Widerrufen eines Nachweises
Im Rahmen der Arbeit mit Nachweisen (Verifiable Credentials) stellen Sie Nachweise aus und müssen Sie manchmal auch widerrufen. In diesem Artikel überprüfen wir den Status
Eigenschaftenteil der nachweisbaren Nachweisspezifikation. Wir werfen auch einen genaueren Blick auf den Widerrufsprozess, warum wir Nachweise widerrufen möchten, und einige Daten- und Datenschutzauswirkungen.
Gründe für das Widerrufen eines Nachweises
Jeder Kunde hat einen eigenen eindeutigen Grund, warum er eine überprüfbare Anmeldeinformationen widerrufen möchte. Hier einige gängige Szenarios:
- Studenten-ID: Der Student ist kein aktiver Student an der Universität mehr.
- Mitarbeiter-ID: Der Mitarbeiter ist kein aktiver Mitarbeiter mehr.
- Führerschein eines Bundesstaats: Der Fahrer lebt nicht mehr in diesem Bundesstaat.
Wie funktioniert der Widerruf?
Microsoft Entra Verified ID implementiert W3C StatusList2021. Wenn die Präsentation des Nachweises bei der Anforderungsdienst-API erfolgt, prüft die API den Widerrufsstatus. Die Widerrufprüfung erfolgt über einen anonymen API-Aufruf an Identity Hub und enthält keine Daten, die prüfen, ob der Nachweis noch gültig oder widerrufen ist. Mit statusList2021
behält Microsoft Entra Verified ID ein Flag mit dem Hashwert des indizierten Anspruchs bei, um den Widerrufstatus nachverfolgen zu können.
Nachweisdaten
Jeder von Microsoft ausgestellte Nachweis verfügt über Anspruch namens credentialStatus
. Bei diesen Daten handelt es sich um eine Navigationszuordnungskarte, die Ihnen zeigt, wo in einem Datenblock dieser Nachweis sein Widerruf-Flag hat.
Hinweis
Wenn der Nachweis alt ist und während des Vorschauzeitraums ausgestellt wurde, ist dieser Anspruch nicht vorhanden. Der Widerruf funktioniert nicht für diesen Nachweis und Sie müssen ihn erneut ausstellen.
...
"credentialStatus": {
"id": "urn:uuid:00aa00aa-bb11-cc22-dd33-44ee44ee44ee?bit-index=31",
"type": "RevocationList2021Status",
"statusListIndex": 31,
"statusListCredential": "did:web:verifiedid.contoso.com?service=IdentityHub&queries=...data..."
...
Identity Hub-API-Endpunkt für Aussteller
Im dezentralen Bezeichnerdokument des Ausstellers ist der Identity Hub-Endpunkt im service
Abschnitt verfügbar.
didDocument": {
"id": "did:web:verifiedid.contoso.com",
"@context": [
"https://www.w3.org/ns/did/v1",
{
"@base": "did:web:verifiedid.contoso.com"
}
],
"service": [
{
"id": "#linkeddomains",
"type": "LinkedDomains",
"serviceEndpoint": {
"origins": [
"https://verifiedid.contoso.com/"
]
}
},
{
"id": "#hub",
"type": "IdentityHub",
"serviceEndpoint": {
"instances": [
"https://verifiedid.hub.msidentity.com/v1.0/00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
],
"origins": [ ]
}
}
],
Erstellen eines widerrufbaren Nachweises
Die Microsoft Entra Verified-ID speichert keine nachweisbaren Anmeldeinformationen. Der Aussteller muss einen Anspruch indizieren, um den Nachweis durchsuchbar zu machen. Es kann nur ein Anspruch indiziert werden, und wenn es keinen gibt, können Sie Nachweise nicht widerrufen. Der ausgewählte zu indizierende Anspruch wird dann mit Salt und Hash versehen und nicht in seinem ursprünglichen Wert gespeichert.
Hinweis
Das Hashing ist ein unidirektionaler kryptografischer Vorgang, der eine Eingabe, die als preimage
bezeichnet wird, in eine Ausgabe (Hash) mit einer festen Länge umwandelt. Aktuell ist es rechnerisch nicht sinnvoll, einen Hashvorgang umzukehren.
Beispiel: Im folgenden Beispiel ist displayName
der Indexanspruch. Sie können nur über den vollständigen Namen des Benutzers und nichts anderes suchen.
{
"attestations": {
"idTokens": [
{
"clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
"configuration": "https://didplayground.b2clogin.com/didplayground.onmicrosoft.com/B2C_1_sisu/v2.0/.well-known/openid-configuration",
"redirectUri": "vcclient://openid",
"scope": "openid profile email",
"mapping": [
{
"outputClaim": "displayName",
"required": true,
"inputClaim": "$.name",
"indexed": true
},
{
"outputClaim": "firstName",
"required": true,
"inputClaim": "$.given_name",
"indexed": false
},
{
"outputClaim": "lastName",
"required": true,
"inputClaim": "$.family_name",
"indexed": false
}
],
"required": false
}
]
},
"validityInterval": 2592000,
"vc": {
"type": [
"VerifiedCredentialExpert"
]
}
}
Wichtig
Sie können über eine Regelanspruchszuordnung nur einen einzelnen Anspruch indizieren. Wenn Sie versehentlich keinen indizierten Anspruch in Ihrer Regeldefinition haben und dieses Versehen später korrigieren, sind alle Nachweise, die vor der Änderung ausgestellt wurden, nicht durchsuchbar, da sie ausgestellt wurden, als kein Index vorhanden war.
Wie widerrufe ich einen Nachweis?
Sie können indizierte Ansprüche in Nachweisen verwenden, um nach ausgestellten Nachweisen zu suchen und sie zu widerrufen.
Navigieren Sie zum Bereich Überprüfte ID im Azure-Portal als Administratorbenutzer mit Signatur-Schlüsselberechtigung für Azure Key Vault.
Wählen Sie den Typ des Nachweises aus.
Wählen Sie im Menü ganz links die Option Einen Nachweis widerrufen aus.
Suchen Sie nach dem indizierten Anspruch des Benutzers, für den Sie den Nachweis widerrufen möchten. Die Indizierung eines Anspruchs ist eine Voraussetzung für die Suche nach Anmeldeinformationen.
Wichtig
Wir speichern nur eine Hashversion eines indizierten Anspruchs. Dies bedeutet, dass nur genaue Übereinstimmungen des Werts funktionieren, der im indizierten Anspruch gespeichert ist. Wenn Sie Informationen in das Textfeld eingeben, werden sie unter Verwendung desselben Algorithmus mit einem Hashwert versehen. Dieser Hashwert wird dann verwendet, um nach einer Übereinstimmung mit dem gespeicherten Hashanspruch zu suchen. Wenn Sie keine Übereinstimmung finden, haben Sie möglicherweise die falschen Informationen eingegeben, oder der Anspruch ist nicht indiziert.
Wenn Sie einen Treffer gefunden haben, wählen Sie die Option Widerrufen rechts neben dem zu widerrufenden Nachweis aus.
Der Administratorbenutzer, der den Widerruf durchführt, muss über die Signaturschlüsselberechtigung für Key Vault verfügen, andernfalls erscheint die Fehlermeldung „Zugriff auf Key Vault-Ressource mit angegebenen Anmeldeinformationen nicht möglich“.
Nach erfolgreichem Widerruf sehen Sie die Statusaktualisierung, und am oberen Rand der Seite wird ein grünes Banner angezeigt.
Die Anforderungsdienst-API zeigt eine widerrufene Anmeldeinformation im presentation_verified
Rückruf als REVOKED
an. Je nachdem, ob die Präsentationsanforderung angegeben hat, dass die widerrufene Anmeldeinformationen präsentiert werden kann, ist die Darstellung einer widerrufenen Anmeldeinformationen entweder erfolgreich oder schlägt fehl.