共用方式為


自訂您的可驗認證

可驗認證定義是由兩個元件所組成,即「顯示」和「規則」定義。 顯示定義控制認證的商標和宣告的樣式。 規則定義決定使用者在接收可驗認證之前必須提供的項目。

本文說明如何修改這兩種類型的定義,以符合貴組織的需求。

顯示定義:電子錢包認證視覺效果

Microsoft Entra 已驗證的識別碼提供一組有限的選項,可以用來反映您的品牌。 本文提供如何自訂認證的指引,以及設計認證的最佳做法,而這些認證會在發給使用者之後看起來很出色。

Microsoft Authenticator 是分散式身分識別電子錢包,其會將發給使用者的可驗證認證顯示為卡片。 身為 VC 管理員,您可以選擇卡片色彩、圖示和文字字串,以符合您組織的品牌。

Authenticator 中已驗證認證卡片的螢幕擷取畫面,此卡片會呼叫重要元素。

卡片也包含可自訂的欄位。 您可以使用這些欄位讓使用者知道卡片的用途、其包含的屬性等等。

建立認證顯示定義

顯示定義是簡單的 JSON 文件,描述電子錢包應用程式應該如何顯示可驗認證的內容。

注意

此顯示模型目前僅由 Microsoft Authenticator 使用。

顯示定義的結構如下。 如果指定為 URL,則標誌 URI 必須是網際網路中公開提供的 URL。

{
    "locale": "en-US",
    "card": {
      "title": "Verified Credential Expert",
      "issuedBy": "Microsoft",
      "backgroundColor": "#000000",
      "textColor": "#ffffff",
      "logo": {
        "uri": "https://didcustomerplayground.z13.web.core.windows.net/VerifiedCredentialExpert_icon.png",
        "description": "Verified Credential Expert Logo"
      },
      "description": "Use your verified credential to prove to anyone that you know all about verifiable credentials."
    },
    "consent": {
      "title": "Do you want to get your Verified Credential?",
      "instructions": "Sign in with your account to get your card."
    },
    "claims": [
      {
        "claim": "vc.credentialSubject.firstName",
        "label": "First name",
        "type": "String"
      },
      {
        "claim": "vc.credentialSubject.lastName",
        "label": "Last name",
        "type": "String"
      }
    ]
}

如需屬性的詳細資訊,請參閱 displayModel 類型

規則定義:使用者的需求

規則定義是簡單 JSON 文件,說明可驗認證的重要屬性。 尤其,其會描述如何使用宣告來填入您的可驗認證和認證類型。

{
  "attestations": {
      ...
  },
  "validityInterval":  2592000,
  "vc": {
    "type": [
      "VerifiedCredentialExpert"
    ]
  }
}

證明

下列四種證明類型目前可在規則定義中設定。 這些不同的方式可提供宣告,供 Microsoft Entra 驗證識別碼發行服務用於插入可驗認證中,並透過您的分散式識別碼 (DID) 證明該資訊。 您可以在規則定義中使用多個證明類型。

  • 識別碼權杖:當設定此選項時,您必須提供 Open ID Connect 設定 URI 並包括應包含在可驗認證中的宣告。 系統會提示使用者「登入」Authenticator 應用程式以符合這項需求,並從其帳戶新增相關聯的宣告。 若要設定此選項,請參閱此操作指南

  • 識別碼權杖提示:範本應用程式和教學課程會使用識別碼權杖提示。 設定此選項時,信賴憑證者應用程式必須提供應該在要求服務 API 發行要求中可驗認證 VC 內包含的宣告。 信賴憑證者應用程式取得宣告的位置將取決於應用程式,宣告可以來自目前登入工作階段、來自後端 CRM 系統,甚至是來自自我判斷的使用者輸入。 若要設定此選項,請參閱此操作指南

  • 可驗認證:發行流程的最後結果是要產生可驗認證,但您也可以要求使用者提供可任認證以便加以發行。 規則定義可以從提供的可驗認證取得特定的宣告,並透過您的組織將這些宣告包含在新發行的可驗認證。 若要設定此選項,請參閱此操作指南

  • 自我證明宣告:當選取此選項時,使用者便可直接將資訊輸入至 Authenticator。 字串目前僅支援自我證明宣告的輸入。 若要設定此選項,請參閱此操作指南

如需規則 JSON 模型的詳細資訊,請參閱 rulesModel 類型

認證類型

所有可驗認證必須在其規則定義中宣告其「類型」。 認證類型可區分可驗認證結構描述與其他認證,並確保簽發者與驗證器之間的互通性。 若要指出認證類型,請提供一或多個認證所滿足的認證類型。 每種類型都會以唯一字串代表。 通常,URI 用來確保全域唯一性。 URI 不需是可定址的。 其會被視為字串。 例如,Contoso 大學發行的文憑認證可能會宣告下列類型:

類型 用途
https://schema.org/EducationalCredential Contoso 大學所發行文憑的宣告包含 schema.org EducationaCredential 物件所定義的屬性。
https://schemas.ed.gov/universityDiploma2020 Contoso 大學所發行文憑的宣告包含美國所定義的屬性。教育部。
https://schemas.contoso.edu/diploma2020 Contoso 大學所發行文憑的宣告包含 Contoso 大學定義的屬性。

藉由宣告三種類型的文憑,Contoso 可以核發滿足不同驗證者要求的認證。 銀行可以向使用者要求 EducationCredential 集合,且文憑可以用來滿足要求。 或者,但 Contoso 大學校友會可以要求類型 https://schemas.contoso.edu/diploma2020 的認證,且文憑也可以滿足要求。

若要確保認證的互通性,建議您與相關組織密切合作以定義要在您產業中使用的認證類型、結構描述和 URL。 許多產業組織提供官方文件結構的指導方針,可讓您重新規劃以定義可驗認證的內容。 您也應與您認證的驗證者密切合作,了解其計劃要求和使用可驗認證的方式。

下一步

現在,您已更加了解可認驗證的設計,以及如何建立自己的可驗認證。如需詳細資訊,請參閱: