O que há de novo no Microsoft Entra Verified ID
Este artigo lista os recursos, melhorias e alterações mais recentes no serviço de ID Verificada do Microsoft Entra.
- A seção FAQ agora contém informações sobre proteção de rede para retornos de chamada da API do Serviço de Solicitação.
- O suporte para did:web:path pode ser ativado para o seu locatário do Microsoft Entra mediante solicitação.
- O FaceCheck está disponível a partir de 12 de agosto.
- O FaceCheck apresenta o Addon do Face Check como uma atualização incremental da pré-visualização pública do Face Check. O Face Check é um recurso premium do Microsoft Entra Verified ID gratuito para uso durante o período de visualização pública que termina em 12 de agosto.
- Configuração rápida Geralmente disponível, ele permite que um administrador integre a ID Verificada do Microsoft Entra em um locatário do Microsoft Entra com apenas um clique de um botão.
- A partir de fevereiro de 2024, a Verified ID suporta a curva P-256 compatível com NIST.
- Wallet Library 1.0.1 suporta P-256.
- Novo artigo conceitual sobre o helpdesk verificado sobre como identificar os chamadores que procuram ajuda usando a ID verificada do Microsoft Entra.
- A substituição de expirationDate na emissão para o fluxo de atestado idTokenHint requer que o contrato precise ter o sinalizador allowOverrideValidityOnIssuance definido como true.
- O FaceCheck está agora em pré-visualização pública. Ele permite que as empresas realizem verificações de alta garantia realizando a correspondência facial entre a selfie em tempo real de um usuário e uma foto na credencial de Identificação Verificada. O FaceCheck é oferecido gratuitamente durante o período de Pré-visualização Pública e pode ser aproveitado por qualquer projeto de Identificação Verificada. No final do ano, anunciaremos os modelos de faturamento.
- A API do Serviço de Solicitação agora oferece suporte ao aplicativo emissor para definir a data de expiração da credencial durante a solicitação de emissão e quando o atestado estiver usando o fluxo idTokenHint.
- A opção de selecionar
did:ioncomo um sistema de confiança é removida. O único sistema de confiança disponível édid:webo . Por favor, veja o FAQ para obter ajuda sobre como mover para did:web de did:ion.
A API de Serviço de Solicitação agora oferece suporte a restrições de declarações ao fazer solicitações de apresentação. As restrições de declarações podem ser usadas para especificar restrições na credencial de ID Verificada que o verificador está pedindo para ser apresentada. As restrições disponíveis são correspondência direta, contém e startsWith.
- Configuração rápida introduzida como visualização que permite que um administrador integre um locatário do Microsoft Entra com apenas um clique de um botão.
- MyAccount disponível agora para simplificar a emissão de credenciais do Workplace
- Configuração avançada ainda disponível como opção para
Quick setup.
A ID Verificada está desativando os pontos de extremidade antigos da API do Serviço de Solicitação que estavam disponíveis antes da Identificação Verificada estar disponível em geral. Essas APIs não devem ter sido usadas desde o GA em agosto de 2022, mas se forem usadas em seu aplicativo, você precisará migrar. Os pontos de extremidade da API que estão sendo retirados são:
POST https://verifiedid.did.msidentity.com/v1.0/:tenant/verifiablecredentials/request
GET https://verifiedid.did.msidentity.com/v1.0/:tenant/verifiablecredentials/request/:requestId
POST https://verifiedid.did.msidentity.com/v1.0/:tenant/verifiablecredentials/present
POST https://verifiedid.did.msidentity.com/v1.0/:tenant/verifiablecredentials/issuance
A primeira API foi para criar uma solicitação de emissão ou apresentação. A segunda API foi para recuperar uma solicitação e as duas últimas APIs foram para uma carteira concluindo a emissão ou apresentação. Os pontos de extremidade da API a serem usados desde a visualização são os seguintes.
POST https://verifiedid.did.msidentity.com/v1.0/verifiablecredentials/createPresentationRequest
POST https://verifiedid.did.msidentity.com/v1.0/verifiablecredentials/createIssuanceRequest
GET https://verifiedid.did.msidentity.com/v1.0/verifiablecredentials/presentationRequests/:requestId
POST https://verifiedid.did.msidentity.com/v1.0/verifiablecredentials/completeIssuance
POST https://verifiedid.did.msidentity.com/v1.0/verifiablecredentials/verifyPresentation
Observe que a /request API é dividida em duas, dependendo se você está criando uma solicitação de emissão ou apresentação.
Os pontos de extremidade de API desativados não funcionarão após outubro de 2023.
O presentation_verified retorno de chamada da API do Serviço de Solicitação agora retorna quando uma credencial de ID Verificada foi emitida e quando ela expira. As regras de negócios podem usar esses valores para ver a janela de tempo de quando a credencial de ID Verificada apresentada é válida. Um exemplo disso é que ele expira em uma hora, enquanto o negócio exigido precisa ser válido até o final do dia.
Tutorial para começar a usar a demonstração da Biblioteca da Carteira no Android e iOS disponível aqui.
- A Wallet Library foi anunciada na Build 2023 na sessão Reduzir fraudes e melhorar o envolvimento usando Carteiras Digitais. A Biblioteca da Carteira permite que os clientes adicionem a tecnologia de credenciais verificáveis às suas próprias aplicações móveis. As bibliotecas estão disponíveis para Android e iOS.
Instruções para configurar a verificação do local de trabalho no LinkedIn disponíveis aqui.
- A API de administração agora suporta tokens de acesso a aplicativos e além de tokens de portador de usuário.
- Apresentamos a galeria de parceiros dos Serviços de ID Verificada do Microsoft Entra, listando parceiros confiáveis que podem ajudar a acelerar a implementação do Microsoft Entra Verified ID.
- Melhorias na nossa experiência de integração de administradores no portal de administração com base nos comentários dos clientes.
- Atualizações para nossos exemplos no GitHub mostrando como exibir dinamicamente declarações VC.
Visualização pública - Os clientes do Gerenciamento de Direitos agora podem criar pacotes de acesso que aproveitam a ID Verificada do Microsoft Entra Saiba mais
A API do Serviço de Solicitação agora pode fazer a verificação de revogação para credenciais verificáveis apresentadas que foram emitidas com os tipos de lista de status StatusList2021 ou RevocationList2020.
- Melhorias na experiência do usuário do Microsoft Authenticator no código PIN, visão geral de credenciais verificáveis e requisitos de credenciais verificáveis.
- O Microsoft Entra Verified ID agora relata eventos no log de auditoria. Atualmente, apenas as alterações de gerenciamento feitas por meio da API Admin são registradas. A emissão ou a apresentação de credenciais verificáveis não são relatadas no log de auditoria. As entradas de log têm um nome de serviço de
Verified IDe a atividade seráCreate authority,Update contract, etc.
- A API do Serviço de Solicitação agora tem permissões granulares de aplicativo e você pode conceder VerifiableCredential.Create.IssueRequest e VerifiableCredential.Create.PresentRequest separadamente para segregar as funções de emissão e apresentação para um aplicativo separado.
- A Galeria de Parceiros IDV agora está disponível na documentação que o orienta sobre como integrar com os parceiros de Verificação de Identidade da Microsoft.
- Guia prático para implementar o fluxo de atestado de apresentação que requer a apresentação de uma credencial verificável durante a emissão.
Microsoft Entra Verified ID agora está disponível em geral (GA) como o novo membro do portfólio Microsoft Entra! saiba mais
- Os locatários que optarem por não participar sem emitir nenhuma Credencial Verificável receberão um
Specified resource does not existerro da API de Administração e/ou do Centro de administração do Microsoft Entra. Uma correção para esse problema deve estar disponível até 20 de agosto de 2022.
As APIs do Serviço de Solicitação têm um novo nome
verifiedid.did.msidentity.comde host. Obeta.did.msidentitye obeta.eu.did.msidentitycontinuar a funcionar, mas você deve alterar seu aplicativo e configuração. Além disso, você não precisa mais especificar.eu.para um locatário da UE.As APIs do Serviço de Solicitação têm novos pontos de extremidade e cargas úteis JSON atualizadas. Para emissão, consulte Especificação da API de emissão e, para apresentação, consulte Especificação da API de apresentação. Os pontos de extremidade antigos e as cargas úteis JSON continuam a funcionar, mas você deve alterar seus aplicativos para usar os novos pontos de extremidade e cargas úteis.
Os códigos de erro da API de serviço de solicitação foram atualizados
A API de administração é tornada pública e documentada. O portal do Azure está usando a API Admin e, com essa API REST, você pode automatizar a integração ou seu locatário e a criação de contratos de credenciais.
Encontre emissores e credenciais para verificar através da Rede de Identificação Verificada do Microsoft Entra.
Para migrar suas credenciais baseadas no Armazenamento do Azure para se tornarem Credenciais Gerenciadas, há um script do PowerShell no repositório de exemplos do GitHub para a tarefa.
Também fizemos as seguintes atualizações em nossos documentos de plano e design:
- (atualizada) Visão geral do planejamento de arquitetura.
- (atualizada) Planeie a sua solução de emissão.
- (atualizada) Planeje sua solução de verificação.
- Estamos adicionando suporte para o método did:web . Qualquer novo locatário que começar a usar o Serviço de Credenciais Verificáveis após 14 de junho de 2022 terá a Web como um novo sistema de confiança padrão ao integrar. Os administradores do VC ainda podem optar por usar o ION ao definir um locatário. Se você quiser usar did:web em vez de ION ou vice-versa, você precisa reconfigurar seu locatário.
- Estamos lançando vários recursos para melhorar a experiência geral de criação de credenciais verificáveis na plataforma Microsoft Entra Verified ID:
- Introdução às Credenciais Gerenciadas, que são credenciais verificáveis que não usam mais o Armazenamento do Azure para armazenar as definições JSON de regras de exibição e de exibição. Suas definições de exibição e regra são diferentes das versões anteriores.
- Crie credenciais gerenciadas usando a nova experiência de início rápido.
- Os administradores podem criar uma Credencial Gerenciada de Funcionário Verificado usando o novo início rápido. O Funcionário Verificado é uma credencial verificável do tipo verifiedEmployee que se baseia em um conjunto predefinido de declarações do diretório do seu locatário.
Importante
Você precisa migrar suas credenciais baseadas no Armazenamento do Azure para se tornar Credenciais Gerenciadas. Em breve forneceremos instruções de migração.
- Fizemos as seguintes atualizações em nossos documentos:
- (novo) Padrões abertos com suporte atual para o Microsoft Entra Verified ID.
- (novo) Como criar credenciais verificáveis para dica de token de ID.
- (novo) Como criar credenciais verificáveis para token de ID.
- (novo) Como criar credenciais verificáveis para declarações autodeclaradas.
- (novo) Regras e especificação do modelo de definição de exibição.
- (novo) Criação de um inquilino para desenvolvimento.
Estamos expandindo nosso serviço para todos os clientes do Azure AD! As credenciais verificáveis agora estão disponíveis para todos com uma assinatura do Azure AD (Gratuita e Premium). Os locatários existentes que configuraram o serviço de Credenciais Verificáveis antes de 4 de maio de 2022 devem fazer uma pequena alteração para evitar interrupções do serviço.
A partir do próximo mês, estamos implementando mudanças empolgantes nos requisitos de assinatura para o serviço de Credenciais Verificáveis. Os administradores devem realizar uma pequena alteração de configuração antes de 4 de maio de 2022 para evitar interrupções no serviço.
Importante
Se as alterações não forem aplicadas antes de 4 de maio de 2022, você terá erros na emissão e apresentação do seu aplicativo ou serviço usando o Serviço de ID Verificada do Microsoft Entra.
- Os clientes do Microsoft Entra Verified ID agora podem alterar o domínio vinculado ao seu DID facilmente a partir do portal do Azure.
- Fizemos atualizações no Microsoft Authenticator que alteram a interação entre o Emissor de uma credencial verificável e o usuário que apresenta a credencial verificável. Esta atualização força todas as credenciais verificáveis a serem reemitidas no Microsoft Authenticator para iOS. Mais informações
Estamos implementando algumas mudanças significativas em nosso serviço. Essas atualizações exigem a reconfiguração do serviço Microsoft Entra Verified ID. Os utilizadores finais têm de ter as suas credenciais verificáveis reemitidas.
- O serviço de ID Verificada do Microsoft Entra agora pode armazenar e manipular o processamento de dados na região europeia do Azure.
- Os clientes do Microsoft Entra Verified ID podem aproveitar os aprimoramentos para revogação de credenciais. Essas mudanças adicionam um maior grau de privacidade por meio da implementação do padrão W3C Status List 2021 .
- Fizemos atualizações no Microsoft Authenticator que alteram a interação entre o Emissor de uma credencial verificável e o usuário que apresenta a credencial verificável. Esta atualização força todas as credenciais verificáveis a serem reemitidas no Microsoft Authenticator para Android. Mais informações
Importante
Todos os clientes de Credenciais Verificáveis do Azure AD que recebem um aviso de banner no portal do Azure precisam passar por uma reconfiguração de serviço antes de 31 de março de 2022. Em 31 de março de 2022, os locatários que não foram reconfigurados perderão o acesso a qualquer configuração anterior. Os administradores terão de configurar uma nova instância do serviço de Credenciais Verificáveis do Azure AD. Saiba mais sobre como reconfigurar seu locatário.
Desde o início da pré-visualização pública do serviço de ID Verificada do Microsoft Entra, o serviço só está disponível na nossa região Azure América do Norte. Agora, o serviço também está disponível em nossa região Europa do Azure.
- Os novos clientes com locatários europeus do Azure AD agora têm seus dados de Credenciais Verificáveis localizados e processados em nossa região Europa do Azure.
- Os clientes com configuração de locatários do Azure AD na Europa que começarem a usar o serviço de ID Verificada do Microsoft Entra após 15 de fevereiro de 2022 terão seus dados processados automaticamente na Europa. Não há necessidade de tomar mais medidas.
- Os clientes com configuração de locatários do Azure AD na Europa que começaram a usar o serviço de ID Verificada do Microsoft Entra antes de 15 de fevereiro de 2022 precisam reconfigurar o serviço em seus locatários antes de 31 de março de 2022.
Execute as seguintes etapas para configurar o serviço de Credenciais Verificáveis na Europa:
- Verifique a localização do seu Azure Ative Directory para se certificar de que está na Europa.
- Reconfigure o serviço de Credenciais Verificáveis em seu locatário.
Importante
Em 31 de março de 2022, os locatários europeus que não foram reconfigurados na Europa perderão o acesso a qualquer configuração anterior e precisarão configurar uma nova instância do serviço de Credenciais Verificáveis do Azure AD.
Os aplicativos que usam o serviço de ID Verificada do Microsoft Entra devem usar o ponto de extremidade da API de Solicitação que corresponde à região do locatário do Azure AD.
| Região do inquilino | Solicitar API endpoint POST |
|---|---|
| Europa | https://beta.eu.did.msidentity.com/v1.0/{tenantID}/verifiablecredentials/request |
| Fora da UE | https://beta.did.msidentity.com/v1.0/{tenantID}/verifiablecredentials/request |
Para confirmar qual ponto de extremidade você deve usar, recomendamos verificar a região do locatário do Azure AD conforme descrito anteriormente. Se o locatário do Azure AD estiver na UE, você deverá usar o ponto de extremidade Europa.
Estamos fazendo atualizações de protocolo no Microsoft Authenticator para oferecer suporte a DID de formulário longo único, descontinuando assim o uso de pares. Com esta atualização, seu DID no Microsoft Authenticator é usado para cada emissor e troca de partes de retransmissão. Os detentores de credenciais verificáveis usando o Microsoft Authenticator devem ter suas credenciais verificáveis reemitidas, pois as credenciais anteriores não continuarão funcionando.
- Adicionamos coleções do Postman às nossas amostras como um início rápido para começar a usar a API REST do Serviço de Solicitação.
- Novo exemplo adicionado que demonstra a integração do Microsoft Entra Verified ID com o Azure AD B2C.
- Exemplo para configurar os serviços de ID Verificada do Microsoft Entra usando o PowerShell e um modelo ARM.
- Exemplos de arquivos de configuração de credenciais verificáveis para mostrar cartões de exemplo para ID Token, IDTokenHit e declarações auto-atestadas .
- Fizemos atualizações na API REST do Serviço de Solicitação para emissão e apresentação. Tipos de retorno de chamada que impõem regras para que os pontos de extremidade de URL para retornos de chamada sejam acessíveis.
- Atualizações de experiência do usuário para a experiência de credenciais verificáveis do Microsoft Authenticator: animações na seleção de cartões da carteira.
Agora você pode usar a API REST do Serviço de Solicitação para criar aplicativos que podem emitir e verificar credenciais de qualquer linguagem de programação. Esta nova API REST fornece uma camada de abstração melhorada e integração com o Serviço de ID Verificada do Microsoft Entra.
É uma boa ideia começar a usar a API em breve, porque o SDK do NodeJS será preterido nos meses seguintes. A documentação e os exemplos agora usam a API REST do Serviço de Solicitação. Para obter mais informações, consulte Solicitar API REST de serviço (visualização).
Agora você pode emitir credenciais verificáveis no Azure AD. Este serviço é útil quando você precisa apresentar prova de emprego, educação ou qualquer outra reivindicação. O titular dessa credencial pode decidir quando, e com quem, partilhar as suas credenciais. Cada credencial é assinada usando chaves criptográficas associadas à identidade descentralizada que o usuário possui e controla.