Novità per l'ID verificato di Microsoft Entra
Questo articolo elenca le ultime funzionalità, i miglioramenti e le modifiche nel servizio ID verificato di Microsoft Entra.
- La sezione Domande frequenti contiene ora informazioni per la protezione avanzata della rete per i callback dell'API del servizio di richiesta.
- Il supporto per did:web:path può essere abilitato per il tenant di Microsoft Entra su richiesta.
- FaceCheck è disponibile a livello generale a partire dal 12 agosto.
- FaceCheck introduce il componente aggiuntivo Face Check Addon come aggiornamento incrementale all'anteprima pubblica di Face Check. Face Check è una funzionalità Premium all'interno di ID verificato di Microsoft Entra, per l'utilizzo durante il periodo di anteprima pubblica che termina il 12 agosto.
- Configurazione rapida Disponibile a livello generale, consente a un amministratore di eseguire l'onboarding di ID verificato di Microsoft Entra in un tenant di Microsoft Entra con un solo clic di un pulsante.
- A partire da febbraio 2024, l'ID verificato supporta la curva P-256 conforme a NIST.
- Wallet Library 1.0.1 supporta P-256.
- Nuovo articolo sul supporto tecnico verificato su come identificare i chiamanti che cercano assistenza usando ID verificato di Microsoft Entra.
- La sostituzione di expirationDate al rilascio per il flusso di attestazione idTokenHint richiede che il contratto debba avere il flag allowOverrideValidityOnIssuance impostato su true.
- FaceCheck è ora disponibile in anteprima pubblica. Consente alle aziende di eseguire verifiche ad alta garanzia eseguendo la corrispondenza facciale tra il selfie in tempo reale di un utente e una foto nella credenziale di ID verificato. FaceCheck è offerto gratuitamente durante il periodo di anteprima pubblica e può essere sfruttato da qualsiasi progetto ID verificato. Più avanti nel corso dell'anno verranno annunciati i modelli di fatturazione.
- L'API del servizio di richiesta supporta ora l'applicazione emittente per impostare la data di scadenza delle credenziali durante e la richiesta di emissione quando l'attestazione usa il flusso idTokenHint.
- L'opzione di selezione
did:ion
come sistema di attendibilità viene rimossa. L'unico sistema di attendibilità disponibile èdid:web
. Per informazioni su come passare a did:web da did:ion, vedere le domande frequenti.
L'API del servizio di richiesta supporta ora i vincoli delle attestazioni durante l'esecuzione di richieste di presentazione. I vincoli delle attestazioni possono essere usati per specificare vincoli sulle credenziali ID verificate che il verificatore chiede di presentare. I vincoli disponibili sono corrispondenza diretta, contiene e startsWith.
- Installazione rapida introdotta come anteprima che consente a un amministratore di eseguire l'onboarding di un tenant di Microsoft Entra con un solo clic di un pulsante.
- Account personale ora è disponibile per semplificare il rilascio delle credenziali dell'azienda
- Configurazione avanzata ancora disponibile come opzione per
Quick setup
.
L'ID verificato ritira gli endpoint dell'API del servizio di richiesta obsoleti che erano disponibili prima che l'ID verificato fosse disponibile a livello generale. Queste API non dovevano essere state usate dalla disponibilità generale di agosto 2022, ma se usate nell'app, è necessario eseguire la migrazione. Gli endpoint API in fase di ritiro sono:
POST https://verifiedid.did.msidentity.com/v1.0/:tenant/verifiablecredentials/request
GET https://verifiedid.did.msidentity.com/v1.0/:tenant/verifiablecredentials/request/:requestId
POST https://verifiedid.did.msidentity.com/v1.0/:tenant/verifiablecredentials/present
POST https://verifiedid.did.msidentity.com/v1.0/:tenant/verifiablecredentials/issuance
La prima API era per la creazione di una richiesta di emissione o presentazione. La seconda API era per il recupero di una richiesta e le ultime due API erano per un rilascio o una presentazione di completamento del portafoglio. Gli endpoint API da usare dopo l'anteprima sono i seguenti.
POST https://verifiedid.did.msidentity.com/v1.0/verifiablecredentials/createPresentationRequest
POST https://verifiedid.did.msidentity.com/v1.0/verifiablecredentials/createIssuanceRequest
GET https://verifiedid.did.msidentity.com/v1.0/verifiablecredentials/presentationRequests/:requestId
POST https://verifiedid.did.msidentity.com/v1.0/verifiablecredentials/completeIssuance
POST https://verifiedid.did.msidentity.com/v1.0/verifiablecredentials/verifyPresentation
Si noti che l'API /request
è suddivisa in due a seconda che si stia creando una richiesta di rilascio o presentazione.
Gli endpoint API ritirati non funzioneranno dopo ottobre 2023.
Il callback presentation_verified
dall'API del servizio di richiesta restituisce ora quando è stata emessa una credenziale ID verificata e alla scadenza. Le regole di business possono usare questi valori per vedere l'intervallo di tempo di quando la credenziale ID verificata presentata è valida. Un esempio di questa situazione è che scade fra un'ora mentre l'azienda aveva bisogno che fosse valida fino alla fine della giornata.
Esercitazione per iniziare a usare la demo di Raccolta portafogli in Android e iOS disponibile qui.
- Raccolta portafogli è stato annunciato alla Build 2023 nella sessione Ridurre le frodi e migliorare l'impegno con portafogli digitali. La Raccolta portafogli consente ai clienti di aggiungere tecnologie di credenziali verificabili alle proprie app per dispositivi mobili. Le librerie sono disponibili per Android e iOS.
Istruzioni per configurare la verifica sul posto di lavoro su LinkedIn disponibili qui.
- L'API Amministrazione supporta ora i token di accesso dell'applicazione, oltre ai bearer token dell'utente.
- Introduzione alla raccolta partner dei servizi di ID verificato di Microsoft Entra che elenca partner attendibili che consentono di accelerare l'implementazione di ID verificato di Microsoft Entra.
- Miglioramenti all'esperienza di onboarding dell'amministratore nel portale di amministrazione in base al feedback dei clienti.
- Aggiornamenti agli esempi in GitHub che illustrano come visualizzare in modo dinamico le attestazioni VC.
Anteprima pubblica: i clienti di Gestione entitlement possono ora creare pacchetti di accesso che sfruttano ID verificato di Microsoft Entra. Altre informazioni
L'API del servizio di richiesta può ora eseguire il controllo della revoca per le credenziali verificabili presentate con StatusList2021 o con i tipi di elenco di stato RevocationList2020.
- Miglioramenti dell'esperienza utente di Microsoft Authenticator sul codice pin, panoramica delle credenziali verificabili e requisiti di credenziali verificabili.
- ID verificato di Microsoft Entra ora segnala gli eventi nel log di controllo. Attualmente vengono registrate solo le modifiche di gestione apportate tramite l'API Amministrazione. Il rilascio o le presentazioni di credenziali verificabili non vengono segnalati nel log di controllo. Le voci di log hanno un nome di servizio di
Verified ID
e l'attività saràCreate authority
,Update contract
e così via.
- L'API del servizio di richiesta dispone ora di autorizzazioni granulari per le app ed è possibile concedere VerifiableCredential.Create.IssueRequest e VerifiableCredential.Create.PresentRequest separatamente per dividere i compiti di rilascio e presentazione in un'applicazione separata.
- IdV Partner Gallery è ora disponibile nella documentazione che illustra come eseguire l'integrazione con i partner di verifica dell'identità di Microsoft.
- Guida pratica per l'implementazione del flusso di attestazione della presentazione che richiede la presentazione di credenziali verificabili durante il rilascio.
ID verificato di Microsoft Entra è ora disponibile a livello generale (GA) come nuovo membro del portfolio Microsoft Entra! Altre informazioni
- I tenant che esprimono un rifiuto esplicito senza rilasciare credenziali verificabili ricevono un errore
Specified resource does not exist
dall'API Amministrazione e/o dall'interfaccia di amministrazione di Microsoft Entra. Una correzione per questo problema dovrebbe essere disponibile entro il 20 agosto 2022.
Le API del servizio di richiesta hanno un nuovo nome host
verifiedid.did.msidentity.com
.beta.did.msidentity
ebeta.eu.did.msidentity
continuano a funzionare, ma è necessario modificare l'applicazione e la configurazione. Inoltre, non è più necessario specificare.eu.
per un tenant UE.Le API del servizio di richiesta hanno nuovi endpoint e payload JSON aggiornati. Per il rilascio, vedere Specifica dell'API di rilascio e per la presentazione, vedere Specifica dell'API di presentazione. Gli endpoint e i payload JSON precedenti continuano a funzionare, ma è necessario modificare le applicazioni in modo da usare i nuovi endpoint e payload.
I codici di errore dell'API del servizio di richiesta sono stati aggiornati
L'API Amministrazione viene resa pubblica ed è documentata. Il portale di Azure usa l'API Amministrazione e con questa API REST è possibile automatizzare l'onboarding del tenant e la creazione di contratti di credenziali.
Trovare emittenti e credenziali da verificare attraverso la rete di ID verificato di Microsoft Entra.
Per eseguire la migrazione delle credenziali basate su Archiviazione di Azure per diventare credenziali gestite, è presente uno script di PowerShell nel repository di esempi di GitHub per l'attività.
Abbiamo apportato anche i seguenti aggiornamenti alla documentazione sul piano e sulla progettazione:
- Panoramica della pianificazione dell'architettura (aggiornato).
- Pianificare la soluzione di rilascio (aggiornato).
- Pianificare la soluzione di verifica (aggiornato).
- Stiamo aggiungendo il supporto per il metodo did:web. Tutti i nuovi tenant che iniziano a usare il servizio credenziali verificabili dopo il 14 giugno 2022 avranno Web come nuovo sistema di attendibilità predefinito durante l'onboarding. Gli amministratori di VC possono comunque scegliere di usare ION per l'impostazione di un tenant. Se si vuole usare did:web anziché ION o viceversa, è necessario riconfigurare il tenant.
- Vengono implementate diverse funzionalità per migliorare l'esperienza complessiva di creazione di credenziali verificabili nella piattaforma ID verificato di Microsoft Entra:
- Introduzione alle credenziali gestite, che sono credenziali verificabili che non usano più Archiviazione di Azure per archiviare le definizioni JSON di visualizzazione e regole. Le definizioni di visualizzazione e regole sono diverse dalle versioni precedenti.
- Creare credenziali gestite usando la nuova esperienza di avvio rapido.
- Gli amministratori possono creare credenziali gestite per dipendenti verificate usando il nuovo avvio rapido. Il dipendente verificato è una credenziale verificabile di tipo verifiedEmployee basata su un set predefinito di attestazioni dalla directory del tenant.
Importante
È necessario eseguire la migrazione delle credenziali basate su Archiviazione di Azure affinché diventino credenziali gestite. Verranno presto fornite istruzioni per la migrazione.
- Sono stati apportati gli aggiornamenti seguenti ai nostri documenti:
- (nuovo) Standard aperti attualmente supportati per ID verificato di Microsoft Entra.
- (nuovo) Come creare credenziali verificabili per il suggerimento per il token ID.
- (nuovo) Come creare credenziali verificabili per il token ID.
- (nuovo) Come creare credenziali verificabili per le attestazioni autocertificate.
- (nuovo) Specifica del modello di definizione di visualizzazione e regole.
- (nuovo) Creazione di un tenant per lo sviluppo.
Stiamo espandendo il servizio a tutti i clienti di Azure AD. Le credenziali verificabili sono ora disponibili a tutti con una sottoscrizione di Azure AD (gratuita e Premium). I tenant esistenti che hanno configurato il servizio di Credenziali verificabili prima del 4 maggio 2022 devono apportare una piccola modifica per evitare interruzioni del servizio.
A partire dal mese prossimo, verranno implementate entusiasmanti modifiche ai requisiti della sottoscrizione per il servizio di Credenziali verificabili. Gli amministratori devono eseguire una piccola modifica di configurazione entro il 4 maggio 2022 per evitare interruzioni del servizio.
Importante
Se le modifiche non vengono applicate entro il 4 maggio 2022, si verificheranno errori durante il rilascio e la presentazione per l'applicazione o il servizio usando il servizio di ID verificato di Microsoft Entra.
- I clienti di ID verificato di Microsoft Entra possono ora modificare facilmente il dominio collegato al proprio DID dal portale di Azure.
- Sono stati apportati aggiornamenti a Microsoft Authenticator che modificano l'interazione tra l'emittente di credenziali verificabili e l'utente che presenta le credenziali verificabili. Questo aggiornamento impone la riemissione di tutte le credenziali verificabili in Microsoft Authenticator per iOS. Altre informazioni
Verranno implementate alcune modifiche che causano un'interruzione del servizio. Questi aggiornamenti richiedono la riconfigurazione del servizio ID verificato di Microsoft Entra. Gli utenti finali devono riemettere nuovamente le credenziali verificabili.
- Il servizio ID verificato di Microsoft Entra ora può archiviare e gestire l'elaborazione dati nell'area europea di Azure.
- I clienti di ID verificato di Microsoft Entra possono sfruttare i miglioramenti apportati alla revoca delle credenziali. Queste modifiche aggiungono un livello di privacy superiore tramite l'implementazione dello standard W3C Status List 2021.
- Sono stati apportati aggiornamenti a Microsoft Authenticator che modificano l'interazione tra l'emittente di credenziali verificabili e l'utente che presenta le credenziali verificabili. Questo aggiornamento impone la riemissione di tutte le credenziali verificabili in Microsoft Authenticator per Android. Ulteriori informazioni
Importante
Tutti i clienti di Credenziali verificabili di Azure AD che ricevono un avviso banner nel portale di Azure devono eseguire una riconfigurazione del servizio entro il 31 marzo 2022. Il 31 marzo 2022, i tenant che non sono stati riconfigurati perderanno l'accesso a qualsiasi configurazione precedente. Gli amministratori dovranno configurare una nuova istanza del servizio Credenziali verificabili di Azure AD. Altre informazioni su come riconfigurare il tenant.
Dall'inizio dell'anteprima pubblica del servizio ID verificato di Microsoft Entra, il servizio è disponibile solo nell'area America del Nord di Azure. Il servizio è ora disponibile anche nell'area Europa di Azure.
- I nuovi clienti con tenant europei di Azure AD hanno ora i dati di Credenziali verificabili situati ed elaborati nell'area Europa di Azure.
- I clienti con tenant di Azure AD configurati in Europa che iniziano a usare il servizio ID verificato di Microsoft Entra dopo il 15 febbraio 2022, hanno i dati elaborati automaticamente in Europa. Non è necessario eseguire altre azioni.
- I clienti con tenant di Azure AD configurati in Europa che hanno iniziato a usare il servizio ID verificato di Microsoft Entra prima del 15 febbraio 2022 devono riconfigurare il servizio nei tenant entro il 31 marzo 2022.
Per configurare il servizio Credenziali verificabili in Europa, seguire questa procedura:
- Controllare la posizione di Azure Active Directory per assicurarsi che sia in Europa.
- Riconfigurare il servizio Credenziali verificabili nel tenant.
Importante
Il 31 marzo 2022, i tenant europei che non sono stati riconfigurati in Europa perderanno l'accesso a qualsiasi configurazione precedente e dovranno configurare una nuova istanza del servizio Credenziali verificabili di Azure AD.
Sono state apportate modifiche al modo in cui si usa l'API Richiesta in seguito a questo spostamento?
Le applicazioni che usano il servizio ID verificato di Microsoft Entra devono usare l'endpoint dell'API Richiesta corrispondente all'area del tenant di Azure AD.
Area del tenant | POST dell'endpoint dell'API di richiesta |
---|---|
Europa | https://beta.eu.did.msidentity.com/v1.0/{tenantID}/verifiablecredentials/request |
Fuori dall'Europa | https://beta.did.msidentity.com/v1.0/{tenantID}/verifiablecredentials/request |
Per verificare quale endpoint usare, è consigliabile controllare l'area del tenant di Azure AD come descritto in precedenza. Se il tenant di Azure AD si trova nella UE, è consigliabile usare l'endpoint Europa.
Microsoft sta apportando aggiornamenti del protocollo in Microsoft Authenticator per supportare DID di formato lungo singolo, deprecando quindi l'uso di pairwise. Con questo aggiornamento, il DID in Microsoft Authenticator viene usato per ogni autorità emittente e scambio di entità di inoltro. I titolari di credenziali verificabili che usano Microsoft Authenticator devono ottenere nuovamente le credenziali verificabili, perché le credenziali precedenti non funzioneranno più.
- Sono state aggiunte raccolte Postman ai nostri esempi come guida introduttiva per iniziare a usare l'API REST del servizio di richiesta.
- È stato aggiunto un nuovo esempio che illustra l'integrazione di ID verificato di Microsoft Entra con Azure AD B2C.
- Esempio per la configurazione dei servizi ID verificato di Microsoft Entra usando PowerShell e un modello ARM.
- File di configurazione delle credenziali verificabili di esempio per mostrare le schede esemplificative per token ID, IDTokenHit e attestazioni autocertificate.
- Sono stati apportati aggiornamenti all'API REST del servizio di richiesta per il rilascio e la presentazione. Tipi di callback che applicano regole in modo tale che gli endpoint URL per i callback siano raggiungibili.
- Aggiornamento dell'esperienza utente nell'esperienza delle credenziali verificabili di Microsoft Authenticator: animazioni sulla selezione di carte dal portafoglio.
È ora possibile usare l'API REST del servizio di richiesta per compilare applicazioni in grado di rilasciare e verificare le credenziali da qualsiasi linguaggio di programmazione. Questa nuova API REST offre un livello di astrazione e un'integrazione migliorati per il servizio ID verificato di Microsoft Entra.
È consigliabile iniziare a usare presto l'API, perché NodeJS SDK sarà deprecato nei prossimi mesi. La documentazione e gli esempi ora usano l'API REST del servizio di richiesta. Per altre informazioni, vedere API REST del servizio di richiesta (anteprima).
È ora possibile rilasciare credenziali verificabili in Azure AD. Questo servizio è utile quando occorre presentare una prova di occupazione, istruzione o qualsiasi altra attestazione. Il titolare di tali credenziali può decidere quando, e con chi, condividere le proprie credenziali. Ogni credenziale viene firmata usando chiavi crittografiche associate all'identità decentralizzata posseduta e controllata dall'utente.