Co je nového v Ověřené ID Microsoft Entra
Tento článek uvádí nejnovější funkce, vylepšení a změny ve službě Ověřené ID Microsoft Entra.
- Část Nejčastější dotazy teď obsahuje informace o posílení zabezpečení sítě pro zpětné volání rozhraní API služby Request Service.
- Podporu pro did:web:path je možné povolit pro vašeho tenanta Microsoft Entra na vyžádání.
- FaceCheck je obecně dostupný od 12. srpna.
- FaceCheck představuje doplněk Pro kontrolu tváře jako přírůstkovou aktualizaci verze Public Preview pro kontrolu tváře. Face Check je prémiová funkce v rámci Ověřené ID Microsoft Entra bezplatného použití během období verze Public Preview končící 12.
- Obecně dostupná rychlá instalace umožňuje správci připojit Ověřené ID Microsoft Entra v tenantovi Microsoft Entra jediným kliknutím na tlačítko.
- Od února 2024 podporuje ověřené ID křivku P-256 kompatibilní se standardem NIST.
- Knihovna peněženky 1.0.1 podporuje P-256.
- Nový článek o konceptu na ověřeném helpdesku o identitě volajících, kteří hledají pomoc pomocí Ověřené ID Microsoft Entra
- Přepsání hodnoty expirationDate při vystavování toku ověření identity idTokenHint vyžaduje, aby měl kontrakt nastavený příznak allowOverrideValidityOnIssuance na hodnotu true.
- FaceCheck je teď ve verzi Public Preview. Umožňujepodnikům kódům uživatele provádět vysoce zajištěná ověření tím, že v přihlašovacích údajích ověřeného ID provádí párování tváří mezi self-time uživatelem a fotkou. FaceCheck se během období Public Preview nabízí zdarma a dá se využít v jakémkoli projektu ověřeného ID. Později v roce budeme oznamovat fakturační modely.
- Rozhraní API služby požadavku teď podporuje vydávající aplikaci, která nastaví datum vypršení platnosti přihlašovacích údajů během žádosti o vystavení a kdy ověření identity používá tok idTokenHint.
- Možnost výběru
did:ion
jako systému důvěryhodnosti se odebere. Jediný dostupný systém důvěryhodnosti jedid:web
. V nejčastějších dotazech najdete nápovědu k postupu přechodu na web z webu did:ion.
Rozhraní API služby request teď podporuje omezení deklarací identity při provádění požadavků na prezentaci. Omezení deklarací identity se dají použít k určení omezení přihlašovacích údajů ověřeného ID, které ověřovatel žádá o zobrazení. Dostupná omezení jsou přímá shoda, obsahuje a startsWith.
- Rychlé nastavení zavedlo verzi Preview, která umožňuje správci připojit tenanta Microsoft Entra jediným kliknutím na tlačítko.
- Účet MyAccount je teď k dispozici, aby se zjednodušilo vystavování přihlašovacích údajů k pracovišti.
- Rozšířené nastavení je stále k dispozici jako možnost
Quick setup
.
Ověřené ID se vyřazuje z provozu starých koncových bodů rozhraní API služby požadavku, které byly k dispozici před tím, než bylo ověřené ID obecně dostupné. Tato rozhraní API by se od srpna 2022 neměla používat, ale pokud se používají ve vaší aplikaci, musíte migrovat. Vyřazené koncové body rozhraní API jsou:
POST https://verifiedid.did.msidentity.com/v1.0/:tenant/verifiablecredentials/request
GET https://verifiedid.did.msidentity.com/v1.0/:tenant/verifiablecredentials/request/:requestId
POST https://verifiedid.did.msidentity.com/v1.0/:tenant/verifiablecredentials/present
POST https://verifiedid.did.msidentity.com/v1.0/:tenant/verifiablecredentials/issuance
Prvním rozhraním API bylo vytvoření žádosti o vystavení nebo prezentaci. Druhé rozhraní API bylo pro načtení požadavku a poslední dvě rozhraní API byla pro peněženku, která dokončila vystavení nebo prezentaci. Koncové body rozhraní API, které se mají použít, protože verze Preview jsou následující.
POST https://verifiedid.did.msidentity.com/v1.0/verifiablecredentials/createPresentationRequest
POST https://verifiedid.did.msidentity.com/v1.0/verifiablecredentials/createIssuanceRequest
GET https://verifiedid.did.msidentity.com/v1.0/verifiablecredentials/presentationRequests/:requestId
POST https://verifiedid.did.msidentity.com/v1.0/verifiablecredentials/completeIssuance
POST https://verifiedid.did.msidentity.com/v1.0/verifiablecredentials/verifyPresentation
Upozorňujeme, že /request
rozhraní API je rozdělené na dva v závislosti na tom, jestli vytváříte žádost o vystavení nebo prezentaci.
Vyřazené koncové body rozhraní API nebudou fungovat po říjnu 2023 2023.
presentation_verified
Zpětné volání z rozhraní API služby požadavku se teď vrátí, když se vystavila přihlašovací údaje ověřeného ID a kdy vyprší jeho platnost. Obchodní pravidla můžou tyto hodnoty použít k zobrazení časového intervalu, kdy jsou zobrazené přihlašovací údaje Ověřené ID platné. Příkladem je to, že vyprší za hodinu, zatímco firma, která se vyžaduje, musí být platná až do konce dne.
Kurz začínáme s ukázkou knihovny peněženky v Androidu a iOSu najdete tady.
- Knihovna peněženky byla oznámena v buildu 2023 v relaci Omezit podvody a zlepšit zapojení pomocí digitální peněženky. Knihovna peněženky umožňuje zákazníkům přidat do svých vlastních mobilních aplikací ověřitelnou technologii přihlašovacích údajů. Knihovny jsou dostupné pro Android a iOS.
Pokyny k nastavení ověření místa práce na LinkedInu najdete tady.
- Rozhraní API pro správu teď podporuje přístupové tokeny aplikací a kromě nosných tokenů uživatelů.
- Představujeme galerii partnerů Ověřené ID Microsoft Entra Services se seznamem důvěryhodných partnerů, kteří vám můžou pomoct urychlit implementaci Ověřené ID Microsoft Entra.
- Vylepšení našeho prostředí pro onboarding správce na portálu pro správu na základě zpětné vazby zákazníků
- Aktualizace našich ukázek na GitHubu ukazující, jak dynamicky zobrazovat deklarace identity VC.
Public Preview – Zákazníci se správou nároků teď můžou vytvářet přístupové balíčky, které využívají Ověřené ID Microsoft Entra další informace
Rozhraní API služby žádosti teď může zkontrolovat ověřitelné přihlašovací údaje, které byly vydány se seznamem StatusList2021 nebo Seznam odvolaných seznamů2020 .
- Vylepšení uživatelského prostředí Microsoft Authenticatoru týkající se kódu připnutí, přehledu ověřitelných přihlašovacích údajů a ověřitelných požadavků na přihlašovací údaje
- Ověřené ID Microsoft Entra nyní hlásí události v protokolu auditu. Protokolují se pouze změny správy provedené prostřednictvím rozhraní API pro správu. Vystavení nebo prezentace ověřitelných přihlašovacích údajů se v protokolu auditu neoznamuje. Položky protokolu mají název
Verified ID
služby a aktivita budeCreate authority
,Update contract
atd.
- Rozhraní API služby požadavku má teď podrobná oprávnění aplikace a můžete udělit ověřitelnéCredential.Create.IssueRequest a OvěřitiableCredential.Create.PresentRequest samostatně, abyste oddělili povinnosti vystavení a prezentace samostatným aplikacím.
- Galerie partnerů IDV je teď dostupná v dokumentaci, která vás vede k integraci s partnery Microsoftu pro ověřování identit.
- Průvodce implementací toku ověření identity prezentace, který během vystavování vyžaduje předložení ověřitelných přihlašovacích údajů.
Ověřené ID Microsoft Entra je nyní obecně dostupná (GA) jako nový člen portfolia Microsoft Entra! další informace
- Tenanti, kteří se odhlásí bez vystavení ověřitelných přihlašovacích údajů, se z rozhraní API pro správu nebo centra pro správu Microsoft Entra zobrazí
Specified resource does not exist
chyba. Oprava tohoto problému by měla být k dispozici do 20. srpna 2022.
Rozhraní API služby request mají nový název
verifiedid.did.msidentity.com
hostitele . Ibeta.did.msidentity
nadálebeta.eu.did.msidentity
funguje, ale měli byste změnit aplikaci a konfiguraci. Pro tenanta EU už také nemusíte zadávat.eu.
.Rozhraní API služby request mají nové koncové body a aktualizují datové části JSON. Informace o vystavení najdete ve specifikaci rozhraní API pro vystavování a prezentaci v tématu Specifikace prezentačního rozhraní API. Staré koncové body a datové části JSON budou dál fungovat, ale měli byste změnit aplikace tak, aby používaly nové koncové body a datové části.
Byly aktualizovány kódy chyb rozhraní API služby požadavku.
Rozhraní API pro správu se zpřístupní a dokumentuje se. Azure Portal používá rozhraní API pro správu a s tímto rozhraním REST API můžete automatizovat onboarding nebo tenanta a vytvářet kontrakty přihlašovacích údajů.
Vyhledejte vystavitele a přihlašovací údaje k ověření prostřednictvím sítě Ověřené ID Microsoft Entra.
Pro migraci přihlašovacích údajů založených na službě Azure Storage, aby se staly spravovanými přihlašovacími údaji, existuje skript PowerShellu v úložišti ukázek GitHubu pro úlohu.
V dokumentaci k plánu a návrhu jsme také provedli následující aktualizace:
- (aktualizováno) přehled plánování architektury
- (aktualizováno) Naplánujte řešení vystavování.
- (aktualizováno) Naplánujte řešení ověřování.
- Přidáváme podporu pro metodu did:web . Každý nový tenant, který začne používat ověřitelnou službu přihlašovacích údajů po 14. červnu 2022, bude mít při připojování web jako nový výchozí systém důvěryhodnosti. Správci VC se při nastavování tenanta stále můžou rozhodnout používat ION. Pokud chcete místo ION nebo viceversa použít did:web, musíte překonfigurovat svého tenanta.
- Zavádíme několik funkcí, které zlepšují celkové prostředí vytváření ověřitelných přihlašovacích údajů na platformě Ověřené ID Microsoft Entra:
- Představujeme spravované přihlašovací údaje, což jsou ověřitelné přihlašovací údaje, které už azure Storage nepoužívají k ukládání definic JSON pro zobrazení a pravidla. Jejich definice zobrazení a pravidla se liší od předchozích verzí.
- Vytvoření spravovaných přihlašovacích údajů pomocí nového prostředí pro rychlý start
- Správci můžou pomocí nového rychlého startu vytvořit přihlašovací údaje spravované ověřeným zaměstnancem. Ověřený zaměstnanec je ověřitelné přihlašovací údaje typu verifiedEmployee založené na předdefinované sadě deklarací identity z adresáře vašeho tenanta.
Důležité
Abyste se mohli stát spravovanými přihlašovacími údaji, musíte migrovat přihlašovací údaje založené na službě Azure Storage. Brzy vám poskytneme pokyny k migraci.
- V našich dokumentech jsme provedli následující aktualizace:
- (nový) Aktuální podporované otevřené standardy pro Ověřené ID Microsoft Entra
- (nový) Jak vytvořit ověřitelné přihlašovací údaje pro nápovědu k tokenu ID
- (nový) Jak vytvořit ověřitelné přihlašovací údaje pro token ID.
- (nový) Jak vytvořit ověřitelné přihlašovací údaje pro deklarace identity s vlastním tvrzením.
- (nový) Pravidla a specifikace modelu definice zobrazení
- (nový) Vytvoření tenanta pro vývoj
Rozšiřujeme naši službu pro všechny zákazníky Azure AD! Ověřitelné přihlašovací údaje jsou teď dostupné všem uživatelům s předplatným Azure AD (Free a Premium). Stávající tenanti, kteří nakonfigurovali službu Ověřitelné přihlašovací údaje před 4. květnem 2022, musí provést malou změnu, aby nedošlo k přerušení služeb.
Od příštího měsíce zavádíme zajímavé změny požadavků na předplatné pro službu Ověřitelné přihlašovací údaje. Správci musí provést malou změnu konfigurace před 4. květnem 2022 , aby se zabránilo přerušení služeb.
Důležité
Pokud se změny nepoužijí před 4. květnem 2022, dojde k chybám při vystavování a prezentaci aplikace nebo služby pomocí služby Ověřené ID Microsoft Entra Service.
- Ověřené ID Microsoft Entra zákazníci teď můžou změnit doménu propojenou se svou službou DID snadno z webu Azure Portal.
- Aktualizovali jsme Microsoft Authenticator, které mění interakci mezi vystavitelem ověřitelných přihlašovacích údajů a uživatelem, který prezentuje ověřitelné přihlašovací údaje. Tato aktualizace vynutí opětovné nasazení všech ověřitelných přihlašovacích údajů v aplikaci Microsoft Authenticator pro iOS. Další informace
Zavádíme některé zásadní změny naší služby. Tyto aktualizace vyžadují rekonfiguraci služby Ověřené ID Microsoft Entra. Koncoví uživatelé musí mít znovu ověřitelné přihlašovací údaje.
- Služba Ověřené ID Microsoft Entra teď může ukládat a zpracovávat zpracování dat v evropské oblasti Azure.
- Ověřené ID Microsoft Entra zákazníci můžou využít vylepšení odvolání přihlašovacích údajů. Tyto změny přidávají vyšší stupeň ochrany osobních údajů prostřednictvím implementace standardu W3C Status List 2021 .
- Aktualizovali jsme Microsoft Authenticator, které mění interakci mezi vystavitelem ověřitelných přihlašovacích údajů a uživatelem, který prezentuje ověřitelné přihlašovací údaje. Tato aktualizace vynutí opětovné nasazení všech ověřitelných přihlašovacích údajů v aplikaci Microsoft Authenticator pro Android. Další informace
Důležité
Všichni zákazníci s ověřitelnými přihlašovacími údaji Azure AD, kteří obdrží oznámení o banneru na webu Azure Portal, musí projít rekonfigurací služby před 31. březnem 2022. 31. března 2022 tenanti, kteří nebyli překonfigurovali, ztratí přístup k předchozí konfiguraci. Správci budou muset nastavit novou instanci ověřitelné služby přihlašovacích údajů Azure AD. Přečtěte si další informace o tom, jak překonfigurovat tenanta.
Od začátku veřejné verze Preview služby Ověřené ID Microsoft Entra byla tato služba dostupná pouze v naší oblasti Severní Amerika Azure. Služba je teď dostupná také v naší oblasti Azure Europe.
- Noví zákazníci s evropskými tenanty Azure AD teď mají svá ověřitelná data přihlašovacích údajů umístěná a zpracovávaná v naší oblasti Azure Europe.
- Zákazníci s nastavením tenantů Azure AD v Evropě, kteří začnou používat službu Ověřené ID Microsoft Entra po 15. únoru 2022, mají svá data automaticky zpracována v Evropě. Není nutné provádět žádné další akce.
- Zákazníci s nastavením tenantů Azure AD v Evropě, kteří začali používat službu Ověřené ID Microsoft Entra před 15. únorem 2022, musí službu překonfigurovat ve svých tenantech před 31. březnem 2022.
Pomocí následujících kroků nakonfigurujte službu Ověřitelné přihlašovací údaje v Evropě:
- Zkontrolujte umístění služby Azure Active Directory a ujistěte se, že je v Evropě.
- Překonfigurujte službu Ověřitelné přihlašovací údaje ve vašem tenantovi.
Důležité
31. března 2022 se u evropských tenantů, kteří v Evropě nepřekonfigurovali, ztratí přístup k jakékoli předchozí konfiguraci a bude vyžadovat konfiguraci nové instance ověřitelné služby Přihlašovací údaje Azure AD.
Aplikace, které používají službu Ověřené ID Microsoft Entra, musí používat koncový bod rozhraní API požadavku odpovídající oblasti tenanta Azure AD.
Oblast tenanta | Požadavek na koncový bod rozhraní API POST |
---|---|
Evropě | https://beta.eu.did.msidentity.com/v1.0/{tenantID}/verifiablecredentials/request |
Mimo EU | https://beta.did.msidentity.com/v1.0/{tenantID}/verifiablecredentials/request |
Pokud chcete ověřit, který koncový bod byste měli použít, doporučujeme zkontrolovat oblast tenanta Azure AD, jak je popsáno výše. Pokud je tenant Azure AD v EU, měli byste použít koncový bod Evropa.
V aplikaci Microsoft Authenticator provádíme aktualizace protokolu, které podporují single long form DID, a proto použití párového použití zastaralá. Při této aktualizaci se váš DID v Microsoft Authenticatoru používá pro všechny vystavitele a výměnu stran. Držitelé ověřitelných přihlašovacích údajů pomocí aplikace Microsoft Authenticator musí znovu získat ověřitelné přihlašovací údaje, protože nebudou pokračovat v práci žádné předchozí přihlašovací údaje.
- Do našich ukázek jsme přidali kolekce Postman, abychom mohli rychle začít používat rozhraní REST API služby požadavku.
- Přidali jsme novou ukázku, která ukazuje integraci Ověřené ID Microsoft Entra s Azure AD B2C.
- Ukázka nastavení Ověřené ID Microsoft Entra služeb pomocí PowerShellu a šablony ARM
- Ukázkové ověřitelné konfigurační soubory přihlašovacích údajů pro zobrazení ukázkových karet pro TOKEN ID, IDTokenHit a self-attestované deklarace identity.
- Aktualizovali jsme rozhraní REST API služby žádosti o vystavení a prezentaci. Typy zpětného volání vynucují pravidla tak, aby koncové body adresy URL pro zpětné volání byly dostupné.
- Uživatelské rozhraní aktualizuje ověřitelné přihlašovací údaje Microsoft Authenticatoru: Animace na výběru karty z peněženky.
Teď můžete pomocí rozhraní REST API služby request vytvářet aplikace, které můžou vydávat a ověřovat přihlašovací údaje z libovolného programovacího jazyka. Toto nové rozhraní REST API poskytuje vylepšenou abstrakční vrstvu a integraci se službou Ověřené ID Microsoft Entra Service.
Brzy je vhodné začít používat rozhraní API, protože sada NodeJS SDK bude v následujících měsících zastaralá. Dokumentace a ukázky teď používají rozhraní REST API služby žádosti. Další informace najdete v tématu Request Service REST API (Preview).
Teď můžete v Azure AD vydávat ověřitelné přihlašovací údaje . Tato služba je užitečná, když potřebujete předložit doklad o zaměstnání, vzdělání nebo jakékoli jiné žádosti. Držitel takových přihlašovacích údajů může rozhodnout, kdy a s kým sdílet své přihlašovací údaje. Každý přihlašovací údaj je podepsaný pomocí kryptografických klíčů přidružených k decentralizované identitě, kterou uživatel vlastní a řídí.