共用方式為

進階 Microsoft Entra 驗證識別碼設定

  • 發行項

進階驗證識別碼設定是設定已驗證識別碼的傳統方式,身為系統管理員必須設定 Azure KeyVault、負責註冊您的分散式識別碼及驗證網域。

在本教學課程中,您將了解如何使用進階設定來設定您的 Microsoft Entra 租用戶,以使用可驗證證服務。

具體而言,您將了解如何:

  • 建立 Azure 金鑰保存庫執行個體。
  • 使用進階設定來設定您是已驗證的識別碼服務。
  • 在 Microsoft Entra ID 中註冊應用程式。

下圖說明已驗證的識別碼架構以及您所設定的元件。

圖表,其中說明 Microsoft Entra 已驗證的識別碼架構。

必要條件

建立金鑰保存庫

Azure Key Vault (部分機器翻譯) 是一種雲端服務,可實現秘密和金鑰的安全儲存和存取管理。 已驗證的識別碼服務將公開金鑰和私密金鑰儲存在 Azure Key Vault 中。 這些金鑰會用來簽署和驗證認證。

如果您沒有可用的 Azure Key Vault 執行個體,請遵循下列步驟,使用 Azure 入口網站建立金鑰保存庫。

注意

依預設,建立保存庫的帳戶是唯一具有存取權的帳戶。 已驗證的識別碼服務需要金鑰保存庫的存取權。 您必須驗證金鑰保存庫 (部分機器翻譯),允許在設定期間使用的帳戶建立和刪除金鑰。 在設定期間使用的帳戶也需要簽署的權限,才能建立已驗證的識別碼的定義域繫結。 如果您在測試時使用相同的帳戶,除了授與保存庫建立者的預設權限之外,請修改預設原則以授與帳戶簽署權限。

管理金鑰保存庫的存取權

您必須先提供 Key Vault 存取權,才能設定已驗證的識別碼。 這會定義指定的系統管理員是否可以在 Key Vault 秘密和密鑰上執行作業。 針對已驗證的識別碼系統管理員帳戶,以及您建立的要求服務 API 主體,提供金鑰保存庫的存取權限。

建立金鑰保存庫之後,可驗認證會產生一組用來提供訊息安全性的金鑰。 這些金鑰會儲存在 Key Vault 中。 您使用金鑰組簽署、更新及復原可驗認證。

設定已驗證識別碼

此螢幕擷取畫面顯示如何設定可驗認證。

若要設定已驗證的識別碼,請遵循下列步驟:

  1. 全域管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心

  2. 選取 [已驗證的識別碼]

  3. 從左側選單中,選取 [設定]

  4. 從中間選單中,選取 [設定組織設定]

  5. 提供下列資訊,以設定您的組織:

    1. 組織名稱:輸入名稱,以便在驗證識別碼中參考您的公司。 您的客戶看不到此名稱。

    2. 受信任的網域:輸入已新增至分散式身分識別 (DID) 文件中服務端點的網域。 網域可將您的 DID 繫結至使用者可能對您的公司有所了解的有形事物。 Microsoft Authenticator 和其他數位錢包會使用這項資訊來驗證您的 DID 是否已連結至您的網域。 如果錢包可以驗證 DID,則會顯示已驗證的符號。 如果錢包無法驗證 DID,則會通知使用者認證是由無法驗證的組織所簽發。

      重要

      網域不能重新導向。 否則,DID 與網域將無法連結。 請務必在網域使用 HTTPS。 例如: https://did.woodgrove.com

    3. 金鑰保存庫:選取您稍早建立的金鑰保存庫。

  6. 選取 [儲存]。

    此螢幕擷取畫面顯示如何設定可驗認證第一步。

在 Microsoft Entra ID 中註冊應用程式

當應用程式想要呼叫 Microsoft Entra 驗證識別碼,以便發出或驗證認證時,您的應用程式必須取得存取權杖。 若要取得存取權杖,您必須註冊應用程式,並授與已驗證識別碼要求服務的 API 權限。 例如,針對 Web 應用程式使用下列步驟:

  1. 全域管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心

  2. 選取 [Microsoft Entra ID]。

  3. 在 [應用程式] 底下,選取 [應用程式註冊] > [新增註冊]

    顯示如何選取新應用程式註冊的螢幕擷取畫面。

  4. 輸入應用程式的顯示名稱。 例如:verifiable-credentials-app

  5. 針對 [支援的帳戶類型],請選取 [僅此組織目錄中的帳戶 (僅限預設目錄 - 單一租用戶)]

  6. 選取 [暫存器] 以建立應用程式。

    顯示如何註冊可驗認證應用程式的螢幕擷取畫面。

授與取得存取權杖的權限

在此步驟中,您會將權限授與「可驗認證服務要求」服務主體。

若要新增必要權限,請遵循下列步驟:

  1. 停留在 [verifiable-credentials-app] 應用程式詳細資料頁面。 選取 API 權限>新增權限

    顯示如何將權限新增至可驗認證應用程式的螢幕擷取畫面。

  2. 選取我組織使用的 API

  3. 搜尋可驗認證服務要求服務主體,並加以選取。

    顯示如何選取服務主體的螢幕擷取畫面。

  4. 選擇 [應用程式權限],然後展開 [VerifiableCredential.Create.All]

    顯示如何選取必要權限的螢幕擷取畫面。

  5. 選取新增權限

  6. 選取 [授與管理員同意 <您的租用戶名稱>]

如果您習慣將範圍區分至不同的應用程式,您可以選擇個別授與發行和展示權限。

此螢幕擷取畫面顯示如何選取用於發行或展示的細微權限。

註冊分散式識別碼並驗證網域擁有權

設定 Azure Key Vault 且服務具有簽署金鑰之後,您必須完成設定中的步驟 2 和 3。

此螢幕擷取畫面顯示如何設定可驗認證步驟 2 和 3。

  1. 全域管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心
  2. 選擇 [可驗認證]
  3. 從左側選單中,選取 [設定]
  4. 從中間功能表中,選取 [註冊分散式識別碼] 以註冊您的 DID 文件,如何為 did:web 註冊分散式識別碼一文中的指示。 您必須先完成此步驟,才能繼續驗證網域。 如果您選取 did:ion 作為信任系統,您應該略過此步驟。
  5. 從中間功能表中,選取 [驗證網域擁有權] 來驗證您的網域,如驗證網域擁有權至您的分散式識別碼 (DID) 一文中的指示

成功完成驗證步驟之後,並在這三個步驟上都有綠色核取記號,您就可以繼續進行下一個教學課程。

下一步