Nouveautés de l’ID vérifié Microsoft Entra
Cet article répertorie les dernières fonctionnalités, améliorations et modifications apportées au service Vérification d’identité Microsoft Entra.
- La section FAQ contient désormais des informations pour la sécurisation renforcée de réseau pour les rappels de l’API Demande de service.
- La prise en charge de did:web:path peut être activée pour votre client Microsoft Entra à la demande.
- FaceCheck est en disponibilité générale depuis le 12 août.
- FaceCheck introduit le module complémentaire Vérification faciale en tant que mise à jour incrémentielle de la préversion publique de Vérification faciale. La vérification faciale est une fonctionnalité Premium de Vérification d’identité Microsoft Entra utilisable gratuitement au cours de la période de version préliminaire publique qui se termine le 12 août.
- Configuration rapide En disponibilité générale, elle permet à un administrateur d’intégrer Vérification d’identité Microsoft Entra dans un client Microsoft Entra en cliquant juste sur un bouton.
- À compter de février 2024, l’ID vérifié prend en charge la courbe P-256 conforme À NIST.
- Bibliothèque portefeuille 1.0.1 prend en charge P-256.
- Nouveau concept d’article sur Support technique vérifié sur comment identifier des appelants qui cherchent de l’aide à utiliser Vérification d’identité Microsoft Entra.
- Le remplacement de expirationDate lors de l’émission du flux d’attestation idTokenHint nécessite que le contrat ait l’indicateur allowOverrideValidityOnIssuance défini sur true.
- FaceCheck est désormais disponible en préversion publique. Cette fonctionnalité permet aux entreprises d’effectuer des vérifications hautement fiables en vérifiant la correspondance faciale entre un selfie en temps réel de l’utilisateur et la photo du document d’identité vérifié. FaceCheck est proposée gratuitement pendant la période de préversion publique et peut être exploitée dans le cadre de tout projet à l’identité vérifiée. Plus tard dans l’année, nous annoncerons les modèles de facturation.
- L’API du service de requête prend désormais en charge l’application émettrice pour définir la date d’expiration des informations d’identification pendant et la demande d’émission lorsque l’attestation utilise le flux idTokenHint.
- L’option de sélection
did:ion
en tant que système d’approbation est supprimée. Le seul système d’approbation disponible estdid:web
. Consultez la FAQ pour obtenir de l’aide sur le déplacement vers did:web from did:ion.
L’API Service de demande prend désormais en charge les contraintes de revendication lorsque vous effectuez des demandes de présentation. Les contraintes de revendication peuvent être utilisées pour spécifier des contraintes sur les informations d’identification Vérification d’ID que le vérificateur demande de présenter. Les contraintes disponibles sont : direct match, contains et startsWith.
- La Configuration rapide, introduite en préversion, permet à un administrateur d’intégrer un tenant Microsoft Entra d’un simple clic sur un bouton.
- MyAccount est désormais disponible pour simplifier l’émission d’informations d’identification d’espace de travail
- La configuration avancée est toujours disponible en option
Quick setup
.
L’ID vérifié met hors service les anciens points de terminaison d’API de service de requête qui étaient disponibles avant que l’ID vérifié ne soit disponible en général. Ces API ne doivent pas avoir été utilisées depuis la disponibilité générale en août 2022, mais si elles sont utilisées dans votre application, vous devez migrer. Les points de terminaison d’API mis hors service sont les suivants :
POST https://verifiedid.did.msidentity.com/v1.0/:tenant/verifiablecredentials/request
GET https://verifiedid.did.msidentity.com/v1.0/:tenant/verifiablecredentials/request/:requestId
POST https://verifiedid.did.msidentity.com/v1.0/:tenant/verifiablecredentials/present
POST https://verifiedid.did.msidentity.com/v1.0/:tenant/verifiablecredentials/issuance
La première API était pour la création d’une demande d’émission ou de présentation. La deuxième API était pour la récupération d’une demande et les deux dernières API pour un portefeuille terminant l’émission ou la présentation. Les points de terminaison d’API à utiliser depuis la préversion sont les suivants.
POST https://verifiedid.did.msidentity.com/v1.0/verifiablecredentials/createPresentationRequest
POST https://verifiedid.did.msidentity.com/v1.0/verifiablecredentials/createIssuanceRequest
GET https://verifiedid.did.msidentity.com/v1.0/verifiablecredentials/presentationRequests/:requestId
POST https://verifiedid.did.msidentity.com/v1.0/verifiablecredentials/completeIssuance
POST https://verifiedid.did.msidentity.com/v1.0/verifiablecredentials/verifyPresentation
Notez que l’API /request
est divisée en deux selon que vous créez une demande d’émission ou de présentation.
Les points de terminaison d’API mis hors service ne fonctionneront plus après octobre 2023.
Le rappel presentation_verified
de l’API de service de requête retourne maintenant lorsqu’une information d’identification d’ID vérifié a été émise et qu’elle expire. Les règles d’entreprise peuvent utiliser ces valeurs pour afficher la fenêtre de temps de la validité des informations d’identification Vérification d’identité présentées. Par exemple, elles expirent dans une heure alors que l’entreprise requise doit être valide jusqu’à la fin de la journée.
Tutoriel pour bien démarrer avec la démonstration de la bibliothèque de portefeuille sur Android et iOS disponible ici.
- La bibliothèque de portefeuilles a été annoncée lors de la build 2023 dans la session Réduire la fraude et améliorer l’engagement utilisateur à l’aide des portefeuilles numériques. La bibliothèque de portefeuille permet aux clients d’ajouter une technologie de justificatifs vérifiables à leurs propres applications mobiles. Les bibliothèques sont disponibles pour Android et iOS.
Instructions pour la configuration de la vérification du lieu de travail sur LinkedIn disponibles ici.
- L’API d’administration prend désormais en charge les jetons d’accès d’application en plus des jetons du porteur d’utilisateur.
- Présentation de la galerie de partenaires de services de Vérification d’identité Microsoft Entra répertoriant les partenaires approuvés qui peuvent vous aider à accélérer votre implémentation de Vérification d’identité Microsoft Entra.
- Améliorations apportées à notre expérience d’intégration d’administrateur dans le portail Administration en fonction des commentaires des clients.
- Mises à jour apportées à nos exemples dans GitHub qui montrent comment afficher dynamiquement les revendications de justificatifs vérifiables.
Préversion publique : les clients de gestion des droits d’utilisation peuvent désormais créer des packages d’accès qui tirent parti de Vérification d’identité Microsoft Entra. En savoir plus
L’API de service de demande peut désormais effectuer une vérification de révocation pour les justificatifs vérifiables présentés qui ont été émis avec les types de liste d’état statusList2021 ou RevocationList2020.
- Améliorations de l’expérience utilisateur de Microsoft Authenticator concernant le code PIN, la vue d’ensemble des justificatifs vérifiables et les exigences en matière d’informations d’identification vérifiables.
- Vérification d’identité Microsoft Entra signale désormais les événements dans le journal d’audit. Seules les modifications de gestion apportées via l’API Administration sont actuellement enregistrées. L’émission ou la présentation de justificatifs vérifiables ne sont pas signalées dans le journal d’audit. Les entrées de journal ont un nom de service
Verified ID
et l’activité seraCreate authority
,Update contract
, etc.
- L’API du service de requête dispose à présent d’autorisations d’application granulaires et vous pouvez octroyer VerifiableCredential.Create.IssueRequest et VerifiableCredential.Create.PresentRequest séparément pour répartir les tâches d’émission et de présentation à une application séparée.
- La galerie de partenaires IDV est à présent disponible dans la documentation qui vous guide lors de l’intégration avec les partenaires de vérification d’identité de Microsoft.
- Guide pratique pour implémenter le flux d’attestation de présentation qui nécessite la présentation d’un justificatif vérifiable lors de l’émission.
Vérification d'identité Microsoft Entra est désormais en disponibilité générale (GA) comme nouveau membre du portefeuille de Microsoft Entra ! en savoir plus
- Les locataires qui se désactivent sans émettre de justificatifs vérifiables obtiennent une erreur
Specified resource does not exist
à partir de l’API Administration et/ou du Centre d’administrateur Microsoft Entra. Un correctif pour ce problème doit être disponible le 20 août 2022.
Les API de service de requête ont un nouveau nom d’hôte
verifiedid.did.msidentity.com
.beta.did.msidentity
etbeta.eu.did.msidentity
continuent à fonctionner, mais vous devez modifier votre application et votre configuration. En outre, vous n’avez plus besoin de spécifier.eu.
pour un locataire de l’UE.Les API de service de requête disposent de nouveaux points de terminaison et de charges utiles JSON mises à jour. Pour l’émission, consultez Spécification de l’API d’émission, et pour la présentation, consultez Spécification de l’API de présentation. Les anciens points de terminaison et charges utiles JSON continuent à fonctionner, mais vous devez modifier vos applications de façon à utiliser les nouveaux points de terminaison et charges utiles.
Les codes d’erreur de l’API de service de requête ont été mis à jour
L’API Administration est rendue publique et documentée. Le portail Azure utilise l’API Administration, et avec cette API REST vous pouvez automatiser l’intégration de votre locataire et la création de contrats d’informations d’identification.
Recherchez les émetteurs et les informations d’identification à vérifier via le réseau Vérification d’identité Microsoft Entra.
Pour migrer vos informations d’identification basées sur Stockage Azure afin qu’elles deviennent des informations d’identification managées, il existe un script PowerShell dans le dépôt d’exemples GitHub pour la tâche.
Nous avons également apporté les mises à jour suivantes à nos documents de planification et de conception :
- (mis à jour) Présentation de la planification de l’architecture.
- (mis à jour) Planifier votre solution d’émission.
- (mis à jour) Planifier votre solution de vérification.
- Nous ajoutons la prise en charge de la méthode did:web. Tout nouveau locataire qui commence à utiliser le service de justificatifs vérifiables après le 14 juin 2022 aura Web comme nouveau système d’approbation par défaut lors de l’intégration. Les administrateurs VC peuvent toujours choisir d’utiliser ION lors de la définition d’un locataire. Si vous souhaitez utiliser did:web au lieu d’ION (ou vice versa), vous devez reconfigurer votre locataire.
- Nous déployons plusieurs fonctionnalités pour améliorer l’expérience globale de création de justificatifs vérifiables dans la plateforme Vérification d’identité Microsoft Entra :
- Présentation des informations d’identification managées, qui sont des justificatifs vérifiables qui n’utilisent plus de stockage Azure pour stocker les définitions JSON d’affichage et de règles. Leurs définitions d’affichage et de règles sont différentes des versions antérieures.
- Créez des informations d’identification managées à l’aide de la nouvelle expérience de démarrage rapide.
- Les administrateurs peuvent créer des informations d’identification gérées par les employés vérifiés à l’aide du nouveau guide de démarrage rapide. L’employé vérifié est un justificatif vérifiable de type verifiedEmployee basé sur un ensemble prédéfini de revendications provenant de l’annuaire de votre locataire.
Important
Vous devez migrer vos informations d’identification basées sur stockage Azure pour obtenir des informations d’identification managées. Nous fournirons bientôt des instructions de migration.
- Nous avons apporté les mises à jour suivantes à nos documents :
- (nouveau) Normes ouvertes actuellement prises en charge pour l’ID vérifié Microsoft Entra.
- (nouveau) Comment créer des justificatifs vérifiables pour l’indicateur de jeton d’ID.
- (nouveau) Comment créer des justificatifs vérifiables pour le jeton d’ID.
- (nouveau) Comment créer des justificatifs vérifiables pour les revendications autodéclarées.
- (nouveau) Règles et spécification d’un modèle de définition d’affichage.
- (nouveau) Création d’un locataire pour le développement.
Nous étendons notre service à tous les clients Azure AD ! Les justificatifs vérifiables sont désormais disponibles pour tout utilisateur disposant d’un abonnement Azure AD (gratuit et Premium). Les locataires existants qui ont configuré le service Justificatifs vérifiables avant le 4 mai 2022 doivent apporter une petite modification pour éviter toute interruption du service.
À compter du mois prochain, nous déployons des modifications intéressantes apportées aux critères d’abonnement au service Justificatifs vérifiables. Les administrateurs doivent effectuer une petite modification de configuration avant le 4 mai 2022 pour éviter toute interruption du service.
Important
Si les modifications ne sont pas appliquées avant le 4 mai 2022, vous allez être confronté à des erreurs lors de l’émission et de la présentation de votre application ou service à l’aide du service ID vérifié Microsoft Entra.
- Les clients du service ID vérifié Microsoft Entra peuvent désormais facilement remplacer le domaine lié par leur DID à partir du portail Azure.
- Nous avons apporté des mises à jour à Microsoft Authenticator qui modifient l’interaction entre l’émetteur d’un justificatif vérifiable et l’utilisateur présentant le justificatif vérifiable. Cette mise à jour force la réémission de tous les justificatifs vérifiables dans Microsoft Authenticator pour iOS. Plus d’informations
Nous déployons des changements cassants dans notre service. Ces mises à jour nécessitent la reconfiguration du service ID vérifié Microsoft Entra. Les utilisateurs finaux doivent avoir leurs justificatifs vérifiables réémises.
- Le service ID vérifié Microsoft Entra peut maintenant stocker et gérer le traitement des données dans la région Azure Europe.
- Les clients du service ID vérifié Microsoft Entra peuvent tirer parti des améliorations apportées à la révocation des justificatifs. Ces modifications ajoutent une dimension importante de confidentialité via l’implémentation de la norme W3C Status List 2021.
- Nous avons apporté des mises à jour à Microsoft Authenticator qui modifient l’interaction entre l’émetteur d’un justificatif vérifiable et l’utilisateur présentant le justificatif vérifiable. Cette mise à jour force la réémission de tous les justificatifs vérifiables dans Microsoft Authenticator pour Android. Plus d’informations
Important
Tous les clients du service de justificatifs vérifiables Azure AD recevant une bannière de notification dans le portail Azure doivent procéder à une reconfiguration du service avant le 31 mars 2022. Le 31 mars 2022, les locataires qui n’auront pas été reconfigurés perdront l’accès à toute configuration précédente. Les administrateurs devront configurer une nouvelle instance du service de justificatifs vérifiables Azure AD. En savoir plus sur la reconfiguration de votre locataire.
Depuis le début de la préversion publique du service ID vérifié Microsoft Entra, le service était uniquement disponible dans notre région Azure Amérique du Nord. Maintenant, le service est également disponible dans notre région Azure Europe.
- Les nouveaux clients avec des locataires Azure AD situés en Europe ont désormais leurs données de justificatifs vérifiables stockées et traitées dans notre région Azure Europe.
- Les données des clients avec des locataires Azure AD configurés en Europe qui commencent à utiliser le service ID vérifié Microsoft Entra après le 15 février 2022 sont traitées automatiquement en Europe. Aucune autre action n’est requise.
- Les clients avec des locataires Azure AD configurés en Europe qui ont commencé à utiliser le service ID vérifié Microsoft Entra avant le 15 février 2022 sont tenus de reconfigurer le service sur leurs locataires avant le 31 mars 2022.
Effectuez les étapes suivantes pour configurer le service de justificatifs vérifiables en Europe :
- Vérifiez la localisation de votre instance Azure Active Directory pour vous assurer qu’elle est en Europe.
- Reconfigurez le service de justificatifs vérifiables dans votre locataire.
Important
Le 31 mars 2022, les locataires européens qui n’auront pas été reconfigurés en Europe perdront l’accès à toute configuration précédente et devront configurer une nouvelle instance du service de justificatifs vérifiables Azure AD.
Les applications qui utilisent le service ID vérifié Microsoft Entra doivent utiliser le point de terminaison de l’API de requête qui correspond à la région de leur locataire Azure AD.
Région du locataire | POST du point de terminaison de l’API de demande |
---|---|
Europe | https://beta.eu.did.msidentity.com/v1.0/{tenantID}/verifiablecredentials/request |
Non-UE | https://beta.did.msidentity.com/v1.0/{tenantID}/verifiablecredentials/request |
Pour confirmer quel point de terminaison vous devez utiliser, nous vous recommandons de vérifier la région de votre locataire Azure AD comme décrit précédemment. Si le locataire Azure AD se trouve dans l’Union européenne, vous devez utiliser le point de terminaison Europe.
Nous effectuons des mises à jour de protocole dans Microsoft Authenticator pour prendre en charge un identificateur décentralisé avec une seule forme longue, dépréciant l’utilisation de paires. Avec cette mise à jour, votre identificateur décentralisé dans Microsoft Authenticator est utilisé pour chaque émetteur et chaque échange de partie de confiance. Les détenteurs de justificatifs vérifiables dans Microsoft Authenticator doivent faire réémettre leurs justificatifs vérifiables, car aucun justificatif précédent ne continuera de fonctionner.
- Nous avons ajouté des collections Postman à nos exemples pour commencer à utiliser rapidement l’API REST de demande de service.
- Ajout d’un nouvel exemple qui illustre l’intégration de l’ID vérifié Microsoft Entra à Azure AD B2C.
- Exemple de configuration du service ID vérifié Microsoft Entra avec PowerShell et un modèle ARM.
- Exemples de fichiers de configuration de justificatifs vérifiables pour montrer des exemples de cartes pour ID Token, IDTokenHit et des revendications auto-attestées.
- Nous avons apporté des mises à jour à l’API REST du service de demande pour émission et présentation. Types de rappel appliquant des règles afin que des points de terminaison d’URL pour rappels soient accessibles.
- Mises à jour de l’expérience utilisateur des justificatifs vérifiables Microsoft Authenticator : Animations sur la sélection de cartes à partir du portefeuille.
Vous pouvez désormais utiliser l’API REST du service de demande pour créer des applications qui peuvent émettre et vérifier des informations d’identification à partir de n’importe quel langage de programmation. Cette nouvelle API REST fournit une couche d’abstraction améliorée et une intégration au service ID vérifié Microsoft Entra.
Il est judicieux de commencer à utiliser l’API sans tarder car le Kit de développement logiciel (SDK) NodeJS sera déconseillé dans les prochains mois. La documentation et les exemples utilisent désormais l’API REST du service de demande. Pour plus d’informations, consultez API REST du service de demande (préversion).
Vous pouvez désormais émettre des informations d’identification vérifiables dans Azure AD. Ce service est utilise lorsque vous devez présenter une preuve d’emploi, de formation ou autre. Le détenteur de ces informations d’identification peut décider quand et avec qui partager ses informations d’identification. Chaque information d’identification est signée à l’aide de clés de chiffrement associées à l’identité décentralisée que l’utilisateur possède et contrôle.