Domain tulajdonjogának ellenőrzése a decentralizált azonosítóhoz

Ebben a cikkben áttekintjük a decentralizált azonosítóhoz (DID) használt tartománynév tulajdonjogának ellenőrzéséhez szükséges lépéseket.

Előfeltételek

A did tartomány tulajdonjogának ellenőrzéséhez a következőkre van szükség:

• Első lépések és az azt követő oktatóanyagkészlet.

A tartomány tulajdonjogának ellenőrzése és a did-configuration.json fájl terjesztése

Az a tartomány, amelyet a DID tulajdonjogának igazolásához használ, a az áttekintő szakaszvan meghatározva. A tartománynak az Ön felügyelete alatt álló tartománynak kell lennie, és https://www.example.com/formátumban kell lennie.

1. A Microsoft Entra felügyeleti központból válassza az Ellenőrzött azonosító oldalt.

2. Válassza Áttekintés lehetőséget, és ebben a szakaszban válassza a Tartomány tulajdonjogának ellenőrzéselehetőséget.

3. Válassza A tartomány ellenőrzése lehetőséget.

4. Másolja vagy töltse le a did-configuration.json fájlt.

   

5. A megadott helyen tárolja a did-configuration.json fájlt. Ha például tartományt https://www.example.comadott meg, a fájlt a https://www.example.com/.well-known/did-configuration.jsonkell üzemeltetni. Az URL-címben nincs más út a .well-known path nevén kívül.

6. Ha did-configuration.json nyilvánosan elérhető a .well-known/did-configuration.json URL-címen, ellenőrizze azt a Frissítés ellenőrzési állapotánakkiválasztásával.

   

7. Próbálja ki a Microsoft Authenticator kipróbálását vagy bemutatását az érvényesítéshez. Győződjön meg arról, hogy az Authenticatorban a Figyelmeztetés a nem biztonságos alkalmazásokra beállítás be van kapcsolva. A beállítás alapértelmezés szerint be van kapcsolva.

Hogyan ellenőrizhetim, hogy az ellenőrzés működik-e?

Amikor a Frissítés ellenőrzési állapototválasztja, a portál ellenőrzi, hogy did-configuration.json elérhető-e az interneten keresztül, és érvényes-e. Az Authenticator nem tartja tiszteletben a HTTP-átirányításokat. Érdemes annak ellenőrzését is fontolóra venni, hogy a böngészőben kérhető-e az URL-cím, hogy elkerülje az olyan hibákat, mint a HTTPS hiánya, a hibás TLS/SSL-tanúsítvány vagy az URL-cím nem nyilvános elérhetősége. Ha a did-configuration.json fájl nem kérhető névtelenül egy böngészőben vagy olyan eszközökkel, mint a curl, figyelmeztetések és hibák nélkül, a portál sem tudja végrehajtani a Frissítés ellenőrzési állapotát lépést.

Miért kell ellenőriznem a DID tartomány tulajdonjogát?

A DID olyan azonosítóként indul el, amely nem a meglévő rendszerekhez van rögzítve. A DID azért hasznos, mert egy felhasználó vagy szervezet birtokolhatja és szabályozhatja azt. Ha a szervezettel interakcióba lépő entitás nem tudja, hogy kihez tartozik a DID, akkor a DID nem olyan hasznos.

Ha a DID-t tartományhoz csatolja, azzal megoldhatja a kezdeti megbízhatósági problémát, ha lehetővé teszi bármely entitás számára, hogy kriptográfiailag ellenőrizze a DID és a tartomány közötti kapcsolatot.

Hogyan csatolja az ellenőrzött azonosító a DID-ket és tartományokat?

A Hitelesített ID a jól ismert DID-konfiguráció specifikációját követi a kapcsolat létrehozásához. Az ellenőrizhető hitelesítő adatszolgáltatás összekapcsolja a DID-t és a domaint. A szolgáltatás tartalmazza a DID-ben megadott tartományadatokat, és létrehozza a jól ismert konfigurációs fájlt:

1. Az ellenőrzött azonosító a szervezet beállítása során megadott tartományadatokat használja egy szolgáltatásvégpont írásához a DID-dokumentumon belül. A DID-t használó összes fél láthatja azt a tartományt, amelyhez a DID-fájl társítva van.

   "service": [
     {
       "id": "#linkeddomains",
       "type": "LinkedDomains",
       "serviceEndpoint": {
         "origins": [
           "https://verifiedid.contoso.com/"
         ]
       }
     }
   ]
   

2. A Verified ID hitelesítő adat szolgáltatás létrehoz egy kompatibilis, jól ismert konfigurációs forrást, amelyet a saját domainjén kell üzemeltetnie. A konfigurációs fájl tartalmaz egy saját kiadású, ellenőrizhető hitelesítő adatot a DomainLinkageCredentialhitelesítő adattípusból, amely az Ön DID-jével van aláírva, és az Ön tartományából származik. Íme egy példa a gyökértartomány URL-címében tárolt konfigurációs fájlra.

   {
     "@context": "https://identity.foundation/.well-known/contexts/did-configuration-v0.0.jsonld",
     "linked_dids": [
       "jwt..."
     ]
   }
   

Felhasználói élmény a pénztárcában

Amikor egy felhasználó egy kiállítási folyamaton megy keresztül, vagy egy ellenőrizhető hitelesítő adatot mutat be, tudnia kell valamit a szervezetről és annak DID-járól. Az Authenticator ellenőrzi a DID-kapcsolatát a DID-dokumentumban lévő tartománnyal, és az eredménytől függően két különböző élményt nyújt a felhasználóknak.

Ellenőrzött tartomány

Mielőtt az Authenticator megjelenítené a Ellenőrzött ikont, néhány pontnak igaznak kell lennie:

• Az önkibocsátó nyílt azonosítóra (SIOP) vonatkozó kérést aláíró DID-nak szolgáltatásvégponttal kell rendelkeznie egy csatolt tartományhoz.
• A gyökértartomány nem használ átirányítást, és HTTPS-t használ.
• A DID-dokumentumban felsorolt tartomány feloldható, jól ismert erőforrással rendelkezik.
• A jól ismert erőforrás ellenőrizhető hitelesítő adatait ugyanazzal a DID-del írták alá, amelyet a hitelesítő használ a folyamat elindítására szolgáló SIOP aláírásához.

Ha az összes korábban említett pont igaz, akkor az Authenticator egy ellenőrzött oldalt jelenít meg, és tartalmazza az ellenőrzött tartományt.

Nem ellenőrzött tartomány

Ha az előző pontok bármelyike nem igaz, az Authenticator egy teljesoldalas figyelmeztetést jelenít meg, amely jelzi, hogy a tartomány nincs ellenőrizve. A rendszer figyelmezteti a felhasználót, hogy egy potenciálisan kockázatos tranzakció közepén van, és körültekintően kell eljárnia. Lehetséges, hogy ezt az útvonalat választják, mert:

• A DID nincs tartományhoz rögzítve.
• A konfiguráció nincs megfelelően beállítva.
• A DID, amellyel a felhasználó kommunikál, rosszindulatú lehet, és valójában nem tudja bizonyítani, hogy a csatolt tartomány tulajdonosa.

Nagyon fontos, hogy a DID-t egy olyan tartományhoz csatolja, amely felismerhető a felhasználó számára.

Hogyan frissíthetem a csatolt tartományt a DID-en?

A webes megbízhatósági rendszer nem támogatja a csatolt tartomány frissítését. Ki kell jelentkeznie, és újra be kell jelentkeznie.

A csatolt tartomány egyszerűen használható a fejlesztők számára

A fejlesztők legegyszerűbben az Azure Storage statikus webhelyfunkciójának használatával szerezhetnek be egy tartományt egy csatolt tartományhoz. Nem szabályozhatod a tartománynevet, kivéve, hogy a hosztnév részeként tartalmazza a tárfiók nevét.

Egy csatolt tartományhoz használható tartomány gyors beállítása:

1. Hozzon létre egy tárfiókot. A létrehozás során válassza StorageV2 (általános célú v2-fiók) és Helyileg redundáns tárolási (LRS).
2. Nyissa meg a tárfiókot, és válassza Statikus webhely lehetőséget a bal szélső menüben, és engedélyezze Statikus webhely. Ha nem látja a Statikus webhely menüelemet, nem hozott létre V2 tárfiókot.
3. Másolja ki a mentés után megjelenő elsődleges végpontnevet. Ez az érték a domainneved. Úgy néz ki, mint https://<your-storageaccountname>.z6.web.core.windows.net/.

Amikor eljön az ideje a did-configuration.json fájl feltöltésének:

1. Nyissa meg a tárfiókot, és válassza Tárolók lehetőséget a bal szélső menüben. Ezután válassza ki a $webnevű tárolót.
2. Válassza a Feltöltés lehetőséget, és kattintson a mappa ikonra a fájl megkereséséhez.
3. Feltöltés előtt nyissa meg a Speciális szakaszt, és adja meg .jól ismert a Feltöltés mappába szövegmezőben.
4. Töltse fel a fájlt.

Most már nyilvánosan elérhető a fájl egy URL-címen, amely úgy néz ki, mint https://<your-storageaccountname>.z6.web.core.windows.net/.well-known/did-configuration.json.

Következő lépések

• Testreszabhatja a Microsoft Entra igazolt azonosítóját