Gyakori kérdések (GYIK)
Ez a lap a ellenőrizhető hitelesítő adatokkal és a decentralizált identitással kapcsolatos gyakori kérdéseket tartalmazza. A kérdések a következő szakaszokba vannak rendezve.
Az alapok
Mi az a DID?
A decentralizált azonosítók (DID-k) egyedi azonosítók, amelyek az erőforrásokhoz való hozzáférés biztosítására, a hitelesítő adatok aláírására és ellenőrzésére, valamint az alkalmazások közötti adatcserére szolgálnak. A hagyományos felhasználónevekkel és e-mail-címekkel ellentétben az entitások, valamint maguk a DID-k tulajdonosa és vezérlése (legyen szó személyről, eszközről vagy cégről). A DID-k minden külső szervezettől vagy megbízható közvetítőtől függetlenül léteznek. A W3C decentralizált azonosító specifikációja részletesebben ismerteti a DID-ket.
Miért van szükségünk DID-ra?
A digitális bizalom alapvetően megköveteli, hogy a résztvevők birtokolják és szabályozhassák identitásukat, és az identitás az azonosítónál kezdődik. A napi, nagy léptékű rendszerbiztonsági incidensek és a központosított azonosítók elleni támadások korában az identitás decentralizálása kritikus biztonsági igénygé válik a fogyasztók és a vállalkozások számára. Az identitásaik tulajdonosa és vezérlése képes ellenőrizhető adatok és igazolások cseréjére. Az elosztott hitelesítő adatok környezete számos olyan üzleti folyamat automatizálását teszi lehetővé, amelyek jelenleg manuálisak és munkaigényesek.
Mi az a ellenőrizhető hitelesítő adat?
A hitelesítő adatok a mindennapi életünk részét képezik. A jogosítványok arra szolgálnak, hogy érvényesíteni tudjuk, hogy képesek vagyunk-e gépjárművet üzemeltetni. Az egyetemi diplomák felhasználhatók az oktatási szintünk érvényesítésére, valamint a kormányzati útlevélekkel lehetővé teszi számunkra, hogy országok és régiók közötti utazást biztosítsunk. Az ellenőrizhető hitelesítő adatok olyan mechanizmust biztosítanak, amellyel az ilyen típusú hitelesítő adatokat a weben titkosítható módon, az adatvédelem tiszteletben tartásával és géppel ellenőrizhető módon fejezheti ki. A W3C Ellenőrizhető hitelesítő adatok specifikációja részletesebben ismerteti az ellenőrizhető hitelesítő adatokat.
Elméleti kérdések
Mi történik, ha egy felhasználó elveszíti a telefonját? Helyre tudják állítani az identitásukat?
A helyreállítási mechanizmusokat többféleképpen is kínálhatja a felhasználók számára, amelyek mindegyike saját kompromisszumokkal rendelkezik. A Microsoft jelenleg olyan lehetőségeket és helyreállítási módszereket értékel ki, amelyek kényelmes és biztonságos megoldást kínálnak, miközben tiszteletben tartják a felhasználó adatvédelmi és önrendelkezési jogait.
Hogyan bízhat meg egy felhasználó egy kiállítótól vagy hitelesítőtől érkező kérésben? Honnan tudják, hogy a DID az igazi DID egy szervezet számára?
Implementáljuk a Decentralizált Identitás Alapítvány jól ismert DID-konfigurációs specifikációját , hogy a DID-t egy jól ismert meglévő rendszerhez, tartománynevekhez lehessen csatlakoztatni. A Microsoft Entra Ellenőrzött azonosító használatával létrehozott összes DID rendelkezik egy olyan gyökértartománynévvel, amely a DID-dokumentumban van kódolva. A csatolt tartományokról további információt a Tartomány csatolása az elosztott azonosítóhoz című cikkben talál.
Milyen méretkorlátozások vonatkoznak az ellenőrzött azonosítójú ellenőrizhető hitelesítő adatokra?
- Kiállítási kérelem esetén – 1 MB
- Fénykép az Ellenőrizhető hitelesítő adatok között – 1 MB
- Visszahívás eredménye 10 MB nyugta nélkül
Mik a licencelési követelmények?
Az ellenőrizhető hitelesítő adatok kiállítására nincsenek különleges licenckövetelmények.
Hogyan alaphelyzetbe állítani a Microsoft Entra Ellenőrzött azonosító szolgáltatást?
Az alaphelyzetbe állításhoz le kell tiltani a szolgáltatást, és vissza kell jelentkezni a Microsoft Entra Ellenőrzött azonosító szolgáltatásba. A meglévő ellenőrizhető hitelesítő adatok konfigurációja alaphelyzetbe áll, és a bérlő egy új DID-t szerez be, amelyet a kiállítás és a bemutató során használhat.
- Kövesse a letiltási utasításokat.
- A szolgáltatás újrakonfigurálásához tekintse át a Microsoft Entra Ellenőrzött azonosító üzembe helyezés lépéseit.
- Ha manuálisan állítja be az ellenőrzött azonosítót, válasszon egy helyet az Azure Key Vault számára, hogy ugyanabban vagy a legközelebbi régióban legyen. Ha ugyanazt a régiót választja, azzal elkerülheti a teljesítménnyel és késéssel kapcsolatos problémákat.
- Fejezze be az ellenőrizhető hitelesítő adatok szolgáltatás beállítását . Újra létre kell hoznia a hitelesítő adatait.
- Új hitelesítő adatokat is ki kell adnia, mert a bérlő új DID-t tartalmaz.
Hogyan ellenőrizhetim a Microsoft Entra-bérlőm régióját?
Az Azure Portalon nyissa meg a Microsoft Entra-azonosítót a Microsoft Entra Ellenőrzött azonosító üzemelő példányhoz használt előfizetéshez.
A Kezelés területen válassza a Tulajdonságok elemet.
Tekintse meg az Ország vagy régió értékét. Ha az érték egy európai ország vagy régió, akkor az Ön Microsoft Entra Ellenőrzött azonosító szolgáltatása Európában van beállítva.
Támogatja Microsoft Entra Ellenőrzött azonosító az ION-t DID metódusként?
Az ellenőrzött azonosító 2023 decemberéig támogatott előzetes verzióban a DID:ION metódust, amely után megszüntették.
Hogyan váltás a did:web webhelyre a did:ion webhelyről?
Ha át szeretne lépni did:web
innen did:ion
, kövesse az alábbi lépéseket a Felügyeleti API-val. A szolgáltató módosításához újra meg kell adni az összes hitelesítő adatot:
Meglévő did:ion hitelesítőadat-definíciók exportálása
- A
did:ion
szolgáltató számára a portálon másolja ki a meglévő hitelesítő adatok összes megjelenítési és szabálydefinícióját. - Ha több szolgáltatóval rendelkezik, akkor a felügyeleti API-kat kell használnia, ha nem a
did:ion
szolgáltató az alapértelmezett szolgáltató. Az Ellenőrzött azonosító bérlőn csatlakozzon a Felügyeleti API használatával, és listázhatja a hatóságokat a szolgáltató szolgáltatóazonosítójánakdid:ion
lekéréséhez. Ezután a list contracts API-val exportálhatja őket, és mentheti az eredményt egy fájlba, hogy újra létre tudja hozni őket.
Új did:webszolgáltató létrehozása
- Az előkészítési API használatával hozza létre az új
did:web
szolgáltatót. Másik lehetőségként, ha a bérlő csak egy hitelesítésszolgáltatóval rendelkezik, egy szolgáltatás-letiltást is végrehajthat, majd egy bejelentkezési műveletet is végrehajthat az ellenőrzött azonosítókonfigurációkkal való újraindításhoz. Ebben az esetben választhat a Gyors és a Manuális beállítás között. - Ha rendszergazdai API-val állít be did:webszolgáltatót, akkor a did dokumentum létrehozásához és a híváshoz létre kell hoznia egy jól ismert dokumentumot , majd JSON-fájlokat kell feltöltenie a megfelelő jól ismert elérési útra.
Hitelesítőadat-definíciók újbóli létrehozása
Amikor létrehozta az új did:web
szolgáltatót, újra létre kell hoznia a hitelesítőadat-definíciókat. Ezt a portálon keresztül is megteheti, ha lemondta és újra bejelentkezett, vagy a szerződés létrehozása API-val újra létre kell hoznia őket.
Meglévő alkalmazások frissítése
- Frissítse bármelyik meglévő alkalmazását (kiállítói/hitelesítő alkalmazásokat) az új
did:web authority
használatához. A kiállítási alkalmazások esetében frissítse a hitelesítőadat-jegyzék URL-címét is. - Tesztelje az új did:webszolgáltató kiállítási és ellenőrzési folyamatait. Ha a tesztek sikeresek, folytassa a következő lépéssel a did:ion authority törlésével kapcsolatban.
Delete did:ion authority
Ha nem adta le és nem végezte újra a regisztrációt, el kell távolítania a régi did:ion
szolgáltatót. A törlési szolgáltató API-val törölheti a did:ion szolgáltatót.
Ha újrakonfigurálom a Microsoft Entra Ellenőrzött azonosító szolgáltatást, újra kell összekapcsolnom a DID-t a tartományommal?
Igen, a szolgáltatás újrakonfigurálása után a bérlő egy új DID-t használ a ellenőrizhető hitelesítő adatok kiállításához és ellenőrzéséhez. Az új DID-t a tartományhoz kell társítania.
Kérheti a Microsofttól a "régi DID-k" lekérését?
Nem, ezen a ponton nem lehet megtartani a bérlő DID-jét, miután kikapcsolta a szolgáltatást.
Nem használhatom az ngrokot, mit tegyek?
A minták üzembe helyezésére és futtatására vonatkozó oktatóanyagok az eszköz alkalmazásproxyként való ngrok
használatát ismertetik. Ezt az eszközt néha az informatikai rendszergazdák letiltják a vállalati hálózatokban való használattól. Másik lehetőségként üzembe helyezheti a mintát Azure-alkalmazás szolgáltatásban, és futtathatja a felhőben. Az alábbi hivatkozások segítenek a megfelelő minta üzembe helyezésében Azure-alkalmazás szolgáltatásban. Az ingyenes tarifacsomag elegendő a minta üzemeltetéséhez. Minden oktatóanyaghoz először létre kell hoznia a Azure-alkalmazás szolgáltatáspéldányt, majd ki kell hagynia az alkalmazás létrehozását, mivel már rendelkezik alkalmazással, majd az oktatóanyag üzembe helyezésével folytatja.
- Dotnet – Közzététel az App Service-ben
- Csomópont – Üzembe helyezés az App Service-ben
- Java – Üzembe helyezés az App Service-ben. Hozzá kell adnia a Azure-alkalmazás Szolgáltatás maven beépülő modult a mintához.
- Python – Üzembe helyezés a Visual Studio Code használatával
Függetlenül attól, hogy a minta melyik nyelvét használja, a rendszer a Azure-alkalmazás Service gazdagépnevet https://something.azurewebsites.net
használja nyilvános végpontként. Nem kell további beállításokat konfigurálnia ahhoz, hogy működjön. Ha módosítja a kódot vagy a konfigurációt, újra üzembe kell helyeznie a mintát a Azure-alkalmazás Services szolgáltatásba. A hibaelhárítás/hibakeresés nem olyan egyszerű, mint a minta futtatása a helyi gépen, ahol a konzolablakban lévő nyomkövetések hibákat mutatnak, de a Naplóstream használatával szinte ugyanezt érheti el.
Hálózatmegerősítés visszahívási eseményekhez
A Request Service API visszahívásokat használ a függő entitásalkalmazás által megadott URL-címre . Ennek az URL-címnek elérhetőnek kell lennie az ellenőrzött azonosító rendszerből a visszahívások fogadásához. A visszahívások az Azure-infrastruktúrából érkeznek ugyanabban a régióban, mint a Microsoft Entra-bérlő. Ha meg kell keményítenie a hálózatot, két lehetősége van.
- Használja az Azure Firewall szolgáltatáscímkéketaz AzureCloudban.
- A közzétett CIDR-tartomány használatával konfigurálja a tűzfalat. Az AzureCloudot kell használnia.olyan régiók , amelyek megegyeznek a Microsoft Entra-bérlő üzembe helyezésének helyével, hogy konfigurálja a tűzfalat, hogy engedélyezze a kérésszolgáltatás API-ból érkező forgalom visszahívását. Ha például a bérlője az EU-ban van, akkor az AzureCloud összes CIDR-tartományát ki kell választania.northeurope, .westeurope stb., a tűzfalak konfigurációjához.
A QR-kód vizsgálata
A dokumentációban az utasítás scan the QR code
a Microsoft Authenticator mobilalkalmazással való vizsgálatára vonatkozik, hacsak másként nem rendelkezik.
A QR-kód beolvasható a mobil kamerás alkalmazásával, amely ezután elindítja a Microsoft Authenticatort. Ahhoz, hogy ez működjön, a protokollkezelőt openid-vc://
regisztrálni kell a Microsoft Authenticatorban. Ha egy másik mobilalkalmazás regisztrálva van, az Authenticator nem nyílik meg.
Android rendszerű mobiltelefonokon a QR-kód vizsgálatának ismert problémái a következők:
- Android 9-ben és régebbi verziókban a QR-kód kamerás alkalmazással való vizsgálata nem működik, és nincs más megkerülő megoldás, mint a Microsoft Authenticator alkalmazás használata a vizsgálathoz.
- A munkahelyi és személyes profilokkal rendelkező Android-telefonokon minden profil saját Microsoft Authenticator-példánysal rendelkezik. Ha rendelkezik hitelesítő adatokkel a munkahelyi profil Authenticator alkalmazásában, és megpróbál beolvasni egy QR-kódot a személyes profil kameraalkalmazásával, megnyílik a személyes hitelesítő alkalmazás. Ez hibát okoz, mert a hitelesítő adatok a munkahelyi profilban, nem pedig a személyes profilban találhatóak. A hibaüzenet a következőt fogja mondani: "Ezt az ellenőrzött azonosítót hozzá kell adnia, és újra kell próbálkoznia."