Återkalla en tidigare utfärdad verifierbar autentiseringsuppgift

Som en del av processen med att arbeta med verifierbara autentiseringsuppgifter måste du utfärda autentiseringsuppgifter. Ibland måste du också återkalla dem. I den här artikeln granskar vi egenskapsdelen Status i specifikationen för verifierbara autentiseringsuppgifter. Vi tar också en närmare titt på återkallelseprocessen, varför vi vill återkalla autentiseringsuppgifter och vissa data- och sekretesskonsekvenser.

Varför vill du återkalla en verifierbar autentiseringsuppgift?

Varje kund har sina egna unika skäl för att vilja återkalla en verifierbar autentiseringsuppgift. Här är några av de vanligaste temana:

  • Student-ID: Studenten är inte längre aktiv student vid universitetet.
  • Medarbetar-ID: Medarbetaren är inte längre en aktiv medarbetare.
  • Tillståndskörkort: Föraren bor inte längre i det tillståndet.

Hur gör jag för att återkalla en verifierbar autentiseringsuppgift?

Genom att använda det indexerade anspråket i verifierbara autentiseringsuppgifter kan du söka efter utfärdade verifierbara autentiseringsuppgifter av det anspråket i portalen och återkalla det.

  1. Gå till fönstret Verifierat ID i Azure-portalen som administratörsanvändare med behörighet att signera nyckel för Azure Key Vault.

  2. Välj den verifierbara autentiseringstypen.

  3. På menyn längst till vänster väljer du Återkalla en autentiseringsuppgift.

    Screenshot that shows revoking a credential.

  4. Sök efter indexanspråket för den användare som du vill återkalla. Indexering av ett anspråk är ett krav för att kunna söka efter en autentiseringsuppgift.

    Screenshot that shows the credential to revoke.

    Eftersom endast en hash för det indexerade anspråket från den verifierbara autentiseringsuppgiften lagras fylls endast en exakt matchning i sökresultaten. Informationen som anges i textrutan hashas med hjälp av samma algoritm. Det används som ett sökvillkor för att matcha det hashade värde som lagras.

  5. När en matchning hittas väljer du alternativet Återkalla till höger om de autentiseringsuppgifter som du vill återkalla.

    Administratörsanvändaren som utför återkallandeåtgärden måste ha behörighet att signera nyckel för Key Vault, annars visas felmeddelandet "Det går inte att komma åt Key Vault-resursen med angivna autentiseringsuppgifter".

    Screenshot that shows a warning that tells you that after revocation the user still has the credential.

  6. Efter ett lyckat återkallningsfel visas statusuppdateringen och en grön banderoll visas överst på sidan.

    Screenshot that shows a successfully revoked verifiable credential message.

API:et för begärandetjänsten anger en återkallad autentiseringsuppgift i motringningen presentation_verified som .REVOKED Beroende på om den angivna presentationsbegäran tillåter att återkallade autentiseringsuppgifter visas lyckas eller misslyckas presentationen av en återkallad autentiseringsuppgift.

Konfigurera en verifierbar autentiseringsuppgift med möjlighet att återkalla

Microsoft Entra – verifierat ID lagrar inte verifierbara autentiseringsdata. Utfärdaren måste indexera ett anspråk för att göra autentiseringsuppgifterna sökbara. Endast ett anspråk kan indexeras, och om det inte finns något kan du inte återkalla autentiseringsuppgifter. Det valda anspråket för index saltas och hashas och lagras inte som dess ursprungliga värde.

Kommentar

Hashing är en enkelriktad kryptografisk åtgärd som omvandlar en indata, som kallas preimage, och genererar en utdata som kallas en hash som har en fast längd. Det är för närvarande inte beräkningsmässigt möjligt att ångra en hash-åtgärd.

Exempel: I följande exempel displayName är indexanspråket. Du kan bara söka via användarens fullständiga namn och inget annat.

{
  "attestations": {
    "idTokens": [
      {
        "clientId": "8d5b446e-22b2-4e01-bb2e-9070f6b20c90",
        "configuration": "https://didplayground.b2clogin.com/didplayground.onmicrosoft.com/B2C_1_sisu/v2.0/.well-known/openid-configuration",
        "redirectUri": "vcclient://openid",
        "scope": "openid profile email",
        "mapping": [
          {
            "outputClaim": "displayName",
            "required": true,
            "inputClaim": "$.name",
            "indexed": true
          },
          {
            "outputClaim": "firstName",
            "required": true,
            "inputClaim": "$.given_name",
            "indexed": false
          },
          {
            "outputClaim": "lastName",
            "required": true,
            "inputClaim": "$.family_name",
            "indexed": false
          }
        ],
        "required": false
      }
    ]
  },
  "validityInterval": 2592000,
  "vc": {
    "type": [
      "VerifiedCredentialExpert"
    ]
  }
}

Du kan bara indexeras ett anspråk från en regelanspråkmappning. Om du av misstag inte har något indexerat anspråk i regeldefinitionen, och du senare korrigerar den här tillsynen, kommer redan utfärdade verifierbara autentiseringsuppgifter inte att vara sökbara eftersom de utfärdades när inget index fanns.

Hur fungerar återkallande?

Microsoft Entra – verifierat ID implementerar W3C StatusList2021. När presentationen av API:et för begärandetjänsten sker kontrollerar API:et återkallningsstatusen. Återkallningskontrollen sker över ett anonymt API-anrop till Identity Hub och innehåller inga data om vem som kontrollerar om den verifierbara autentiseringsuppgiften fortfarande är giltig eller återkallad. Med statusList2021behåller Microsoft Entra – verifierat ID en flagga efter det hashade värdet för det indexerade anspråket för att hålla reda på återkallningsstatusen.

Verifierbara data om autentiseringsuppgifter

I varje Microsoft-utfärdad verifierbar autentiseringsuppgift finns det ett anspråk som heter credentialStatus. Dessa data är en navigeringskarta där den här verifierbara autentiseringsuppgiften i ett datablock har sin anropsflagga.

Kommentar

Om den verifierbara autentiseringsuppgiften är gammal och utfärdades under förhandsgranskningsperioden finns inte det här anspråket. Återkallningen fungerar inte för den här autentiseringsuppgiften och du måste skicka den på nytt.

...
"credentialStatus": { 
    "id": "urn:uuid:625dfcad-0000-1111-2222-333444445555?bit-index=31", 
    "type": "RevocationList2021Status", 
    "statusListIndex": 31, 
    "statusListCredential": "did:web:verifiedid.contoso.com?service=IdentityHub&queries=...data..." 
...

Utfärdarens API-slutpunkt för identitetshubben

I den utfärdande partens decentraliserade ID-dokument är identitetshubbens slutpunkt tillgänglig i service avsnittet.

didDocument": {
    "id": "did:web:verifiedid.contoso.com",
    "@context": [
        "https://www.w3.org/ns/did/v1",
        {
            "@base": "did:web:verifiedid.contoso.com"
        }
     ],
     "service": [
         {
             "id": "#linkeddomains",
             "type": "LinkedDomains",
             "serviceEndpoint": {
             "origins": [
                "https://verifiedid.contoso.com/"
                ]
             }
         },
         {
             "id": "#hub",
             "type": "IdentityHub",
             "serviceEndpoint": {
                "instances": [
                   "https://verifiedid.hub.msidentity.com/v1.0/11111111-2222-3333-4444-000000000000"
                ],
                "origins": [ ]
             }
         }
    ],

Nästa steg