Tanya Jawab Umum (FAQ)

Halaman ini berisi pertanyaan umum tentang Kredensial Yang Dapat Diverifikasi dan Identitas Terdesentralisasi. Pertanyaan disusun ke dalam bagian berikut.

• Kosakata dan dasar-dasar
• Pertanyaan konseptual tentang identitas terdesentralisasi

Dasar-dasar

Apa itu DID?

Pengidentifikasi Terdesentralisasi (DID) adalah pengidentifikasi unik yang digunakan untuk mengamankan akses ke sumber daya, menandatangani dan memverifikasi kredensial, dan memfasilitasi pertukaran data antar aplikasi. Tidak seperti nama pengguna dan alamat email tradisional, entitas dan memiliki dan mengontrol DID itu sendiri (baik itu orang, perangkat, atau perusahaan). DID ada secara independen dari organisasi eksternal atau perantara tepercaya. Spesifikasi Pengidentifikasi Terdesentralisasi W3C menjelaskan DID secara lebih rinci.

Mengapa kita perlu DID?

Kepercayaan digital pada dasarnya mengharuskan peserta untuk memiliki dan mengontrol identitas mereka, dan identitas dimulai dari pengenal. Di era setiap hari, pelanggaran sistem skala besar dan serangan pada honeypots pengidentifikasi terpusat, desentralisasi identitas menjadi kebutuhan keamanan kritis bagi konsumen dan bisnis. Individu yang memiliki dan mengendalikan identitas mereka dapat bertukar data dan bukti yang dapat diverifikasi. Lingkungan kredensial terdistribusi memungkinkan otomatisasi banyak proses bisnis yang saat ini manual dan padat karya.

Apa itu Kredensial yang Dapat Diverifikasi?

Kredensial adalah bagian dari kehidupan sehari-hari kita. SIM digunakan untuk menegaskan bahwa kami mampu mengoperasikan kendaraan bermotor. Gelar universitas dapat digunakan untuk menegaskan tingkat pendidikan dan paspor yang dikeluarkan pemerintah memungkinkan kami untuk bepergian antar negara dan wilayah. Kredensial yang Dapat Diverifikasi menyediakan mekanisme untuk mengekspresikan kredensial semacam ini di Web dengan cara yang aman secara kriptografis, menghormati privasi, dan dapat diverifikasi oleh mesin. Spesifikasi Kredensial yang Dapat Diverifikasi W3C menjelaskan kredensial yang dapat diverifikasi secara lebih rinci.

Pertanyaan konseptual

Apa yang terjadi ketika pengguna kehilangan ponsel mereka? Bisakah mereka memulihkan identitas mereka?

Ada beberapa cara untuk menawarkan mekanisme pemulihan kepada pengguna, masing-masing dengan tradeoff mereka sendiri. Microsoft saat ini mengevaluasi opsi dan merancang pendekatan untuk pemulihan yang menawarkan kenyamanan dan keamanan sambil menghormati privasi dan kedaulatan diri pengguna.

Bagaimana cara pengguna mempercayai permintaan dari penerbit atau pemverifikasi? Bagaimana mereka tahu bahwa DID adalah DID untuk organisasi yang sebenarnya?

Kami telah menerapkan spesifikasi Konfigurasi DID yang Terkenal dari Yayasan Identitas Terdesentralisasi untuk menghubungkan DID ke sistem yang sangat dikenal, nama domain. Setiap DID yang dibuat menggunakan ID Terverifikasi Microsoft Entra memiliki opsi untuk menyertakan nama domain akar yang dikodekan dalam Dokumen DID. Ikuti artikel berjudul Tautkan Domain Anda ke Pengidentifikasi Terdistribusi Anda untuk mempelajari selengkapnya tentang domain tertaut.

Berapa batasan ukuran untuk Kredensial yang Dapat Diverifikasi dalam ID Terverifikasi?

• Untuk permintaan penerbitan - 1 MB
• Foto dalam kredensial yang dapat diverifikasi - 1 MB
• Hasil panggilan balik 10 MB tanpa tanda terima

Apa persyaratan perizinannya?

Tidak ada persyaratan lisensi khusus untuk menerbitkan Kredensial yang dapat diverifikasi.

Bagaimana cara mengatur ulang layanan ID Terverifikasi Microsoft Entra?

Pengaturan ulang mengharuskan Anda memilih keluar dan memilih kembali ke layanan ID Terverifikasi Microsoft Entra. Konfigurasi kredensial yang dapat diverifikasi yang ada diatur ulang dan penyewa Anda mendapatkan DID baru untuk digunakan selama penerbitan dan presentasi.

1. Ikuti instruksi penolakan.
2. Buka langkah-langkah penyebaran ID Terverifikasi Microsoft Entra untuk mengonfigurasi ulang layanan.
   1. Jika Anda menyiapkan ID Terverifikasi secara manual, pilih lokasi untuk Azure Key Vault Anda berada di wilayah yang sama atau terdekat. Memilih wilayah yang sama menghindari masalah performa dan latensi.
3. Selesai menyiapkan layanan kredensial yang dapat diverifikasi. Anda perlu membuat ulang info masuk Anda.
   1. Anda juga perlu menerbitkan info masuk baru karena penyewa Anda sekarang memegang DID baru.

Bagaimana cara memeriksa wilayah penyewa Microsoft Entra saya?

1. Di portal Azure, buka ID Microsoft Entra untuk langganan yang Anda gunakan untuk penyebaran ID Terverifikasi Microsoft Entra Anda.

2. Di bawah Kelola, pilih Properti.

   

3. Lihat nilai untuk Negara atau Wilayah. Jika nilainya adalah negara atau wilayah di Eropa, layanan ID Terverifikasi Microsoft Entra Anda disiapkan di Eropa.

Apakah ID Terverifikasi Microsoft Entra mendukung ION sebagai metode DID-nya?

ID terverifikasi mendukung metode DID:ION dalam pratinjau hingga Desember 2023, setelah itu dihentikan.

Bagaimana cara memindahkan ke did:web dari did:ion?

Jika Anda ingin pindah ke did:web dari did:ion, Anda dapat mengikuti langkah-langkah ini melalui API Admin. Mengubah otoritas memerlukan penerbitan kembali semua kredensial:

Ekspor definisi kredensial did:ion yang ada

1. did:ion Untuk otoritas, gunakan portal untuk menyalin semua definisi tampilan dan aturan dari kredensial yang ada.
2. Jika Anda memiliki lebih dari satu otoritas, Anda harus menggunakan API Admin jika did:ion otoritas bukan otoritas default. Pada penyewa ID Terverifikasi, sambungkan menggunakan ADMIN API, cantumkan pihak berwenang untuk mendapatkan ID otoritas untuk did:ion otoritas. Kemudian gunakan API kontrak daftar untuk mengekspornya dan menyimpan hasilnya ke file sehingga Anda dapat membuatnya kembali.

Membuat otoritas did:web baru

1. Menggunakan API onboard, buat otoritas barudid:web. Atau, jika penyewa Anda hanya memiliki satu otoritas did:ion, Anda juga dapat melakukan penolakan layanan diikuti dengan operasi keikutsertaan untuk memulai ulang dengan konfigurasi ID Terverifikasi. Dalam hal ini, Anda dapat memilih antara penyiapan Cepat dan Manual .
2. Jika Anda menyiapkan otoritas did:web menggunakan Admin API, Anda perlu memanggil buat dokumen DID untuk menghasilkan dokumen did Anda dan panggilan menghasilkan dokumen terkenal dan kemudian mengunggah file JSON ke jalur terkenal masing-masing.

Membuat ulang definisi kredensial

Ketika Anda telah membuat otoritas baru did:web , Anda perlu membuat ulang definisi kredensial Anda. Anda dapat melakukannya melalui portal jika Anda memilih keluar dan melakukan reonboarding, atau Anda perlu menggunakan API buat kontrak untuk membuatnya kembali.

Memperbarui aplikasi yang ada

1. Perbarui salah satu aplikasi Anda yang ada (aplikasi penerbit/pemverifikasi) untuk menggunakan aplikasi baru did:web authority. Untuk aplikasi penerbitan, perbarui URL manifes info masuk juga.
2. Uji penerbitan dan alur verifikasi dari otoritas did:web baru. Setelah pengujian berhasil, lanjutkan ke langkah berikutnya untuk penghapusan otoritas did:ion.

Menghapus otoritas did:ion

Jika Anda tidak memilih keluar dan melakukan reonboarding, Anda perlu menghapus otoritas lama did:ion Anda. Gunakan API otoritas penghapusan untuk menghapus otoritas did:ion.

Jika saya mengonfigurasi ulang layanan ID Terverifikasi Microsoft Entra, apakah saya perlu menautkan ulang DID saya ke domain saya?

Ya, setelah mengkonfigurasi ulang layanan Anda, penyewa Anda memiliki penggunaan DID baru untuk menerbitkan dan memverifikasi kredensial yang dapat diverifikasi. Anda perlu mengaitkan DID baru Anda dengan domain Anda.

Apakah mungkin untuk meminta Microsoft untuk mengambil "DID lama"?

Tidak, pada titik ini tidak dimungkinkan untuk menyimpan DID penyewa Anda setelah Anda memilih keluar dari layanan.

Saya tidak bisa menggunakan ngrok, apa yang harus saya lakukan?

Tutorial untuk menyebarkan dan menjalankan contoh menjelaskan penggunaan alat ngrok sebagai proksi aplikasi. Alat ini terkadang diblokir oleh admin TI agar tidak digunakan di jaringan perusahaan. Alternatifnya adalah menyebarkan sampel ke Azure App Service dan menjalankannya di cloud. Tautan berikut membantu Anda menyebarkan sampel masing-masing ke Azure App Service. Tingkat harga Gratis cukup untuk menghosting sampel. Untuk setiap tutorial, Anda harus memulai dengan membuat instans Azure App Service terlebih dahulu, lalu melewati pembuatan aplikasi karena Anda sudah memiliki aplikasi dan lanjutkan tutorial dengan menyebarkannya.

• Dotnet - Menerbitkan ke App Service
• Node - Menyebarkan ke App Service
• Java - Menyebarkan ke App Service. Anda perlu menambahkan plugin maven untuk Azure App Service ke sampel.
• Python - Menyebarkan menggunakan Visual Studio Code

Terlepas dari bahasa sampel mana yang Anda gunakan, nama https://something.azurewebsites.net host Azure AppService digunakan sebagai titik akhir publik. Anda tidak perlu mengonfigurasi sesuatu yang ekstra untuk membuatnya berfungsi. Jika Anda membuat perubahan pada kode atau konfigurasi, Anda perlu menyebarkan ulang sampel ke Azure AppServices. Pemecahan masalah/penelusuran kesalahan tidak semampu menjalankan sampel di komputer lokal Anda, di mana jejak ke jendela konsol menunjukkan kesalahan, tetapi Anda dapat mencapai hampir sama dengan menggunakan Aliran Log.

Pengerasan jaringan untuk peristiwa panggilan balik

API Layanan Permintaan menggunakan panggilan balik ke URL yang disediakan oleh aplikasi pihak yang mengandalkan. URL ini perlu dijangkau dari sistem ID Terverifikasi agar panggilan balik diterima. Panggilan balik berasal dari infrastruktur Azure di wilayah yang sama dengan penyewa Microsoft Entra Anda. Jika Anda perlu mengeraskan jaringan, Anda memiliki dua opsi.

• Gunakan taglayanan firewall Azure AzureCloud.
• Gunakan rentang CIDR yang diterbitkan untuk mengonfigurasi firewall Anda. Anda perlu menggunakan AzureCloud. wilayah yang cocok dengan tempat penyewa Microsoft Entra Anda disebarkan untuk mengonfigurasi firewall Anda untuk mengizinkan lalu lintas panggilan balik dari API Layanan Permintaan. Misalnya, jika penyewa Anda berada di UE, Anda harus memilih semua rentang CIDR dari AzureCloud.northeurope, .westeurope, dll., ke konfigurasi firewall Anda.

Memindai kode QR

Dalam dokumentasi, instruksi scan the QR code mengacu pada pemindaian dengan aplikasi seluler Microsoft Authenticator, kecuali dinyatakan lain. Dimungkinkan untuk memindai kode QR dengan aplikasi kamera seluler, yang kemudian meluncurkan Microsoft Authenticator. Agar ini berfungsi, handler protokol untuk openid-vc:// harus didaftarkan untuk Microsoft Authenticator. Jika aplikasi seluler lain telah didaftarkan untuk itu, Authenticator tidak akan terbuka.

Di ponsel Android, masalah pemindaian kode QR yang diketahui adalah:

• Pada Android 9 dan versi yang lebih lama, memindai kode QR dengan aplikasi kamera tidak berfungsi, dan tidak ada solusi lain selain menggunakan aplikasi Microsoft Authenticator untuk memindainya.
• Di ponsel Android dengan profil kerja dan pribadi, setiap profil memiliki instans aplikasi Microsoft Authenticator sendiri. Jika Anda memiliki kredensial di aplikasi Authenticator profil kerja dan mencoba memindai kode QR menggunakan aplikasi kamera dari profil pribadi, aplikasi Authenticator pribadi akan terbuka. Ini menyebabkan kesalahan karena kredensial berada di profil kerja, bukan yang pribadi. Pesan kesalahan akan mengatakan, "Anda harus menambahkan ID Terverifikasi ini dan mencoba lagi."

Langkah berikutnya

• Menyesuaikan kredensial Anda yang dapat diverifikasi