Återkalla en tidigare utfärdad verifierbar autentiseringsuppgift

Anteckning

Verifierbara autentiseringsuppgifter för Azure Active Directory är nu Microsoft Entra – verifierat ID och en del av den Microsoft Entra produktfamiljen. Läs mer om Microsoft Entra familj av identitetslösningar och kom igång i det enhetliga administrationscentret för Microsoft Entra.

Som en del av processen med att arbeta med verifierbara autentiseringsuppgifter (VCs) behöver du inte bara utfärda autentiseringsuppgifter, utan ibland måste du också återkalla dem. I den här artikeln går vi igenom egenskapen Status i VC-specifikationen och tittar närmare på återkallningsprocessen, varför vi kanske vill återkalla autentiseringsuppgifter och vissa data- och sekretesskonsekvenser.

Varför kanske du vill återkalla en verifierbar autentiseringsuppgift?

Varje kund har sina egna unika skäl för att återkalla en verifierbar autentiseringsuppgift, men här är några av de vanliga teman som vi har hört hittills.

  • Student-ID: studenten är inte längre en aktiv student vid universitetet.
  • Medarbetar-ID: medarbetaren är inte längre en aktiv medarbetare.
  • Tillståndskörkort: drivrutinen bor inte längre i det tillståndet.

Hur gör jag för att återkalla en verifierbar autentiseringsuppgift

Med hjälp av det indexerade anspråket i verifierbara autentiseringsuppgifter kan du söka efter utfärdade verifierbara autentiseringsuppgifter med det anspråket i portalen och återkalla det.

  1. Gå till bladet Verifierat ID i Azure Portal som administratörsanvändare med signeringsnyckelbehörighet i Azure KeyVault.

  2. Välj den verifierbara typen av autentiseringsuppgifter

  3. På den vänstra menyn väljer du Återkalla en autentiseringsuppgiftÅterkalla en autentiseringsuppgift

  4. Sök efter indexanspråket för den användare som du vill återkalla. Om du inte har indexerat ett anspråk fungerar inte sökningen och du kan inte återkalla den verifierbara autentiseringsuppgiften.

    Skärmbild av autentiseringsuppgifterna som ska återkallas

    Anteckning

    Eftersom endast en hash för det indexerade anspråket från den verifierbara autentiseringsuppgiften lagras fylls sökresultaten i med en exakt matchning. Det som anges i textrutan hashas med samma algoritm och används som sökvillkor för att matcha det lagrade, hashade värdet.

  5. När en matchning hittas väljer du alternativet Återkalla till höger om de autentiseringsuppgifter som du vill återkalla.

    Anteckning

    Administratörsanvändaren som utför återkallandeåtgärden måste ha sign key-behörighet på Azure KeyVault, annars får du felmeddelandet Det går inte att komma åt KeyVault-resursen med angivna autentiseringsuppgifter.

    Skärmbild av en varning som visar att användaren fortfarande har autentiseringsuppgifterna efter återkallningen

  6. När återkallningen har slutförts visas statusuppdateringen och en grön banderoll visas överst på sidan.

    skärmbild av ett meddelande om verifierbara autentiseringsuppgifter som har återkallats

När en presentation skickas till API:et för begärandetjänsten kontrollerar den nu om VC har återkallats.

Så här konfigurerar du en verifierbar autentiseringsuppgift med möjlighet att återkalla

Verifierbara autentiseringsdata lagras inte av Microsoft. Därför måste utfärdaren göra ett anspråk, det indexerade anspråket, innan VC:en kan sökas. Det kan bara finnas ett anspråk som är indexerat och om det inte finns något kan du inte återkalla autentiseringsuppgifter. Det valda anspråket för index saltas och hashas och lagras inte som dess ursprungliga värde.

Anteckning

Hashing är en enkelriktad kryptografisk åtgärd som omvandlar en indata, som kallas för preimage, och genererar utdata som kallas en hash som har en fast längd. Det är för närvarande inte beräkningsmässigt möjligt att ångra en hash-åtgärd.

Exempel: I exemplet nedan är displayName indexanspråket och sökningen kan göras via användarnas fullständiga namn och inget annat.

{
  "attestations": {
    "idTokens": [
      {
        "clientId": "8d5b446e-22b2-4e01-bb2e-9070f6b20c90",
        "configuration": "https://didplayground.b2clogin.com/didplayground.onmicrosoft.com/B2C_1_sisu/v2.0/.well-known/openid-configuration",
        "redirectUri": "vcclient://openid",
        "scope": "openid profile email",
        "mapping": [
          {
            "outputClaim": "displayName",
            "required": true,
            "inputClaim": "$.name",
            "indexed": true
          },
          {
            "outputClaim": "firstName",
            "required": true,
            "inputClaim": "$.given_name",
            "indexed": false
          },
          {
            "outputClaim": "lastName",
            "required": true,
            "inputClaim": "$.family_name",
            "indexed": false
          }
        ],
        "required": false
      }
    ]
  },
  "validityInterval": 2592000,
  "vc": {
    "type": [
      "VerifiedCredentialExpert"
    ]
  }
}

Anteckning

Endast ett anspråk kan indexeras från en regelanspråkmappning. Om du av misstag inte har något indexerat anspråk i regeldefinitionen, och du senare korrigerar detta, kommer redan utfärdade kontrollerbara autentiseringsuppgifter inte att vara sökbara eftersom de utfärdades när det inte fanns något index.

Hur fungerar återkallning?

Microsoft Entra – verifierat ID implementerar W3C StatusList2021. När presentationen av API:et för begärandetjänsten sker gör API:et återkallningskontrollen åt dig. Återkallningskontrollen sker via ett anonymt API-anrop till Identity Hub och innehåller inga data som kontrollerar om den verifierbara autentiseringsuppgiften fortfarande är giltig eller återkallad. Med statusList2021 behåller Microsoft Entra – verifierat ID bara en flagga med det hashade värdet för det indexerade anspråket för att hålla reda på återkallningsstatusen.

Verifierbara data om autentiseringsuppgifter

I varje Microsoft-utfärdad verifierbar autentiseringsuppgift finns det ett anspråk som heter credentialStatus. Dessa data är en navigeringskarta där den här VC:en i ett datablock har sin återkallningsflagga.

Anteckning

Om den verifierbara autentiseringsuppgiften är gammal och utfärdades under förhandsversionen kanske det här anspråket inte finns. Återkallningen fungerar inte för den här autentiseringsuppgiften och du måste skicka den på nytt.

...
"credentialStatus": { 
    "id": "urn:uuid:625dfcad-0000-1111-2222-333444445555?bit-index=31", 
    "type": "RevocationList2021Status", 
    "statusListIndex": 31, 
    "statusListCredential": "did:ion:EiDR0Y6zfvnUy2NjO293XNfe9AOL...<SNIP>...?service=IdentityHub&queries=...data..." 
...

Utfärdare Identity Hub API-slutpunkt

I den utfärdande partens DID-dokument är identitetshubbens slutpunkt tillgänglig i service avsnittet.

didDocument": {
    "id": "did:ion:EiD...<SNIP>",
    "@context": [
        "https://www.w3.org/ns/did/v1",
        {
            "@base": "did:ion:EiD...<SNIP>..."
        }
     ],
     "service": [
         {
             "id": "#linkeddomains",
             "type": "LinkedDomains",
             "serviceEndpoint": {
             "origins": [
                "https://contoso.com/"
                ]
             }
         },
         {
             "id": "#hub",
             "type": "IdentityHub",
             "serviceEndpoint": {
                "instances": [
                   "https://verifiedid.hub.msidentity.com/v1.0/11111111-2222-3333-4444-000000000000"
                ],
                "origins": [ ]
             }
         }
    ],

Nästa steg