고급 Microsoft Entra 확인된 ID 설정

고급 확인된 ID 설정은 관리자인 당신이 다양한 구성 요소를 수동으로 구성하는 전통적인 방법입니다. 여기에는 Azure Key Vault 설정, 탈중앙화 ID 등록 및 도메인 확인이 포함됩니다. 고급 설정은 구성 프로세스를 완전히 제어하여 모든 세부 정보가 조직의 특정 요구 사항을 충족하도록 합니다. 사용자 지정 설정이 필요한 기업에 적합합니다.

고급 설정에는 다음 단계가 포함됩니다.

1. Azure Key Vault구성: 자격 증명 서명 및 확인에 사용되는 키를 안전하게 저장하고 관리합니다.
2. 탈중앙화 ID등록: DID(탈중앙화 식별자)를 만들고 등록하여 신뢰할 수 있는 ID를 설정합니다.
3. 도메인확인: 도메인이 DID에 올바르게 연결되어 자격 증명에 대한 신뢰할 수 있는 원본을 제공하는지 확인합니다.

이 자습서에서는 다음 방법을 알아봅니다.

다음 다이어그램은 Verified ID 아키텍처와 구성하는 구성 요소를 보여 줍니다.

필수 조건

• 활성 구독이 있는 Azure 테넌트가 필요합니다. Azure 구독이 아직 없는 경우 체험판 구독을 만듭니다.
• 구성하려는 디렉터리에 대한 전역 관리자 또는 인증 정책 관리자 권한이 있어야 합니다. 전역 관리자가 아닌 경우 관리자 동의 부여를 포함하여 앱 등록을 완료하려면 애플리케이션 관리자 권한이 필요합니다.
• Azure 구독 또는 Azure Key Vault를 배포할 리소스 그룹에 대한 기여자 역할이 있는지 확인합니다.
• Key Vault에 대한 액세스 권한을 제공하는지 확인합니다. 자세한 내용은 Azure 역할 기반 액세스 제어를 사용하여 Key Vault 키, 인증서 및 비밀에 대한 액세스 제공을 참조하세요.

키 자격 증명 모음 만들기

Azure Key Vault는 비밀과 키를 안전하게 저장하고 액세스를 관리할 수 있는 클라우드 서비스입니다. Verified ID 서비스는 Azure Key Vault에 공용 및 프라이빗 키를 저장합니다. 이러한 키는 자격 증명에 서명하고 확인하는 데 사용됩니다.

사용할 수 있는 Azure Key Vault 인스턴스가 없는 경우 이 단계를 따라 Azure 포털을 사용하여 키 자격 증명 모음을 만드십시오. 확인된 ID 서비스를 설정하는 데 사용하는 Azure Key Vault에는 Azure 역할 기반 액세스 제어 대신 해당 권한 모델에 대한 Key Vault 액세스 정책 있어야 합니다.

키 자격 증명 모음에 대한 액세스 관리

확인된 ID를 설정하기 전에 Key Vault 에 대한 액세스이 필요합니다. 확인된 ID 관리자 계정과 만든 요청 서비스 API 주체 모두에 대해 키 자격 증명 모음에 대한 액세스 권한을 제공합니다.

Key Vault를 만든 후 확인 가능한 자격 증명은 메시지 보안을 제공하는 데 사용되는 키 집합을 생성합니다. 이러한 키는 Key Vault에 저장됩니다. 확인 가능한 자격 증명 서명에 키 집합을 사용합니다.

Verified ID 설정

확인된 ID를 설정하려면 다음 단계를 따릅니다.

1. 전역 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. 왼쪽 메뉴에서 확인된 ID 아래의 개요를 선택합니다.

3. 가운데 메뉴에서 설치 탭을 선택한 다음 고급 설정을 선택합니다.

4. 조직 설정 구성 선택

5. 다음 정보를 제공하여 조직을 설정합니다.

   1. 조직 이름: 확인된 ID 내에서 비즈니스를 참조할 이름을 입력합니다. 고객에게는 이 이름이 표시되지 않습니다.

   2. 신뢰할 수 있는 도메인: 도메인 이름을 입력합니다. 지정한 이름은 DID(탈중앙화 ID) 문서의 서비스 엔드포인트에 추가됩니다. 도메인은 DID를 사용자가 해당 비즈니스에 대해 알 수 있는 유형의 무언가에 바인딩하는 것입니다. Microsoft Authenticator 및 기타 디지털 지갑에서 이 정보를 사용하여 DID가 도메인에 연결되어 있는지 확인합니다. 월렛이 DID를 확인할 수 있으면 확인된 기호가 표시됩니다. 전자지갑이 DID를 확인할 수 없는 경우, 자격 증명 발급자가 유효성을 검사할 수 없는 조직임을 사용자에게 알립니다.

      Important

      도메인은 리디렉션이 될 수 없습니다. 리디렉션이 가능한 경우에는 DID와 도메인을 연결할 수 없습니다. HTTPS를 도메인에 사용해야 합니다. 예: https://did.woodgrove.com 또한 Key Vault의 권한 모델이 자격 증명 모음 액세스 정책으로 설정되어 있는지 확인하세요.

   3. Key Vault: 이전에 만든 키 자격 증명 모음을 선택합니다.

6. 저장을 선택합니다.

   

Microsoft Entra ID에 애플리케이션 등록

애플리케이션은 자격 증명을 발급하거나 확인할 수 있도록 Microsoft Entra Verified ID를 호출하려는 경우 액세스 토큰을 가져와야 합니다. 액세스 토큰을 받기 위해서는 웹 애플리케이션을 등록하고 Verified ID 요청 서비스에 대한 API 권한을 부여해야 합니다. 예를 들어 웹 애플리케이션에 대해 다음 단계를 사용합니다.

1. 전역 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. Microsoft Entra ID를 선택합니다.

3. 애플리케이션에서 앱 등록>새 등록을 선택합니다.

   

4. 애플리케이션의 표시 이름을 입력합니다. 예를 들어 verifiable-credentials-app과 같습니다.

5. 지원되는 계정 유형에 대해 이 조직 디렉터리의 계정만(기본 디렉터리만 - 단일 테넌트)을 선택합니다.

6. 등록을 선택하여 애플리케이션을 만듭니다.

   

액세스 토큰을 얻을 수 있는 권한 부여

이 단계에서는 권한을 확인 가능한 자격 증명 서비스 요청 서비스 주체에 부여합니다.

필요한 권한을 추가하려면 다음 단계를 수행합니다.

1. verifiable-credentials-app 애플리케이션 세부 정보 페이지에 남아 있습니다. API 권한>권한 추가를 선택합니다.

   

2. 조직에서 사용하는 API 선택.

3. 확인 가능한 자격 증명 서비스 요청 서비스 주체를 검색하고 선택합니다.

   

4. 애플리케이션 권한을 선택하고, VerifiableCredential.Create.All을 펼칩니다.

   

5. 권한 추가를 선택합니다.

6. <테넌트 이름>에 대한 관리자 동의 부여를 선택합니다.

범위를 다른 애플리케이션으로 분리하려는 경우 발급 및 프레젠테이션 권한을 별도로 부여하도록 선택할 수 있습니다.

탈중앙화 ID 등록 및 도메인 소유권 확인

Azure Key Vault가 설정되고 서비스에 서명 키가 있으면 설정에서 2단계와 3단계를 완료해야 합니다.

1. 전역 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
2. 확인된 ID를 선택합니다.
3. 왼쪽 메뉴에서 개요를 선택합니다.
4. did:web에 대한 탈중앙화 ID를 등록하는 방법 문서의 지침에 따라 가운데 메뉴에서 분산 ID 등록을 선택하여 DID 문서를 등록합니다. 도메인을 계속 확인하려면 먼저 이 단계를 완료해야 합니다.
5. DID(탈중앙화 식별자)에 대한 도메인 소유권 확인 문서의 지침에 따라 가운데 메뉴에서 도메인 소유권 확인을 선택하여 도메인을 확인합니다.

확인 단계를 완료하고 세 단계 모두에서 녹색 확인 표시를 했으면 다음 자습서를 계속 진행할 준비가 된 것입니다.

다음 단계

• 웹 애플리케이션에서 Microsoft Entra Verified ID 자격 증명을 발급하는 방법을 알아봅니다.
• Microsoft Entra Verified ID 자격 증명을 확인하는 방법을 알아봅니다.