Microsoft Entra の検証済み ID の詳細設定

検証済み ID の詳細設定は、検証済み ID を設定する従来の方法であり、管理者が Azure KeyVault を構成し、分散型 ID の登録とドメインの検証を行う必要があります。

このチュートリアルでは、詳細設定を使用して、検証可能な資格情報サービスを使用するように Microsoft Entra テナントを構成する方法について説明します。

具体的には、次の方法を学習します。

次の図は、確認済み ID のアーキテクチャと、構成するコンポーネントです。

前提条件

• アクティブなサブスクリプションを含む Azure テナントが必要です。 Azure サブスクリプションをお持ちでない場合は、無料でアカウントを作成してください。
• 構成するディレクトリに対して、グローバル管理者または認証ポリシー管理者の権限があることを確認します。 グローバル管理者でない場合は、管理者の同意の付与を含むアプリ登録を完了するために、アプリケーション管理者権限が必要です。
• Azure Key Vault をデプロイする Azure サブスクリプションまたはリソース グループに対する共同作成者ロールがあることを確認します。
• Key Vault のアクセス許可を指定していることを確認します。 詳細については、「Azure のロールベースのアクセス制御を使用して Key Vault のキー、証明書、シークレットへのアクセス権を付与する」を参照してください。

Key Vault を作成します

Azure Key Vault は、シークレットとキーを安全に保管してアクセスを管理できるようにするクラウド サービスです。 確認済み ID サービスでは、公開キーと秘密キーが Azure Key Vault に格納されます。 これらのキーは、資格情報の署名と検証に使用されます。

Azure Key Vault インスタンスを使用できない場合は、次の手順に従って Azure portal を使用してキー コンテナーを作成します。Verified ID サービスのセットアップに使用する Azure Key Vault には、Azure Key Vault 作成時に現在デフォルトとなっている Azure ロール ベースのアクセス制御ではなく、アクセス許可モデルの Key Vault アクセス ポリシーが必要です。

キー コンテナーへのアクセスを管理する

検証済み ID を設定するには、その前に Key Vault のアクセス権を提供する必要があります。 これは、指定された管理者が Key Vault のシークレットとキーに対して操作を実行できるかどうかを定義します。 検証済み ID 管理者アカウントと、作成した Request Service API プリンシパルの両方に、キー コンテナーに対するアクセス許可を提供します。

キー コンテナーを作成すると、検証可能な資格情報によって、メッセージ セキュリティを確保するために使用される一連のキーが生成されます。 これらのキーは、Key Vault に格納されます。 キー セットは、検証可能な資格情報の署名、更新、および回復に使用します。

確認済み ID を設定する

確認済み ID を設定するには、次の手順のようにします。

1. Microsoft Entra 管理センターにグローバル管理者としてサインインします。

2. [検証済み ID] を選びます。

3. 左側のメニューから、[設定] を選択します。

4. 中央のメニューで、[組織の設定を構成] を選びます。

5. 次の情報を指定して、組織を設定します。

   1. 組織名: 検証済み ID で自分のビジネスを参照する名前を入力します。 顧客にこの名前は表示されません。

   2. 信頼される側のドメイン: 分散化 ID (DID) ドキュメントのサービス エンドポイントに追加されるドメインを入力します。 ドメインは、ユーザーがお客様のビジネスについて知っている具体的な何かに DID をバインドするものです。 Microsoft Authenticator とその他のデジタル ウォレットでは、DID がドメインにリンクされていることを検証するために、この情報を使用します。 DID を検証できる場合、ウォレットには検証済み記号が表示されます。 ウォレットで DID を検証できない場合、検証できない資格情報が組織によって発行されたことがユーザーに通知されます。

      重要

      ドメインはリダイレクトしないようにします。 そうしないと、DID とドメインはリンクできません。 ドメインに HTTPS を使用してください。 (例: https://did.woodgrove.com)。

   3. キー コンテナー: 前に作成したキー コンテナーを選択します。

6. [保存] を選択します。

   

アプリケーションを Microsoft Entra ID に登録します

アプリケーションは、資格情報を発行または検証できるように Microsoft Entra 確認済み ID を呼び出す必要があるときに、アクセス トークンを取得する必要があります。 アクセス トークンを取得するには、アプリケーションを登録し、確認済み ID 要求サービスに対する API アクセス許可を付与する必要があります。 たとえば、Web アプリケーションには次の手順を使用します。

1. Microsoft Entra 管理センターにグローバル管理者としてサインインします。

2. [Microsoft Entra ID] を選びます。

3. [アプリケーション] で [アプリの登録]>[新規登録] の順に選択します。

   

4. アプリケーションの表示名を入力します。 たとえば、verifiable-credentials-app と指定します。

5. [サポートされているアカウントの種類] で、 [Accounts in this organizational directory only (Default Directory only - Single tenant)](この組織ディレクトリのアカウントのみ (既定のディレクトリのみ - シングル テナント)) を選択します。

6. [登録] を選択して、アプリケーションを作成します。

   

アクセス トークンを取得するためにアクセス許可を付与する

この手順では、検証可能な資格情報サービス要求のサービス プリンシパルにアクセス許可を付与します。

必要なアクセス許可を追加するには、次の手順に従います。

1. verifiable-credentials-app アプリケーション詳細ページで作業を続けます。 [API のアクセス許可] 、 [アクセス許可の追加] の順に選択します。

   

2. [所属する組織で使用している API] を選択します。

3. 検証可能な資格情報サービス要求サービス プリンシパルを検索し、選択します。

   

4. [アプリケーションのアクセス許可] を選択し、 [VerifiableCredential.Create.All] を展開します。

   

5. [アクセス許可の追加] を選択します.

6. [<テナント名> に管理者の同意を与えます] を選択します。

範囲を異なるアプリケーションに分離する場合、発行とプレゼンテーションのアクセス許可を別々に付与することを選択できます。

分散化 ID を登録してドメインの所有権を確認する

Azure Key Vault がセットアップされ、サービスに署名キーが設定されたら、セットアップの手順 2 と 3 を完了する必要があります。

1. Microsoft Entra 管理センターにグローバル管理者としてサインインします。
2. [検証可能な資格情報] を選択します。
3. 左側のメニューから、[設定] を選択します。
4. 中央のメニューから、記事「did:web に分散化 ID を登録する方法」の手順に従って、[Register decentralized ID] (分散化 ID の登録) を選択して DID ドキュメントを登録します。 ドメインの確認を続けるには、先にこの手順を完了しておく必要があります。 信頼システムとして did:ion を選択した場合は、この手順はスキップしてください。
5. 中央のメニューで、記事「分散化識別子 (DID) に対するドメイン所有権を確認する」の手順に従って、[ドメインの所有権を確認します] を選択してドメインを確認します

検証手順が正常に完了し、3 つすべての手順に緑のチェックマークが付いたら、次のチュートリアルに進む準備が整っています。

次の手順

• Web アプリケーションから Microsoft Entra 確認済み ID 資格情報を発行する方法について学習します。
• Microsoft Entra 確認済み ID 資格情報を確認する方法について学習します。