份登录到 Microsoft Entra 管理中心

  2. 选择“验证 ID”。

  3. 从左侧菜单中选择“设置”。

  4. 从中间菜单中选择“配置组织设置”

  5. 提供以下信息来设置组织:

    1. 组织名称:输入名称,以便在验证 ID 中引用你的企业。 你的客户看不到此名称。

    2. 受信任的域:输入的域将添加到分散式身份识别 (DID) 文档中的服务终结点。 域将你的 DID 绑定到用户可能了解的你业务中的内容。 Microsoft Authenticator 和其他数字钱包使用该信息来验证你的 DID 是否与你的域相关联。 如果钱包可以验证 DID,则会显示已验证的符号。 如果钱包无法验证 DID,则会通知用户凭据是由它无法验证的组织颁发的。

      重要

      域不能重定向。 否则,“DID”和“域”将无法链接。 请确保对域使用 HTTPS。 例如:https://did.woodgrove.com

    3. 密钥保管库:选择之前创建的密钥保管库。

  6. 选择“保存”。

    屏幕截图显示如何设置可验证凭据的第一步。

在 Microsoft Entra ID 中注册应用程序

当应用程序想要调用 Microsoft Entra 已验证 ID 时,它需要获取访问令牌,以便可以颁发或验证凭据。 若要获取访问令牌,必须注册应用程序并为已验证 ID 请求服务授予 API 权限。 例如,对 Web 应用程序使用以下步骤:

  1. 全局管理员身份登录到 Microsoft Entra 管理中心

  2. 选择“Microsoft Entra ID”。

  3. 在“应用程序”下,选择“应用注册”>“新建注册”。

    屏幕截图显示如何选择新的应用程序注册。

  4. 输入应用程序的显示名称。 例如:verifiable-credentials-app。

  5. 对于“支持的帐户类型”,选择“仅此组织目录中的帐户(仅默认目录 - 单租户)” 。

  6. 选择“注册”以创建应用程序。

    屏幕截图显示如何注册可验证凭据应用。

授予获取访问令牌的权限

在此步骤中,你将向“可验证凭据服务请求”服务主体授予权限。

若要添加所需权限,请执行以下步骤:

  1. 停留在 verifiable-credentials-app 应用程序详细信息页面上。 选择“API 权限”>“添加权限” 。

    屏幕截图显示如何将权限添加到可验证凭据应用。

  2. 选择“我的组织使用的 API”。

  3. 搜索“可验证凭据服务请求”服务主体并将其选中。

    屏幕截图显示如何选择服务主体。

  4. 选择“应用程序权限”,然后展开 VerifiableCredential.Create.All 。

    屏幕截图显示如何选择所需的权限。

  5. 选择“添加权限”。

  6. 选择“向 <租户名称> 授予管理员许可”。

如果你希望将范围隔离到不同的应用程序,则可以选择分别授予发布和演示权限。

显示如何为颁发或演示文稿选择精细权限的屏幕截图。

注册分散式 ID 并验证域所有权

设置 Azure 密钥保管库且服务具有签名密钥后,必须完成设置中的步骤 2 和 3。

屏幕截图显示如何设置可验证凭据的步骤 2 和 3。

  1. 全局管理员身份登录到 Microsoft Entra 管理中心
  2. 选择“可验证凭据”。
  3. 从左侧菜单中选择“设置”。
  4. 根据如何为 did:web 注册分散式 ID 一文中的说明,从中间菜单中选择“注册分散式 ID”以注册 DID 文档。 必须先完成此步骤,然后才能继续验证域。 如果选择了 did:ion 作为信任系统,则应跳过此步骤。
  5. 根据验证域对分散式标识符 (DID) 的所有权一文中的说明,从中间菜单中选择“验证域所有权”对域进行验证

成功完成验证步骤且三个步骤都带有绿色复选标记后,即可继续学习下一教程。

后续步骤