Odwoływanie wcześniej wystawionych poświadczeń weryfikowalnych

Uwaga

Poświadczenia weryfikowalne usługi Azure Active Directory są teraz Zweryfikowany identyfikator Microsoft Entra i częścią rodziny produktów Microsoft Entra. Dowiedz się więcej na temat Microsoft Entra rodziny rozwiązań do obsługi tożsamości i rozpocznij pracę w ujednoliconym centrum administracyjnym Microsoft Entra.

W ramach procesu pracy z weryfikowalnymi poświadczeniami (VCs) nie tylko trzeba wystawiać poświadczenia, ale czasami trzeba je również odwołać. W tym artykule omówimy część właściwości Status specyfikacji VC i przyjrzymy się bliżej procesowi odwołania, dlaczego możemy chcieć odwołać poświadczenia oraz pewne konsekwencje dotyczące danych i prywatności.

Dlaczego warto odwołać weryfikowalne poświadczenia?

Każdy klient będzie miał własny unikatowy powód, dla którego chcesz odwołać weryfikowalne poświadczenia, ale oto niektóre typowe motywy, które słyszeliśmy do tej pory.

  • Identyfikator studenta: student nie jest już aktywnym studentem na Uniwersytecie.
  • Identyfikator pracownika: pracownik nie jest już aktywnym pracownikiem.
  • State Drivers License: kierowca nie mieszka już w tym stanie.

Jak mogę odwołać weryfikowalne poświadczenia

Używając indeksowanego oświadczenia w weryfikowalnych poświadczeniach, możesz wyszukać wystawione poświadczenia weryfikowalne przez to oświadczenie w portalu i odwołać je.

  1. Przejdź do bloku Zweryfikowany identyfikator w Azure Portal jako użytkownik administracyjny z uprawnieniem klucza logowania w usłudze Azure KeyVault.

  2. Wybierz weryfikowalny typ poświadczeń

  3. W menu po lewej stronie wybierz pozycję Odwoływanie poświadczeń Odwoływanie poświadczeń

  4. Wyszukaj oświadczenie indeksu użytkownika, który chcesz odwołać. Jeśli oświadczenie nie zostało zindeksowane, wyszukiwanie nie będzie działać i nie będzie można odwołać weryfikowalnych poświadczeń.

    Zrzut ekranu przedstawiający poświadczenie do odwołania

    Uwaga

    Ponieważ przechowywany jest tylko skrót indeksowanego oświadczenia z weryfikowalnego poświadczenia, tylko dokładne dopasowanie spowoduje wypełnienie wyników wyszukiwania. To, co zostało wprowadzone w polu tekstowym, jest skrót za pomocą tego samego algorytmu i używane jako kryteria wyszukiwania w celu dopasowania do przechowywanej, skrótowej wartości.

  5. Po znalezieniu dopasowania wybierz opcję Odwołaj po prawej stronie poświadczeń, które chcesz odwołać.

    Uwaga

    Administrator wykonujący operację odwołania musi mieć uprawnienia klucza logowania w usłudze Azure KeyVault lub zostanie wyświetlony komunikat o błędzie Nie można uzyskać dostępu do zasobu keyVault przy użyciu podanych poświadczeń.

    Zrzut ekranu przedstawiający ostrzeżenie informujące o tym, że po odwołaniu użytkownik nadal ma poświadczenia

  6. Po pomyślnym odwołaniu zobaczysz aktualizację stanu, a zielony baner pojawi się w górnej części strony.

    zrzut ekranu przedstawiający pomyślnie odwołany komunikat o weryfikowaniu poświadczeń

Teraz, gdy prezentacja zostanie wysłana do interfejsu API usługi żądań, sprawdź, czy vc został odwołany.

Jak skonfigurować weryfikowalne poświadczenia z możliwością odwołania

Weryfikowalne dane poświadczeń nie są przechowywane przez firmę Microsoft. W związku z tym wystawca musi złożyć jedno oświadczenie, zindeksowane oświadczenie, zanim VC będzie można wyszukiwać. Może istnieć tylko jedno oświadczenie, które jest indeksowane i jeśli nie istnieje, nie będzie można odwołać poświadczeń. Wybrane oświadczenie do indeksowania jest następnie solone i skróty i nie jest przechowywane jako oryginalna wartość.

Uwaga

Skrót to jednokierunkowa operacja kryptograficzna, która zamienia dane wejściowe o nazwie , i generuje dane wyjściowe o nazwie preimageskrót, który ma stałą długość. Obecnie nie można wykonać obliczeń w celu odwrócenia operacji skrótu.

Przykład: W poniższym przykładzie nazwa displayName jest oświadczeniem indeksu i wyszukiwanie można wykonać za pośrednictwem pełnej nazwy użytkowników i nic innego.

{
  "attestations": {
    "idTokens": [
      {
        "clientId": "8d5b446e-22b2-4e01-bb2e-9070f6b20c90",
        "configuration": "https://didplayground.b2clogin.com/didplayground.onmicrosoft.com/B2C_1_sisu/v2.0/.well-known/openid-configuration",
        "redirectUri": "vcclient://openid",
        "scope": "openid profile email",
        "mapping": [
          {
            "outputClaim": "displayName",
            "required": true,
            "inputClaim": "$.name",
            "indexed": true
          },
          {
            "outputClaim": "firstName",
            "required": true,
            "inputClaim": "$.given_name",
            "indexed": false
          },
          {
            "outputClaim": "lastName",
            "required": true,
            "inputClaim": "$.family_name",
            "indexed": false
          }
        ],
        "required": false
      }
    ]
  },
  "validityInterval": 2592000,
  "vc": {
    "type": [
      "VerifiedCredentialExpert"
    ]
  }
}

Uwaga

Tylko jedno oświadczenie można indeksować z mapowania oświadczeń reguł. Jeśli nie masz przypadkowo indeksowanego oświadczenia w definicji reguł, a później poprawisz to, już wystawione poświadczenia weryfikowalne nie będą możliwe do wyszukania, ponieważ zostały wystawione, gdy indeks nie istnieje.

Jak działa odwołanie?

Zweryfikowany identyfikator Microsoft Entra implementuje listę stanu W3C2021. Po zakończeniu prezentacji interfejsu API usługi żądania interfejs API wykona sprawdzanie odwołania. Sprawdzanie odwołania odbywa się za pośrednictwem anonimowego wywołania interfejsu API do usługi Identity Hub i nie zawiera żadnych danych, które sprawdzają, czy weryfikowalne poświadczenia są nadal prawidłowe lub odwołane. Ze statusList2021, Zweryfikowany identyfikator Microsoft Entra po prostu zachowuje flagę przez wartość skrótu indeksowanego oświadczenia, aby śledzić stan odwołania.

Weryfikowalne dane poświadczeń

W każdym wydaniu poświadczeń weryfikowalnych przez firmę Microsoft istnieje oświadczenie o nazwie credentialStatus. Te dane są mapą nawigacji na lokalizację, w której w bloku danych ten vc ma flagę odwołania.

Uwaga

Jeśli weryfikowalne poświadczenia są stare i zostały wystawione w okresie obowiązywania wersji zapoznawczej, to oświadczenie może nie istnieć. Odwołanie nie będzie działać dla tego poświadczenia i trzeba go ponownie uruchomić.

...
"credentialStatus": { 
    "id": "urn:uuid:625dfcad-0000-1111-2222-333444445555?bit-index=31", 
    "type": "RevocationList2021Status", 
    "statusListIndex": 31, 
    "statusListCredential": "did:ion:EiDR0Y6zfvnUy2NjO293XNfe9AOL...<SNIP>...?service=IdentityHub&queries=...data..." 
...

Punkt końcowy interfejsu API usługi Identity Hub wystawców

W dokumencie DID jednostki wystawiającej punkt końcowy centrum tożsamości jest dostępny w service sekcji .

didDocument": {
    "id": "did:ion:EiD...<SNIP>",
    "@context": [
        "https://www.w3.org/ns/did/v1",
        {
            "@base": "did:ion:EiD...<SNIP>..."
        }
     ],
     "service": [
         {
             "id": "#linkeddomains",
             "type": "LinkedDomains",
             "serviceEndpoint": {
             "origins": [
                "https://contoso.com/"
                ]
             }
         },
         {
             "id": "#hub",
             "type": "IdentityHub",
             "serviceEndpoint": {
                "instances": [
                   "https://verifiedid.hub.msidentity.com/v1.0/11111111-2222-3333-4444-000000000000"
                ],
                "origins": [ ]
             }
         }
    ],

Następne kroki