Novidades na ID Verificada do Microsoft Entra
Este artigo lista os recursos, aprimoramentos e alterações mais recentes no serviço de ID Verificada do Microsoft Entra.
- A seção de perguntas frequentes agora contém informações sobre o sistema de proteção de rede para retornos de chamada da API de Solicitação de Serviço.
- O suporte para did:web:path pode ser habilitado para seu locatário do Microsoft Entra, mediante solicitação.
- O FaceCheck está disponível a partir de 12 de agosto.
- FaceCheck apresentamos o Complemento de Verificação Facial como uma atualização incremental para a visualização pública de Verificação Facial. A Verificação Facial é um recurso premium gratuito, na ID Verificada do Entra, para uso durante o período da versão prévia pública que termina em 12 de agosto.
- Configuração rápida Com disponibilidade geral, ele permite que um administrador integre a Identificação Verificada do Entra em um locatário do Entra com apenas o clique de um botão.
- Desde fevereiro de 2024, a ID Verificada dá suporte para a curva P-256 compatível com o NIST.
- A Biblioteca de Carteiras 1.0.1 dá suporte a P-256.
- Novo artigo de conceito sobre a Assistência técnica verificada que descreve como identificar os chamadores que buscam ajuda usando a ID verificada do Microsoft Entra.
- A substituição de expirationDate na emissão para o fluxo do atestado idTokenHint exige que o contrato tenha o sinalizador allowOverrideValidityOnIssuance definido como true.
- O FaceCheck agora está em versão prévia pública. Ele permite que as empresas realizem verificações de alta garantia executando correspondência facial entre a selfie em tempo real de um usuário e uma foto na credencial de ID Verificada. O FaceCheck é oferecido gratuitamente durante o período de Visualização Pública e pode ser aproveitado por qualquer projeto de ID Verificada. No final do ano, anunciaremos modelos de cobrança.
- A API de Serviço de Solicitação agora oferece suporte ao aplicativo emissor para definir a data de expiração da credencial durante e a solicitação de emissão quando o atestado estiver usando o fluxo idTokenHint.
- A opção de selecionar
did:ion
como um sistema confiável foi removida. O único sistema de confiança disponível é odid:web
. Consulte as Perguntas frequentes para obter ajuda sobre como mover para did:web de did:ion.
A API do Serviço de Solicitação agora dá suporte a restrições de declarações ao fazer solicitações de apresentação. As restrições de declarações podem ser usadas para especificar restrições na credencial de ID verificada que o verificador está solicitando que seja apresentada. As restrições disponíveis são direct match, contains e startsWith.
- A configuração rápida introduzida como versão prévia que permite que um administrador integre um locatário do Microsoft Entra com apenas um clique de botão.
- O MyAccount agora está disponível para simplificar a emissão de credenciais do local de trabalho
- A Configuração avançada ainda está disponível como uma opção para
Quick setup
.
A ID Verificada está desativando os pontos de extremidade antigos da API de serviço de solicitação que estavam disponíveis antes da ID Verificada estar disponível em geral. Essas APIs não deveriam ter sido usadas desde o GA em agosto de 2022, mas se elas forem usadas em seu aplicativo, você precisará migrar. Os pontos de extremidade da API que estão sendo retirados são:
POST https://verifiedid.did.msidentity.com/v1.0/:tenant/verifiablecredentials/request
GET https://verifiedid.did.msidentity.com/v1.0/:tenant/verifiablecredentials/request/:requestId
POST https://verifiedid.did.msidentity.com/v1.0/:tenant/verifiablecredentials/present
POST https://verifiedid.did.msidentity.com/v1.0/:tenant/verifiablecredentials/issuance
A primeira API foi para criar uma solicitação de emissão ou apresentação. A segunda API era para recuperar uma solicitação e as duas últimas APIs era para uma carteira concluindo a emissão ou apresentação. Os pontos de extremidade da API a serem usados desde a visualização são os seguintes.
POST https://verifiedid.did.msidentity.com/v1.0/verifiablecredentials/createPresentationRequest
POST https://verifiedid.did.msidentity.com/v1.0/verifiablecredentials/createIssuanceRequest
GET https://verifiedid.did.msidentity.com/v1.0/verifiablecredentials/presentationRequests/:requestId
POST https://verifiedid.did.msidentity.com/v1.0/verifiablecredentials/completeIssuance
POST https://verifiedid.did.msidentity.com/v1.0/verifiablecredentials/verifyPresentation
Observe que a API /request
é dividida em duas, dependendo se você estiver criando uma solicitação de emissão ou apresentação.
Os pontos de extremidade de API desativados não funcionarão após outubro de 2023.
O retorno de chamada presentation_verified
da API de serviço de solicitação agora retorna quando uma credencial de ID Verificada foi emitida e quando ela expira. As regras de negócio podem usar esses valores para ver o intervalo de tempo de quando a credencial de ID verificada apresentada é válida. Um exemplo disso é que ele expira em uma hora, enquanto o negócio exigido precisa ser válido até o final do dia.
Tutorial para começar a usar a demonstração da Biblioteca de Carteiras no Android e iOS está disponível aqui.
- A Biblioteca de Carteiras foi anunciada no Build 2023 na sessão Reduzir fraudes e melhorar o envolvimento por meio de Carteiras Digitais. A Biblioteca de Carteiras permite que os clientes adicionem tecnologia de credenciais verificáveis aos seus próprios aplicativos móveis. As bibliotecas estão disponíveis para Android e iOS.
As instruções para configurar a verificação do local de trabalho no LinkedIn estão disponíveis aqui.
- A API do administrador agora dá suporte a tokens de acesso de aplicativo, além de tokens de portador de usuário.
- Apresentamos a Galeria de parceiros de serviços da ID Verificada do Microsoft Entra listando parceiros confiáveis que podem ajudar a acelerar a implementação da ID Verificada do Microsoft Entra.
- Melhorias em nossa experiência de integração de administrador no portal de Administração com base nos comentários dos clientes.
- Atualizações aos nossos exemplos no GitHub mostrando como exibir dinamicamente as declarações de VC.
Versão prévia – Os clientes do Gerenciamento de Direitos agora podem criar pacotes de acesso que aproveitam a ID Verificada do Microsoft Entra saiba mais
A API do Serviço de Solicitação agora pode fazer a verificação de revogação de credenciais verificáveis apresentadas com StatusList2021 ou os tipos de lista de status RevocationList2020.
- Melhorias na experiência do usuário do Microsoft Authenticator em código PIN, visão geral de credenciais verificáveis e requisitos de credenciais verificáveis.
- A ID Verificada do Microsoft Entra agora relata eventos no log de auditoria. Somente as alterações de gerenciamento feitas por meio da API do administrador estão registradas no momento. A emissão ou apresentações de credenciais verificáveis não são relatadas no log de auditoria. As entradas de log têm um nome de serviço de
Verified ID
e a atividade seráCreate authority
,Update contract
etc.
- A API do Serviço de Solicitação agora tem permissões granulares de aplicativo e você pode conceder VerifiableCredential.Create.IssueRequest e VerifiableCredential.Create.PresentRequest separadamente para separar as tarefas de emissão e apresentação em aplicativos separados.
- Galeria de Parceiros IDV agora disponível na documentação que orienta como integrar com os parceiros de Verificação de Identidade da Microsoft.
- Guia de instruções para implementar o fluxo de atestado de apresentação que exige a apresentação de uma credencial verificável durante a emissão.
A ID Verificada do Microsoft Entra agora está em GA (disponibilidade geral) como o novo membro do portfólio do Microsoft Entra! leia mais
- Os locatários que optarem por recusar sem emitir nenhuma Credencial Verificável receberão um erro
Specified resource does not exist
da API de Administração e/ou do centro de administração do Microsoft Entra. Uma correção para esse problema deve estar disponível até 20 de agosto de 2022.
As APIs do Serviço de Solicitação têm um novo nome de host
verifiedid.did.msidentity.com
.beta.did.msidentity
ebeta.eu.did.msidentity
continuam funcionando, mas você deverá alterar seu aplicativo e sua configuração. Além disso, você não precisa mais especificar.eu.
para um locatário da UE.As APIs do Serviço de Solicitação têm novos pontos de extremidade e conteúdos JSON atualizados. Para a emissão, confira Especificação da API de Emissão e, para a apresentação, confira Especificação da API de Apresentação. Os pontos de extremidade antigos e o conteúdo JSON continuam funcionando, mas você deve alterar seus aplicativos para usar os novos pontos de extremidade e as novas cargas.
Códigos de erro da API do Serviço de Solicitação foram atualizados
A API do Administrador é disponibilizada ao público e documentada. O portal do Azure está usando a API do Administrador e, com essa API REST, você pode automatizar a integração ou o locatário e a criação de contratos de credenciais.
Encontre emissores e credenciais a serem verificadas por meio da Rede de ID Verificada do Microsoft Entra.
Para migrar suas credenciais baseadas no Armazenamento do Azure para se tornarem Credenciais Gerenciadas, há um script do PowerShell no repositório de exemplos do GitHub para a tarefa.
Também fizemos as seguintes atualizações em nossos documentos de plano e design:
- (atualizado) visão geral do planejamento de arquitetura.
- (atualizado) Planejar sua solução de emissão.
- (atualizado) Planejar sua solução de verificação.
- Estamos adicionando suporte para o método did:web. Qualquer novo locatário que começar a usar o Serviço de Credenciais Verificáveis após 14 de junho de 2022 terá a Web como um novo sistema de confiança padrão ao integrar. Os administradores de VC ainda podem optar por usar o ION ao definirem um locatário. Se você quiser usar did:web em vez de ION ou vice-versa, precisará reconfigurar seu locatário.
- Estamos lançando vários recursos para melhorar a experiência geral de criação de credenciais verificáveis na plataforma de ID Verificada do Microsoft Entra:
- Apresentando Credenciais Gerenciadas, que são credenciais verificáveis que não usam mais o Armazenamento do Azure para armazenar as definições JSON de exibição e regras. Suas definições de exibição e regra são diferentes das versões anteriores.
- Crie credenciais gerenciadas usando a nova experiência de início rápido.
- Os administradores podem criar uma Credencial Gerenciada de Funcionários Verificados usando o novo início rápido. O Funcionário Verificado é uma credencial verificável do tipo verifiedEmployee que se baseia em um conjunto predefinido de declarações do diretório do locatário.
Importante
Você precisa migrar suas credenciais baseadas em Armazenamento do Azure para criar Credenciais Gerenciadas. Em breve forneceremos instruções de migração.
- Fizemos as seguintes atualizações aos nossos documentos:
- (novo) Esta página descreve os padrões em aberto com suporte no momento para a ID verificada do Microsoft Entra.
- (novo) dica de Como criar credenciais verificáveis para o token da ID.
- (novo) Como criar credenciais verificáveis para o token da ID.
- (novo) Como criar credenciais verificáveis para declarações autodeclaradas.
- (novo) Especificação de modelo de definição de regras e exibição.
- (novo) Criar um locatário para desenvolvimento.
Estamos expandindo nosso serviço para todos os clientes do Azure AD! As credenciais verificáveis agora estão disponíveis para todos com uma assinatura do Azure AD (gratuita e Premium). Os locatários existentes que configuraram o serviço credenciais verificáveis antes de 4 de maio de 2022 devem fazer uma pequena alteração para evitar interrupções de serviço.
Do próximo mês em diante, lançaremos alterações interessantes nos requisitos de assinatura para o serviço Credenciais Verificáveis. Os administradores devem executar uma pequena alteração de configuração antes de 4 de maio de 2022 para evitar interrupções de serviço.
Importante
Se as alterações não forem aplicadas antes de 4 de maio de 2022, ocorrerão erros ao emitir ou apresentar seu aplicativo ou serviço usando o Serviço de ID Verificada do Microsoft Entra.
- Os clientes da ID Verificada do Microsoft Entra agora podem alterar com facilidade o domínio vinculado ao DID no portal do Azure.
- Fizemos atualizações no Microsoft Authenticator que alteram a interação entre o emissor de uma credencial verificável e o usuário que apresenta a credencial verificável. Essa atualização forçará todas as credenciais verificáveis a serem reemitidas no Microsoft Authenticator para iOS. Mais informações
Estamos lançando algumas alterações significativas em nosso serviço. Essas atualizações exigem a reconfiguração do serviço de ID Verificada do Microsoft Entra. É necessário reemitir as credenciais verificáveis dos usuários finais.
- O serviço de ID Verificada do Microsoft Entra agora pode armazenar e manipular o processamento de dados na região europeia do Azure.
- Clientes da ID Verificada do Microsoft Entra podem aproveitar os aprimoramentos da revogação de credenciais. Essas mudanças adicionam um maior degrau de privacidade por meio da implementação do padrão W3C Status List 2021.
- Fizemos atualizações no Microsoft Authenticator que alteram a interação entre o emissor de uma credencial verificável e o usuário que apresenta a credencial verificável. Essa atualização forçará todas as Credenciais Verificáveis a serem reemitidas no Microsoft Authenticator para Android. Mais informações
Importante
Todos os clientes da Credencial Verificável do Azure AD que recebem um aviso de faixa no portal do Azure precisam passar por uma reconfiguração de serviço antes de 31 de março de 2022. Em 31 de março de 2022, os locatários que não foram reconfigurados perderão o acesso a configurações anteriores. Os administradores terão que configurar uma nova instância do serviço de Credencial Verificável do Azure AD. Saiba mais sobre como reconfigurar seu locatário.
Desde o início da visualização pública do serviço de ID Verificada do Microsoft Entra, o serviço só estava disponível em nossa região América do Norte do Azure. Agora, o serviço também está disponível em nossa região Europa do Azure.
- Novos clientes com locatários europeus do Azure AD agora têm os dados de Credenciais Verificáveis localizados e processados em nossa região Europa do Azure.
- Os clientes com locatários do Azure AD configurados na Europa que começarem a usar o serviço de ID Verificada do Microsoft Entra após 15 de fevereiro de 2022 terão os dados processados automaticamente na Europa. Não será necessária nenhuma medida adicional.
- Os clientes com locatários do Azure AD configurados na Europa que começaram a usar o serviço de ID Verificada do Microsoft Entra antes de 15 de fevereiro de 2022 precisam reconfigurar o serviço nos locatários deles antes de 31 de março de 2022.
Siga as etapas abaixo para configurar o serviço de Credenciais Verificáveis na Europa:
- Verifique a localização do seu Azure Active Directory para garantir que ele está na Europa.
- Reconfigure o serviço de Credenciais Verificáveis no seu locatário.
Importante
Em 31 de março de 2022, os locatários europeus que não foram reconfigurados na Europa perderão o acesso às configuração anteriores e precisarão configurar uma nova instância do serviço de Credencial Verificável do Azure AD.
Os aplicativos que usam o serviço de ID Verificada do Microsoft Entra precisam usar o ponto de extremidade da API de Solicitação correspondente à região do locatário do Azure AD.
Região do locatário | Solicitar POST do ponto de extremidade de API |
---|---|
Europa | https://beta.eu.did.msidentity.com/v1.0/{tenantID}/verifiablecredentials/request |
Não UE | https://beta.did.msidentity.com/v1.0/{tenantID}/verifiablecredentials/request |
Para confirmar qual ponto de extremidade você deve usar, recomendamos verificar a região do locatário do Azure AD, conforme descrito acima. Se o locatário do Azure AD estiver na UE, você deverá usar o ponto de extremidade da Europa.
Estamos fazendo atualizações de protocolo no Microsoft Authenticator para dar suporte ao DID de Forma Longa Única, preterindo, assim, o uso de emparelhamento. Com essa atualização, seu DID no Microsoft Authenticator será usado a cada troca entre emissor e terceiro confiável. Os titulares de credenciais verificáveis que usarem o Microsoft Authenticator precisarão de que as credenciais verificáveis deles sejam reemitidas, porque as credenciais anteriores vão deixar de funcionar.
- Adicionamos coleções do Postman aos nossos exemplos como um início rápido para começar a usar a API REST de Serviço de Solicitação.
- Novo exemplo adicionado que demonstra a integração da ID Verificada do Microsoft Entra ao Azure AD B2C.
- Exemplo de configuração dos serviços de ID Verificada do Microsoft Entra usando o PowerShell e um modelo do ARM.
- Exemplo de arquivos de configuração de Credencial Verificável para mostrar cartões de amostra para declarações de Token de ID, IDTokenHit e autoatestadas.
- Fizemos atualizações na API REST do Serviço de Solicitação para emissão e apresentação. Tipos de retorno de chamada que impõem regras para que os pontos de extremidade de URL para retornos de chamada sejam acessíveis.
- Atualizações de experiência do usuário da experiência de credenciais verificáveis do Microsoft Authenticator: animações na seleção de cartão da carteira.
Agora você pode usar a Solicitação de serviço da API REST para criar aplicativos que podem emitir e verificar credenciais de qualquer linguagem de programação. Essa nova API REST fornece uma camada de abstração aprimorada e integração ao Serviço de ID Verificada do Microsoft Entra.
É uma boa ideia começar a usar a API em breve, pois o SDK do NodeJS será preterido nos próximos meses. A documentação e as amostras agora usam a solicitação de serviço da API REST. Para obter mais informações, confiraSolicitação de serviço da API REST.
Agora você pode emitir credenciais verificáveis no Azure AD. Este serviço é útil quando você precisa apresentar prova de emprego, educação ou alguma outra declaração. O titular dessa credencial pode decidir quando e com quem compartilhar essas credenciais. Cada credencial é assinada usando chaves de criptografia associadas à identidade descentralizada que o usuário possui e controla.