Freigeben über

Verifizieren des Domänenbesitzes für den dezentralen Bezeichner

In diesem Artikel überprüfen wir die Schritte, die erforderlich sind, um ihren Besitz des Domänennamens zu überprüfen, den Sie für Ihren dezentralen Bezeichner (DID) verwenden.

Voraussetzungen

Um den Domänenbesitz ihrer DID zu überprüfen, müssen Sie:

Überprüfen des Domänenbesitzes und Verteilen der did-configuration.json Datei

Die Domäne, für die Sie den Besitz Ihrer DID überprüfen, wird im Abschnitt "Übersicht" definiert. Die Domäne muss eine unter Ihrer Kontrolle sein und sollte im Format https://www.contoso.com/ sein.

  1. Wählen Sie im Microsoft Entra Admin Center die Seite "Überprüfte ID " aus.

  2. Wählen Sie "Übersicht" und in diesem Abschnitt " Domänenbesitz überprüfen" aus.

  3. Wählen Sie "Überprüfen" für die Domäne aus.

  4. Kopieren oder herunterladen Sie die did-configuration.json Datei.

    Screenshot, der das Herunterladen der bekannten Konfiguration zeigt.

  5. Hosten Sie die did-configuration.json Datei an dem angegebenen Speicherort. Wenn Sie beispielsweise eine Domain https://www.contoso.com angegeben haben, muss die Datei unter https://www.contoso.com/.well-known/did-configuration.json gehostet werden. Es kann kein anderer Pfad in der URL vorhanden sein, mit Ausnahme des .well-known path Namens.

  6. Wenn did-configuration.json unter der .well-known/did-configuration.json URL öffentlich verfügbar ist, überprüfen Sie es, indem Sie Überprüfungsstatus aktualisieren auswählen.

    Screenshot, der die überprüfte bekannte Konfiguration zeigt.

  7. Testen Sie das Ausstellen oder Präsentieren mit Microsoft Authenticator, um die Überprüfung durchzuführen. Stellen Sie sicher, dass die Einstellung Vor unsicheren Apps warnen in Authenticator aktiviert ist. Diese Einstellung ist standardmäßig aktiviert.

Wie kann ich überprüfen, ob die Überprüfung funktioniert?

Das Portal überprüft, ob did-configuration.json über das Internet erreichbar und gültig ist, wenn Sie Aktualisieren des Überprüfungsstatus auswählen. Authenticator berücksichtigt keine HTTP-Umleitungen. Sie sollten auch überprüfen, ob Sie die URL in einem Browser anfordern können, um Fehler wie die Verwendung von HTTPS, ein ungültiges TLS/SSL-Zertifikat oder die URL zu vermeiden, die nicht öffentlich ist. Wenn die did-configuration.json Datei nicht anonym in einem Browser oder über Tools wie curl ohne Warnungen oder Fehler angefordert werden kann, kann das Portal auch den Schritt Aktualisierung des Überprüfungsstatus nicht abschließen.

Hinweis

Wenn Probleme beim Aktualisieren des Überprüfungsstatus auftreten, können Sie das Problem beheben, indem Sie curl -Iv https://contoso.com/.well-known/did-configuration.json auf einem Computer mit Ubuntu OS ausführen. Windows-Subsystem für Linux mit Ubuntu funktioniert ebenfalls. Wenn curl fehlschlägt, funktioniert das Aktualisieren des Überprüfungsstatus nicht.

Warum muss ich den Domänenbesitz unserer DID überprüfen?

Eine DID beginnt als Bezeichner, der nicht an vorhandene Systeme verankert ist. Eine DID ist nützlich, da ein Benutzer oder eine Organisation es besitzen und steuern kann. Wenn eine Entität, die mit der Organisation interagiert, nicht weiß, zu wem die DID gehört, ist die DID nicht so nützlich.

Durch das Verknüpfen einer DID mit einer Domäne wird das anfängliche Vertrauensproblem gelöst, indem jede Entität die Beziehung zwischen einer DID und einer Domäne kryptografisch überprüfen kann.

Verifizierte ID folgt der bekannten DID-Konfigurationsspezifikation, um den Link zu erstellen. Der Dienst für verifizierbare Anmeldeinformationen verknüpft Ihre DID und Ihre Domain. Der Dienst enthält die Domäneninformationen, die Sie in Ihrer DID bereitgestellt haben, und generiert die bekannte Konfigurationsdatei:

  1. Die verifizierte ID nutzt die Domäneninformationen, die Sie während der Einrichtung der Organisation angeben, um einen Service-Endpunkt innerhalb des DID-Dokuments festzulegen. Alle Parteien, die mit Ihrer DID interagieren, können die Domain sehen, mit der Ihre DID assoziiert ist.

    "service": [
  {
    "id": "#linkeddomains",
    "type": "LinkedDomains",
    "serviceEndpoint": {
      "origins": [
        "https://verifiedid.contoso.com/"
      ]
    }
  }
]

  2. Der Nachweisdienst in Verified ID generiert eine kompatible Ressource mit der bekannten Konfiguration, die Sie in Ihrer Domäne hosten müssen. Die Konfigurationsdatei enthält eine selbst ausgestellte, überprüfbare Anmeldeinformation des Anmeldeinformationstyps DomainLinkageCredential, die mit Ihrem DID signiert ist und einen Ursprung in Ihrer Domäne hat. Hier ist ein Beispiel für die Konfigurationsdatei, die unter der Stammdomänen-URL gespeichert ist.

    {
  "@context": "https://identity.foundation/.well-known/contexts/did-configuration-v0.0.jsonld",
  "linked_dids": [
    "jwt..."
  ]
}

Benutzererfahrung in der Brieftasche

Wenn ein Benutzer einen Ausstellungsflow durchläuft oder einen Nachweis präsentiert, muss er etwas über die Organisation und den zugehörigen DID wissen. Der Authentifikator überprüft die Beziehung einer DID mit der Domäne im DID-Dokument und stellt Benutzern je nach Ergebnis zwei verschiedene Erfahrungen vor.

Verifizierte Domäne

Bevor Authenticator ein überprüftes Symbol anzeigt, müssen einige Punkte wahr sein:

  • Die DID, die die selbst ausgestellte OpenID (SIOP)-Anforderung unterzeichnet, muss über einen Dienstendpunkt für eine verknüpfte Domäne verfügen.
  • Die Stammdomäne verwendet keine Umleitung und verwendet HTTPS.
  • Die im DID-Dokument aufgeführte Domäne verfügt über eine auflösungsfähige bekannte Ressource.
  • Der Nachweis der bekannten Ressource ist mit der gleichen DID signiert, die auch zum Signieren der SIOP verwendet wurde, die von Authenticator zum Starten des Flows verwendet wurde.

Wenn alle zuvor erwähnten Punkte wahr sind, zeigt Authenticator eine überprüfte Seite an und enthält die Domäne, die überprüft wurde.

Screenshot einer neuen Berechtigungsanforderung.

Nicht überprüfte Domäne

Wenn einer der vorstehenden Punkte nicht zutrifft, zeigt Authenticator eine vollseitige Warnung an, die angibt, dass die Domäne nicht überprüft ist. Der Benutzer wird gewarnt, dass er sich mitten in einer potenziellen riskanten Transaktion befindet und mit Vorsicht fortfahren sollte. Sie haben sich möglicherweise dafür entschieden, diese Route zu nehmen, weil:

  • Das DID ist nicht an eine Domäne verankert.
  • Die Konfiguration wurde nicht ordnungsgemäß eingerichtet.
  • Die DID, mit der der Benutzer interagiert, könnte böswillig sein und kann tatsächlich nicht nachweisen, dass er der Besitzer der verknüpften Domäne ist.

Es ist sehr wichtig, dass Sie Ihre DID mit einer Domäne verknüpfen, die für den Benutzer erkennbar ist.

Screenshot der nicht überprüften Domänenwarnung auf dem Bildschirm

Wie aktualisiere ich die verknüpfte Domäne auf meinem DID?

Beim Webvertrauenssystem wird das Aktualisieren Ihrer verknüpften Domäne nicht unterstützt. Sie müssen das System deaktivieren und ein erneutes Onboarding durchführen.

Verknüpfte Domäne für Entwickler leicht gemacht

Hinweis

Das DID-Dokument muss öffentlich verfügbar sein, damit die DID-Registrierung erfolgreich ist.

Die einfachste Möglichkeit für Entwickler, eine Domain für eine verbundene Domain zu verwenden, besteht darin, die Azure Storage statische Website-Funktion zu nutzen. Sie können nicht steuern, was der Domänenname ist, außer dass er Ihren Speicherkontonamen als Teil seines Hostnamens enthält.

So richten Sie schnell eine Domäne ein, die für eine verknüpfte Domäne verwendet werden soll:

  1. Erstellen Sie ein Speicherkonto. Wählen Sie während der Erstellung StorageV2 (allgemeines v2-Konto) und lokal redundanten Speicher (LRS) aus.
  2. Wechseln Sie zum Speicherkonto, und wählen Sie " Statische Website " im Menü ganz links aus, und aktivieren Sie "Statische Website". Wenn das Menüelement " Statische Website " nicht angezeigt wird, haben Sie kein V2-Speicherkonto erstellt.
  3. Kopieren Sie den namen des primären Endpunkts, der nach dem Speichern angezeigt wird. Dieser Wert ist Ihr Domänenname. Der Wert sollte etwa wie folgt aussehen: https://<your-storageaccountname>.z6.web.core.windows.net/.

Wenn es an der Zeit ist, die did-configuration.json Datei hochzuladen:

  1. Wechseln Sie zum Speicherkonto, und wählen Sie "Container" im menü ganz links aus. Wählen Sie dann den Container mit dem Namen $web aus.
  2. Wählen Sie "Hochladen " aus, und wählen Sie das Ordnersymbol aus, um Ihre Datei zu finden.
  3. Öffnen Sie vor dem Hochladen den Abschnitt Erweitert und geben Sie im Textfeld Hochladen in Ordner.well-known an.
  4. Laden Sie die Datei hoch.

Sie haben Ihre Datei jetzt öffentlich unter einer URL verfügbar, die ungefähr wie https://<your-storageaccountname>.z6.web.core.windows.net/.well-known/did-configuration.json aussieht.

Nächste Schritte

  • Last updated on