共用方式為


進階 Microsoft Entra 驗證識別碼設定

進階驗證標識碼設定是設定已驗證標識碼的傳統方式,身為系統管理員,手動設定各種元件。 這包括設定 Azure Key Vault、註冊您的分散式識別碼,以及驗證您的網域。 進階設定可讓您完全掌控設定程式,確保每個詳細數據都符合組織的特定需求。 非常適合需要自定義設定的企業。

進階設定包含下列步驟:

  1. 設定 Azure Key Vault:安全地儲存和管理用於簽署和驗證認證的密鑰。
  2. 註冊分散式標識碼:建立並註冊您的分散式標識碼(DID),以建立受信任的身分識別。
  3. 驗證網域:請確保您的網域已正確連結至您的DID,為您的憑證提供可信的來源。

在本教學課程中,您將瞭解如何:

  • 建立 Azure 金鑰保存庫執行個體。
  • 使用進階設定來設定您是已驗證的識別碼服務。
  • 在 Microsoft Entra ID 中註冊應用程式。

下圖說明已驗證的識別碼架構以及您所設定的元件。

圖表,其中說明 Microsoft Entra 已驗證的識別碼架構。

必要條件

建立金鑰保存庫

注意

您用來設定已驗證標識碼服務的 Azure 金鑰保存庫 必須具有其許可權模型的 金鑰保存庫 存取原則。 如果 金鑰保存庫 具有 Azure 角色型訪問控制,則目前有限制

Azure Key Vault (部分機器翻譯) 是一種雲端服務,可實現秘密和金鑰的安全儲存和存取管理。 已驗證的識別碼服務將公開金鑰和私密金鑰儲存在 Azure Key Vault 中。 這些金鑰會用來簽署和驗證認證。

如果您沒有可用的 Azure Key Vault 實例,請依照下列步驟 使用 Azure 入口網站建立密鑰保存庫。 您用來設定已驗證 ID 服務的 Azure Key Vault 必須在其許可權模型中使用 Key Vault 存取原則,而不是 Azure 角色型存取控制。

注意

預設情況下,保存庫的建立者帳戶是唯一有存取權的帳戶。 已驗證的識別碼服務需要金鑰保存庫的存取權。 您必須驗證金鑰保存庫 (部分機器翻譯),允許在設定期間使用的帳戶建立和刪除金鑰。 在設定期間使用的帳戶也需要簽署的權限,才能建立已驗證的識別碼的定義域繫結。 如果您在測試時使用相同的帳戶,除了授與保存庫建立者的預設權限之外,請修改預設原則以授與帳戶簽署權限。

管理金鑰保存庫的存取權

您必須先 存取金鑰儲存庫,才能設定 [已驗證的識別元]。 針對已驗證的識別碼系統管理員帳戶,以及您建立的要求服務 API 主體,提供金鑰保存庫的存取權限。

建立金鑰保存庫之後,可驗認證會產生一組用來提供訊息安全性的金鑰。 這些金鑰會儲存在 Key Vault 中。 您可以使用金鑰集來簽署可驗證的認證。

設定已驗證識別碼

此螢幕擷取畫面顯示如何設定可驗認證。

若要設定已驗證的識別碼,請遵循下列步驟:

  1. 全域管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心

  2. 從左側功能表中,選取 [已驗證標識符] 底下的 [概觀]。

  3. 從中間功能表中,選取 [ 設定] 索引標籤,然後選取 [ 進階設定]。

  4. 選取 [ 設定組織設定]

  5. 提供下列資訊,以設定您的組織:

    1. 組織名稱:輸入名稱,以便在驗證識別碼中參考您的公司。 您的客戶看不到此名稱。

    2. 信任的網域:輸入網域名稱。 您指定的名稱會新增至分散式身分識別 (DID) 檔案中的服務端點。 網域可將您的 DID 繫結至使用者可能對您的公司有所了解的有形事物。 Microsoft Authenticator 和其他數位錢包會使用這項資訊來驗證您的 DID 是否已連結至您的網域。 如果錢包可以驗證 DID,則會顯示已驗證的符號。 如果錢包無法驗證 DID,它會通知使用者認證簽發者是無法驗證的組織。

      重要

      網域不能重新導向。 否則,DID 與網域將無法連結。 請務必在網域使用 HTTPS。 例如: https://did.woodgrove.com 。 也請確定 金鑰保存庫的許可權模型已設定為保存庫存取原則。

    3. 金鑰保存庫:選取您稍早建立的金鑰保存庫。

  6. 選取 [儲存]。

    此螢幕擷取畫面顯示如何設定可驗認證第一步。

在 Microsoft Entra ID 中註冊應用程式

當應用程式想要呼叫 Microsoft Entra 驗證識別碼,以便發出或驗證認證時,您的應用程式必須取得存取權杖。 若要取得存取權杖,您必須註冊應用程式,並授與已驗證識別碼要求服務的 API 權限。 例如,針對 Web 應用程式使用下列步驟:

  1. 全域管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心

  2. 選取 [Microsoft Entra ID]。

  3. 在 [應用程式] 底下,選取 [應用程式註冊]> [新增註冊]

    顯示如何選取新應用程式註冊的螢幕擷取畫面。

  4. 輸入應用程式的顯示名稱。 例如:verifiable-credentials-app

  5. 針對 [支援的帳戶類型],請選取 [僅此組織目錄中的帳戶 (僅限預設目錄 - 單一租用戶)]

  6. 選取 [暫存器] 以建立應用程式。

    顯示如何註冊可驗認證應用程式的螢幕擷取畫面。

授與取得存取權杖的權限

在此步驟中,您會將權限授與「可驗認證服務要求」服務主體。

若要新增必要權限,請遵循下列步驟:

  1. 停留在 [verifiable-credentials-app] 應用程式詳細資料頁面。 選取 API 權限>新增權限

    顯示如何將權限新增至可驗認證應用程式的螢幕擷取畫面。

  2. 選取我組織使用的 API

  3. 搜尋可驗認證服務要求服務主體,並加以選取。

    顯示如何選取服務主體的螢幕擷取畫面。

  4. 選擇 [應用程式權限],然後展開 [VerifiableCredential.Create.All]

    顯示如何選取必要權限的螢幕擷取畫面。

  5. 選取新增權限

  6. 選取 [授與管理員同意 <您的租用戶名稱>]

如果您習慣將範圍區分至不同的應用程式,您可以選擇個別授與發行和展示權限。

此螢幕擷取畫面顯示如何選取用於發行或展示的細微權限。

註冊分散式識別碼並驗證網域擁有權

設定 Azure Key Vault 且服務具有簽署金鑰之後,您必須完成設定中的步驟 2 和 3。

此螢幕擷取畫面顯示如何設定可驗認證步驟 2 和 3。

  1. 全域管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心
  2. 選取 [已驗證的識別碼]
  3. 從左側功能表中選取 [概觀]
  4. 從中間功能表中,選取 [註冊分散式識別碼] 以註冊您的 DID 文件,如何為 did:web 註冊分散式識別碼一文中的指示。 您必須先完成此步驟,才能繼續驗證網域。
  5. 從中間功能表中,選取 [驗證網域擁有權] 來驗證您的網域,如驗證網域擁有權至您的分散式識別碼 (DID) 一文中的指示

成功完成驗證步驟之後,並在這三個步驟上都有綠色核取記號,您就可以繼續進行下一個教學課程。

下一步