Een eerder uitgegeven verifieerbare referentie intrekken

Notitie

Azure Active Directory controleerbaar legitimatiebewijs is nu Microsoft Entra geverifieerde ID en maakt deel uit van de Microsoft Entra-productenreeks. Lees meer over de Microsoft Entra-reeks van identiteitsoplossingen en ga aan de slag in het geïntegreerde Microsoft Entra-beheercentrum.

Als onderdeel van het proces van het werken met verifieerbare referenties (VC's), moet u niet alleen referenties uitgeven, maar moet u ze soms ook intrekken. In dit artikel behandelen we de eigenschap Status van de VC-specificatie en bekijken we het intrekkingsproces nader, waarom we referenties zouden willen intrekken en enkele gevolgen voor gegevens en privacy.

Waarom zou u een verifieerbare referentie willen intrekken?

Elke klant heeft een eigen unieke reden om een verifieerbare referentie in te trekken, maar hier volgen enkele algemene redenen die we tot nu toe hebben gehoord.

  • Student-id: de student is geen actieve student meer aan de universiteit.
  • Werknemer-id: de werknemer is geen actieve werknemer meer.
  • Staatsrijbewijs (VS): de bestuurder woont niet meer in die staat.

Hoe kan ik een verifieerbare referentie intrekken?

Met behulp van de geïndexeerde claim in verifieerbare referenties kunt u op die claim zoeken naar uitgegeven verifieerbare referenties in de portal en ze intrekken.

  1. Navigeer naar de blade Verified ID in de Azure Portal als beheerder met de machtiging voor de aanmeldingssleutel voor Azure Key Vault.

  2. Selecteer het type verifieerbare referentie

  3. Kies in het menu aan de linkerkant de optie Een referentie intrekkenEen referentie intrekken

  4. Zoek de indexclaim van de gebruiker van wie u de referentie wilt intrekken. Als u een claim niet hebt geïndexeerd, werkt de zoekopdracht niet en kunt u de verifieerbare referentie niet intrekken.

    Schermopname van de in te trekken referentie

    Notitie

    Omdat alleen een hash van de geïndexeerde claim van de verifieerbare referentie wordt opgeslagen, wordt alleen een exacte overeenkomst weergegeven in de zoekresultaten. Wat wordt ingevoerd in het tekstvak, wordt gehasht met hetzelfde algoritme en als zoekcriterium gebruikt om de opgeslagen, gehashte waarde te vinden.

  5. Wanneer een overeenkomst wordt gevonden, selecteert u de optie Intrekken rechts van de referentie die u wilt intrekken.

    Notitie

    De beheerder die de intrekkingsbewerking uitvoert, moet een machtiging voor de aanmeldingssleutel hebben voor Azure Key Vault. Anders krijgt u het foutbericht dat de Key Vault-resource niet kan worden geopend met de opgegeven referenties.

    Schermopname van een waarschuwing dat de gebruiker na intrekking nog steeds de referentie heeft

  6. Nadat het intrekken is voltooid, ziet u de statusupdate en wordt er boven aan de pagina een groene banner weergegeven.

    Schermopname van een melding over een met succes ingetrokken verifieerbare referentie

Wanneer er nu een presentatie wordt verzonden naar de aanvraagservice-API, wordt gecontroleerd of de verifieerbare referentie is ingetrokken.

Een verifieerbare referentie instellen met de mogelijkheid om in te trekken

Gegevens over verifieerbare referenties worden niet opgeslagen door Microsoft. Daarom moet de verlener één claim maken, de geïndexeerde claim, voordat de verifieerbare referentie kan worden gezocht. Er kan slechts één claim zijn die is geïndexeerd en als er geen is, kunt u referenties niet intrekken. De geselecteerde claim om te indexeren wordt vervolgens gesalt en gehasht en wordt niet opgeslagen als de oorspronkelijke waarde.

Notitie

Hashing is een cryptografische bewerking in één richting die een invoer wordt, een zogenaamde preimage, en een uitvoer produceert die een hash met een vaste lengte heeft. Het is op dit moment rekenkundig ondoenlijk om een hash-bewerking om te keren.

Voorbeeld: in het onderstaande voorbeeld is de displayName de indexclaim en kan worden gezocht op de volledige naam van de gebruiker en niets anders.

{
  "attestations": {
    "idTokens": [
      {
        "clientId": "8d5b446e-22b2-4e01-bb2e-9070f6b20c90",
        "configuration": "https://didplayground.b2clogin.com/didplayground.onmicrosoft.com/B2C_1_sisu/v2.0/.well-known/openid-configuration",
        "redirectUri": "vcclient://openid",
        "scope": "openid profile email",
        "mapping": [
          {
            "outputClaim": "displayName",
            "required": true,
            "inputClaim": "$.name",
            "indexed": true
          },
          {
            "outputClaim": "firstName",
            "required": true,
            "inputClaim": "$.given_name",
            "indexed": false
          },
          {
            "outputClaim": "lastName",
            "required": true,
            "inputClaim": "$.family_name",
            "indexed": false
          }
        ],
        "required": false
      }
    ]
  },
  "validityInterval": 2592000,
  "vc": {
    "type": [
      "VerifiedCredentialExpert"
    ]
  }
}

Notitie

Er kan slechts één claim worden geïndexeerd vanuit een claimtoewijzing voor regels. Als u per ongeluk geen geïndexeerde claim in uw regeldefinitie hebt en u dit later corrigeert, zijn al uitgegeven verifieerbare referenties niet doorzoekbaar omdat ze zijn uitgegeven toen er geen index bestond.

Hoe werkt intrekking?

Microsoft Entra Verified ID implementeert de W3C StatusList2021. Wanneer de presentatie bij de aanvraagservice-API plaatsvindt, voert de API de intrekkingscontrole voor u uit. De intrekkingscontrole vindt plaats via een anonieme API-aanroep naar Identity Hub en bevat geen gegevens over wie controleert of de verifieerbare referentie nog steeds geldig of ingetrokken is. Met de statusList2021 houdt Microsoft Entra Verified ID alleen een vlag bij met de hash-waarde van de geïndexeerde claim om de intrekkingsstatus bij te houden.

Gegevens over verifieerbare referenties

In elke door Microsoft uitgegeven verifieerbare referentie is er een claim genaamd credentialStatus. Deze gegevens vormen een navigatiekaart naar waar in een blok gegevens deze verifieerbare referentie de intrekkingsvlag heeft.

Notitie

Als de verifieerbare referentie oud is en is uitgegeven tijdens de preview-periode, bestaat deze claim mogelijk niet. Intrekking werkt niet voor deze referentie en u moet deze opnieuw uitvoeren.

...
"credentialStatus": { 
    "id": "urn:uuid:625dfcad-0000-1111-2222-333444445555?bit-index=31", 
    "type": "RevocationList2021Status", 
    "statusListIndex": 31, 
    "statusListCredential": "did:ion:EiDR0Y6zfvnUy2NjO293XNfe9AOL...<SNIP>...?service=IdentityHub&queries=...data..." 
...

API-eindpunt van Identity Hub voor verleners

In het DID-document van de verlener is het eindpunt van de Identity Hub beschikbaar in de sectie service.

didDocument": {
    "id": "did:ion:EiD...<SNIP>",
    "@context": [
        "https://www.w3.org/ns/did/v1",
        {
            "@base": "did:ion:EiD...<SNIP>..."
        }
     ],
     "service": [
         {
             "id": "#linkeddomains",
             "type": "LinkedDomains",
             "serviceEndpoint": {
             "origins": [
                "https://contoso.com/"
                ]
             }
         },
         {
             "id": "#hub",
             "type": "IdentityHub",
             "serviceEndpoint": {
                "instances": [
                   "https://verifiedid.hub.msidentity.com/v1.0/11111111-2222-3333-4444-000000000000"
                ],
                "origins": [ ]
             }
         }
    ],

Volgende stappen