Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Als Teil des Prozesses der Arbeit mit überprüfbaren Anmeldeinformationen stellen Sie Anmeldeinformationen aus, und manchmal müssen Sie sie widerrufen. In diesem Artikel überprüfen wir den Status Eigenschaftenteil der nachweisbaren Nachweisspezifikation. Wir werfen auch einen genaueren Blick auf den Widerrufsprozess, warum wir Nachweise widerrufen möchten, und einige Daten- und Datenschutzauswirkungen.
Warum eine verifizierbare Anmeldeinformation widerrufen?
Jeder Kunde hat einen eigenen eindeutigen Grund, warum er eine überprüfbare Anmeldeinformationen widerrufen möchte. Hier einige gängige Szenarios:
- Kursteilnehmer-ID: Der Kursteilnehmer ist nicht mehr ein aktiver Kursteilnehmer an der Universität.
- Mitarbeiterkennung: Der Mitarbeiter ist kein aktiver Mitarbeiter mehr.
- Status-Treiberlizenz: Der Treiber lebt nicht mehr in diesem Zustand.
Wie funktioniert der Widerruf?
Microsoft Entra Verified ID implementiert W3C StatusList2021. Wenn die Präsentation des Nachweises bei der Anforderungsdienst-API erfolgt, prüft die API den Widerrufsstatus. Die Widerrufprüfung erfolgt über einen anonymen API-Aufruf an Identity Hub und enthält keine Daten, die prüfen, ob der Nachweis noch gültig oder widerrufen ist. Mit statusList2021 behält Microsoft Entra Verified ID ein Flag mit dem Hashwert des indizierten Anspruchs bei, um den Widerrufstatus nachverfolgen zu können.
Nachweisdaten
Jeder von Microsoft ausgestellte Nachweis verfügt über Anspruch namens credentialStatus. Bei diesen Daten handelt es sich um eine Navigationszuordnungskarte, die Ihnen zeigt, wo in einem Datenblock dieser Nachweis sein Widerruf-Flag hat.
...
"credentialStatus": {
"id": "urn:uuid:00aa00aa-bb11-cc22-dd33-44ee44ee44ee?bit-index=31",
"type": "RevocationList2021Status",
"statusListIndex": 31,
"statusListCredential": "did:web:verifiedid.contoso.com?service=IdentityHub&queries=...data..."
...
Identity Hub-API-Endpunkt für Aussteller
Im dezentralen Bezeichnerdokument des Ausstellers ist der Identity Hub-Endpunkt im service Abschnitt verfügbar.
"didDocument": {
"id": "did:web:verifiedid.contoso.com",
"@context": [
"https://www.w3.org/ns/did/v1",
{
"@base": "did:web:verifiedid.contoso.com"
}
],
"service": [
{
"id": "#linkeddomains",
"type": "LinkedDomains",
"serviceEndpoint": {
"origins": [
"https://verifiedid.contoso.com/"
]
}
},
{
"id": "#hub",
"type": "IdentityHub",
"serviceEndpoint": {
"instances": [
"https://verifiedid.hub.msidentity.com/v1.0/00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
],
"origins": [ ]
}
}
],
Erstellen Sie eine widerrufbare verifizierbare Anmeldeinformation
Die Microsoft Entra Verified-ID speichert keine nachweisbaren Anmeldeinformationen. Der Aussteller muss einen Anspruch indizieren, um den Nachweis durchsuchbar zu machen. Es kann nur ein Anspruch indiziert werden, und wenn es keinen gibt, können Sie Nachweise nicht widerrufen. Der ausgewählte zu indizierende Anspruch wird dann mit Salt und Hash versehen und nicht in seinem ursprünglichen Wert gespeichert.
Hinweis
Das Hashing ist ein unidirektionaler kryptografischer Vorgang, der eine Eingabe, die als preimage bezeichnet wird, in eine Ausgabe (Hash) mit einer festen Länge umwandelt. Es ist derzeit rechnerisch nicht machbar, eine Hash-Operation umzukehren.
Beispiel: Im folgenden Beispiel ist displayName der Indexanspruch. Sie können nur über den vollständigen Namen des Benutzers und nichts anderes suchen.
{
"attestations": {
"idTokens": [
{
"clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
"configuration": "https://didplayground.b2clogin.com/didplayground.onmicrosoft.com/B2C_1_sisu/v2.0/.well-known/openid-configuration",
"redirectUri": "vcclient://openid",
"scope": "openid profile email",
"mapping": [
{
"outputClaim": "displayName",
"required": true,
"inputClaim": "$.name",
"indexed": true
},
{
"outputClaim": "firstName",
"required": true,
"inputClaim": "$.given_name",
"indexed": false
},
{
"outputClaim": "lastName",
"required": true,
"inputClaim": "$.family_name",
"indexed": false
}
],
"required": false
}
]
},
"validityInterval": 2592000,
"vc": {
"type": [
"VerifiedCredentialExpert"
]
}
}
Wichtig
Sie können nur einen Anspruch aus einer Regelanspruchszuordnung indizieren. Wenn Sie versehentlich keinen indizierten Anspruch in Ihrer Regeldefinition haben und diesen Fehler später korrigieren, sind alle verifizierbaren Anmeldeinformationen, die vor der Änderung ausgestellt wurden, nicht durchsuchbar, da sie ausgestellt wurden, als kein Index existierte.
Wie widerrufe ich einen Nachweis?
Sie können indizierte Ansprüche in überprüfbaren Anmeldeinformationen verwenden, um ausgestellte überprüfbare Anmeldeinformationen zu suchen und sie zu widerrufen.
Wechseln Sie zum Bereich "Überprüfte ID " im Azure-Portal als Administratorbenutzer mit Anmeldeschlüsselberechtigung für Azure Key Vault.
Wählen Sie den Typ des Nachweises aus.
Wählen Sie im Menü ganz links die Option Einen Nachweis widerrufen aus.
Suche nach dem indizierten Anspruch des Benutzers, den Sie widerrufen möchten. Die Indizierung eines Anspruchs ist eine Voraussetzung für die Suche nach Anmeldeinformationen.
Wichtig
Wir speichern nur eine gehashte Version eines indizierten Anspruchs. Das bedeutet, dass nur genaue Übereinstimmungen des im indizierten Anspruch gespeicherten Wertes funktionieren. Wenn Sie Informationen in das Textfeld eingeben, wird es mit dem gleichen Algorithmus gehasht. Dieser Hash-Wert wird dann verwendet, um nach einer Übereinstimmung mit dem gespeicherten Hash-Anspruch zu suchen. Wenn Sie keine Übereinstimmung finden, haben Sie möglicherweise die falschen Informationen eingegeben oder der Anspruch ist möglicherweise nicht indiziert.
Wenn Sie einen Treffer gefunden haben, wählen Sie die Option Widerrufen rechts neben dem zu widerrufenden Nachweis aus.
Der Administratorbenutzer, der die Sperrung durchführt, muss die signieren Schlüsselberechtigung für den Key Vault haben, sonst erscheint die Fehlermeldung „Zugriff auf Key Vault-Ressource mit den angegebenen Anmeldeinformationen nicht möglich“.
Nach erfolgreichem Widerruf sehen Sie die Statusaktualisierung, und am oberen Rand der Seite wird ein grünes Banner angezeigt.
Die Anforderungsdienst-API zeigt eine widerrufene Anmeldeinformation im presentation_verifiedRückruf als REVOKED an. Je nachdem, ob die Präsentationsanforderung angegeben hat, dass die widerrufene Anmeldeinformationen präsentiert werden kann, ist die Darstellung einer widerrufenen Anmeldeinformationen entweder erfolgreich oder schlägt fehl.