Configuration avancée de la Vérification d’identité Microsoft Entra
La configuration avancée de la Vérification d’identité est la méthode classique de configuration quand vous, administrateur, devez configurer Azure KeyVault, inscrire votre ID décentralisé et vérifier votre domaine.
Dans ce tutoriel, vous apprenez à utiliser la configuration avancée pour configurer votre locataire Microsoft Entra afin qu’il utilise le service de justificatifs vérifiables.
Plus précisément, vous apprenez à :
- Créer une instance Azure Key Vault
- Configurez le service Vérification d’identité avec la configuration avancée.
- Inscrivez une application dans Microsoft Entra ID.
Le diagramme suivant illustre l’architecture Vérification d’identité et le composant que vous configurez.
Prérequis
- Vous devez disposer d’un locataire Azure associé à un abonnement actif. Si vous n’avez pas d’abonnement Azure, créez-en un gratuitement.
- Vérifiez que vous disposez de l’autorisation Administrateur général ou Administrateur de la stratégie d’authentification pour l’annuaire à configurer. Si vous n’êtes pas administrateur général, vous avez besoin de l’autorisation Administrateur d’application pour procéder à l’enregistrement de l’application, y compris l’octroi du consentement d’administrateur.
- Vérifiez que vous disposez du rôle Contributeur pour l’abonnement Azure ou le groupe de ressources où vous allez déployer Azure Key Vault.
- Vérifiez que vous fournissez des autorisations d’accès pour Key Vault. Pour plus d’informations, consultez Attribution de l’accès aux clés, certificats et secrets Key Vault avec un contrôle d’accès en fonction du rôle Azure.
Création d’un coffre de clés
Remarque
Azure Key Vault que vous utilisez pour configurer le service d’ID vérifié doit disposer d’une stratégie d’accès Key Vault pour son modèle d’autorisation. Il existe actuellement une limitation dans la cas où Key Vault dispose d’un contrôle d’accès en fonction du rôle Azure.
Azure Key Vault est un service cloud qui permet le stockage sécurisé et la gestion d’accès aux secrets et aux clés. Le service Vérification d’ID stocke les clés publiques et privées dans Azure Key Vault. Ces clés sont utilisées pour signer et vérifier les justificatifs.
Si vous n’avez pas d’instance Azure Key Vault disponible, procédez comme suit pour créer un coffre de clés à l’aide du portail Azure. Le coffre de clés Azure que vous utilisez pour configurer le service d’ID vérifié doit disposer d’une stratégie d’accès Key Vault pour son modèle d’autorisation au lieu du contrôle d’accès en fonction du rôle Azure qui est actuellement la valeur par défaut lors de la création d’un coffre de clés Azure.
Remarque
Par défaut, le compte qui crée un coffre est le seul à pouvoir y accéder. Le service de vérification d’ID doit avoir accès au coffre de clés. Vous devez authentifier votre coffre de clés, ce qui permet au compte utilisé pendant la configuration de créer et de supprimer des clés. Le compte utilisé lors de la configuration nécessite également des autorisations pour signer pour qu’il puisse créer la liaison de domaine pour l’ID vérifié. Si vous utilisez le même compte lors des tests, modifiez la stratégie par défaut pour accorder au compte l’autorisation de signature, en plus des autorisations par défaut accordées aux créateurs de coffres.
Gérer l’accès au coffre de clés
Avant de pouvoir configurer le Verified ID, vous devez fournir l’accès Key Vault. Cela définit si un administrateur spécifié peut effectuer des opérations sur les clés et secrets Key Vault. Fournissez des autorisations d’accès dans votre coffre de clés pour le compte d’administrateur Verified ID et pour le principal d’API du service de requête que vous avez créé.
Une fois votre coffre de clés créé, Justificatifs vérifiables génère un jeu de clés utilisé pour assurer la sécurité des messages. Ces clés sont stockées dans le coffre de clés. Vous utilisez un jeu de clés pour signer des justificatifs vérifiables.
Configurer un ID vérifié
Pour configurer un ID vérifié, procédez comme suit :
Connectez-vous au centre d’administration Microsoft Entra en tant qu’Administrateur général.
Sélectionnez ID vérifié.
Dans le menu de gauche, sélectionnez Configuration.
Dans le menu central, sélectionnez Configurer les paramètres de l’organisation.
Configurez votre organisation en fournissant les informations suivantes :
Nom de l’organisation : Entrez un nom pour faire référence à votre entreprise dans le cadre des ID vérifiés. Vos clients ne voient pas ce nom.
Domaine approuvé : Entrez un domaine ajouté à un point de terminaison de service dans votre document d’identité décentralisée (DID). Le domaine est ce qui lie votre DID à un élément tangible que l’utilisateur peut connaître sur votre entreprise. Microsoft Authenticator et d’autres portefeuilles numériques utilisent ces informations pour s’assurer que votre DID est lié à votre domaine. Si le portefeuille peut vérifier le DID, il affiche un symbole vérifié. Dans le cas contraire, il informe l’utilisateur que des justificatifs ont été émis par une organisation qu’il n’a pas pu valider.
Important
Le domaine ne peut pas être une redirection. Dans le cas contraire, le DID et le domaine ne peuvent pas être liés. Veillez à utiliser le protocole HTTPS pour le domaine. Par exemple :
https://did.woodgrove.com
.Coffre de clés : sélectionnez le coffre de clés que vous avez créé précédemment.
Cliquez sur Enregistrer.
Inscrivez une application dans Microsoft Entra ID
Votre application doit obtenir des jetons d’accès quand elle a besoin d’appeler le service Vérification d’identité Microsoft Entra afin d’émettre ou de vérifier des informations d’identification. Pour obtenir des jetons d’accès, vous devez inscrire une application et accorder les autorisations d’API nécessaires pour le principal de service de demande de vérification d’identité. Par exemple, effectuez les étapes suivantes pour une application web :
Connectez-vous au centre d’administration Microsoft Entra en tant qu’Administrateur général.
Sélectionnez Microsoft Entra ID.
Sous Applications, sélectionnez Inscriptions d’applications>Nouvelle inscription.
Entrez un nom d’affichage pour votre application. Par exemple : verifiable-credentials-app.
Pour Types de comptes pris en charge, sélectionnez Comptes dans cet annuaire organisationnel uniquement (Annuaire par défaut uniquement – Locataire unique) .
Sélectionnez Inscrire pour créer l’application.
Accorder des autorisations pour obtenir des jetons d’accès
Lors de cette étape, vous accordez des autorisations au principal de service de demande de service de justificatifs vérifiables.
Pour ajouter les autorisations requises, suivez ces étapes :
Restez dans la page des détails de l’application verifiable-credentials-app. Sélectionnez Autorisations de l’API>Ajouter une autorisation.
Sélectionnez API utilisées par mon organisation.
Recherchez le principal de service Demande de service de justificatifs vérifiables et sélectionnez-le.
Choisissez Permission d’application et développez VerifiableCredential.Create.All.
Sélectionnez Ajouter des autorisations.
Sélectionnez Accorder le consentement administrateur pour <nom de votre locataire>.
Vous pouvez choisir d’accorder des autorisations d’émission et de présentation séparément si vous préférez séparer les étendues à différentes applications.
Inscrire l’ID décentralisé et vérifier la propriété du domaine
Après la configuration d’Azure Key Vault et que le service dispose d’une clé de signature, vous devez effectuer les étapes 2 et 3 de l’installation.
- Connectez-vous au centre d’administration Microsoft Entra en tant qu’Administrateur général.
- Sélectionner Justificatifs vérifiables.
- Dans le menu de gauche, sélectionnez Configuration.
- Dans le menu central, sélectionnez Inscrire l’ID décentralisé pour inscrire votre document DID, selon les instructions de l’article Comment inscrire votre ID décentralisé pour did:web. Vous devez effectuer cette étape avant de pouvoir continuer la vérification de votre domaine. Vous devez ignorer cette étape si vous avez sélectionné did:ion comme système d’approbation.
- Dans le menu central, sélectionnez Vérifier la propriété du domaine pour vérifier votre domaine, selon les instructions de l’article Vérifier la propriété du domaine vers votre identificateur décentralisé (DID)
Une fois que vous avez terminé les étapes de vérification et que les trois étapes portent une encoche verte, vous êtes prêt à passer au tutoriel suivant.