Odwoływanie wcześniej wystawionych poświadczeń weryfikowalnych

  • Artykuł

W ramach procesu pracy z weryfikowalnymi poświadczeniami należy wydać poświadczenia. Czasami trzeba je również odwołać. W tym artykule zapoznamy Status się z częścią właściwości specyfikacji weryfikowalnych poświadczeń. Przyjrzymy się bliżej procesowi odwoływania, dlaczego chcemy odwołać poświadczenia oraz jakieś konsekwencje dla danych i prywatności.

Dlaczego chcesz odwołać poświadczenia weryfikowalne?

Każdy klient ma własne unikatowe powody, dla których chce odwołać poświadczenia weryfikowalne. Oto niektóre typowe motywy:

  • Identyfikator studenta: Student nie jest już aktywnym studentem na uniwersytecie.
  • Identyfikator pracownika: pracownik nie jest już aktywnym pracownikiem.
  • Prawo jazdy państwa: Kierowca nie mieszka już w tym stanie.

Jak mogę odwołać weryfikowalne poświadczenia?

Korzystając z oświadczenia indeksowanego w weryfikowalnych poświadczeniach, można wyszukać wystawione poświadczenia weryfikowalne przez to oświadczenie w portalu i odwołać je.

  1. Przejdź do okienka Zweryfikowany identyfikator w witrynie Azure Portal jako administrator z uprawnieniem podpisywania klucza dla usługi Azure Key Vault.

  2. Wybierz weryfikowalny typ poświadczeń.

  3. W menu po lewej stronie wybierz pozycję Odwołaj poświadczenia.

    Zrzut ekranu przedstawiający odwołanie poświadczeń.

  4. Wyszukaj oświadczenie indeksu użytkownika, który chcesz odwołać. Indeksowanie oświadczenia jest wymagane do wyszukiwania poświadczeń.

    Zrzut ekranu przedstawiający poświadczenia do odwołania.

    Ponieważ jest przechowywany tylko skrót indeksowanego oświadczenia z weryfikowalnego poświadczenia, tylko dokładne dopasowanie wypełnia wyniki wyszukiwania. Informacje wprowadzone w polu tekstowym są skrótami przy użyciu tego samego algorytmu. Jest on używany jako kryterium wyszukiwania, aby dopasować wartość skrótu, która jest przechowywana.

  5. Po znalezieniu dopasowania wybierz opcję Odwołaj po prawej stronie poświadczenia, które chcesz odwołać.

    Zostanie wyświetlony komunikat o błędzie "Nie można uzyskać dostępu do zasobu usługi Key Vault" przez administratora, który wykonuje operację odwoływanie operacji odwoływanie.

    Zrzut ekranu przedstawiający ostrzeżenie informujące o tym, że po odwołaniu użytkownik nadal ma poświadczenia.

  6. Po pomyślnym odwołaniu zobaczysz aktualizację stanu, a w górnej części strony pojawi się zielony baner.

    Zrzut ekranu przedstawiający pomyślnie odwołany weryfikowalny komunikat poświadczeń.

Interfejs API usługi żądań wskazuje odwołane poświadczenia w wywołaniu zwrotnym presentation_verified jako REVOKED. W zależności od tego, czy żądanie prezentacji określiło, że zezwala na prezentowanie odwołanych poświadczeń, prezentacja odwołanych poświadczeń zakończy się powodzeniem lub niepowodzeniem.

Konfigurowanie weryfikowalnego poświadczenia z możliwością odwołania

Zweryfikowany identyfikator Microsoft Entra nie przechowuje weryfikowalnych danych poświadczeń. Wystawca musi zaindeksować jedno oświadczenie, aby umożliwić wyszukiwanie poświadczeń. Można indeksować tylko jedno oświadczenie, a jeśli nie ma żadnego, nie można odwołać poświadczeń. Wybrane oświadczenie do indeksu jest następnie solone i skróty i nie jest przechowywane jako oryginalna wartość.

Uwaga

Skrót to jednokierunkowa operacja kryptograficzna, która zamienia dane wejściowe o nazwie , i generuje dane wyjściowe o nazwie preimageskrót o stałej długości. W tej chwili nie można wykonać obliczeń w celu odwrócenia operacji skrótu.

Przykład: W poniższym przykładzie displayName jest oświadczenie indeksu. Możesz wyszukiwać tylko za pomocą pełnej nazwy użytkownika i nic innego.

{
  "attestations": {
    "idTokens": [
      {
        "clientId": "8d5b446e-22b2-4e01-bb2e-9070f6b20c90",
        "configuration": "https://didplayground.b2clogin.com/didplayground.onmicrosoft.com/B2C_1_sisu/v2.0/.well-known/openid-configuration",
        "redirectUri": "vcclient://openid",
        "scope": "openid profile email",
        "mapping": [
          {
            "outputClaim": "displayName",
            "required": true,
            "inputClaim": "$.name",
            "indexed": true
          },
          {
            "outputClaim": "firstName",
            "required": true,
            "inputClaim": "$.given_name",
            "indexed": false
          },
          {
            "outputClaim": "lastName",
            "required": true,
            "inputClaim": "$.family_name",
            "indexed": false
          }
        ],
        "required": false
      }
    ]
  },
  "validityInterval": 2592000,
  "vc": {
    "type": [
      "VerifiedCredentialExpert"
    ]
  }
}

Można indeksować tylko jedno oświadczenie z mapowania oświadczeń reguł. Jeśli przypadkowo nie masz indeksowanego oświadczenia w definicji reguł, a później poprawisz ten nadzór, już wystawione poświadczenia weryfikowalne nie będą możliwe do przeszukiwania, ponieważ zostały one wystawione, gdy indeks nie istniał.

Jak działa odwołanie?

Zweryfikowany identyfikator Microsoft Entra implementuje W3C StatusList2021. W przypadku prezentacji interfejsu API usługi żądań interfejs API sprawdza stan odwołania. Sprawdzanie odwołania odbywa się za pośrednictwem anonimowego wywołania interfejsu API do usługi Identity Hub i nie zawiera żadnych danych dotyczących tego, kto sprawdza, czy weryfikowalne poświadczenia są nadal prawidłowe lub odwołane. W programie statusList2021Zweryfikowany identyfikator Microsoft Entra zachowuje flagę przez wartość skrótu indeksowanego oświadczenia, aby śledzić stan odwołania.

Weryfikowalne dane poświadczeń

W każdym uwierzytelnianym poświadczenie wystawionym przez firmę Microsoft istnieje oświadczenie o nazwie credentialStatus. Te dane to mapa nawigacji, w której w bloku danych ten weryfikowalny poświadczenie ma flagę odwołania.

Uwaga

Jeśli poświadczenia weryfikowalne są stare i zostały wydane w okresie obowiązywania wersji zapoznawczej, to oświadczenie nie istnieje. Odwołanie nie będzie działać dla tego poświadczenia i trzeba go ponownie uruchomić.

...
"credentialStatus": { 
    "id": "urn:uuid:625dfcad-0000-1111-2222-333444445555?bit-index=31", 
    "type": "RevocationList2021Status", 
    "statusListIndex": 31, 
    "statusListCredential": "did:web:verifiedid.contoso.com?service=IdentityHub&queries=...data..." 
...

Punkt końcowy interfejsu API usługi Identity Hub wystawcy

W dokumencie identyfikatora zdecentralizowanego jednostki wystawiającej punkt końcowy centrum tożsamości jest dostępny w service sekcji .

didDocument": {
    "id": "did:web:verifiedid.contoso.com",
    "@context": [
        "https://www.w3.org/ns/did/v1",
        {
            "@base": "did:web:verifiedid.contoso.com"
        }
     ],
     "service": [
         {
             "id": "#linkeddomains",
             "type": "LinkedDomains",
             "serviceEndpoint": {
             "origins": [
                "https://verifiedid.contoso.com/"
                ]
             }
         },
         {
             "id": "#hub",
             "type": "IdentityHub",
             "serviceEndpoint": {
                "instances": [
                   "https://verifiedid.hub.msidentity.com/v1.0/11111111-2222-3333-4444-000000000000"
                ],
                "origins": [ ]
             }
         }
    ],

Następne kroki