Microsoft Entra 验证 ID 中的新增功能

本文列出了 Microsoft Entra 已验证 ID 服务中的最新功能、改进和更改。

2024 年 10 月

  • 常见问题解答部分现在包含有关请求服务 API 回调的网络强化信息。

2024 年 9 月

2024 年 8 月

  • FaceCheck 从 8 月 12 日起正式发布。

2024 年 6 月

  • FaceCheck 推出人脸核验加载项,作为人脸核验公共预览版的增量更新。 人脸核验是 Microsoft Entra 验证 ID 中的一项高级功能,在 8 月 12 日结束的公共预览期内可免费使用。

2024 年 4 月

  • 快速设置 现已正式发布,管理员只需单击一下按钮即可在 Microsoft Entra 租户中加入 Microsoft Entra 验证 ID。

2024 年 3 月

2024 年 2 月

2024 年 1 月

  • FaceCheck 现在处于公共预览阶段。 它支持企业通过在用户的实时自拍和已验证 ID 凭据中的照片之间执行面部匹配来执行高保证验证。 FaceCheck 在公共预览期间免费提供,可供任何已验证的 ID 项目使用。 今年晚些时候,我们将公布计费模式。

2023 年 12 月

2023 年 11 月

请求服务 API 现在支持在发出呈现请求时提供声明约束。 声明约束可用于指定验证程序要求提供的已验证 ID 凭据的约束。 可用约束包括直接匹配、contains 和 startsWith。

2023 年 10 月

2023 年 9 月

验证 ID 正在停用在验证 ID 正式发布之前可用的旧请求服务 API 终结点。 自 2022 年 8 月正式发布以来,不应使用这些 API,但如果在应用中使用这些 API,则需要迁移。 即将停用的 API 终结点包括:

POST https://verifiedid.did.msidentity.com/v1.0/:tenant/verifiablecredentials/request
GET https://verifiedid.did.msidentity.com/v1.0/:tenant/verifiablecredentials/request/:requestId
POST https://verifiedid.did.msidentity.com/v1.0/:tenant/verifiablecredentials/present
POST https://verifiedid.did.msidentity.com/v1.0/:tenant/verifiablecredentials/issuance

第一个 API 用于创建颁发或演示请求。 第二个 API 用于检索请求,最后两个 API 用于完成颁发或演示的钱包。 自预览版以来要使用的 API 终结点如下所示。

POST https://verifiedid.did.msidentity.com/v1.0/verifiablecredentials/createPresentationRequest
POST https://verifiedid.did.msidentity.com/v1.0/verifiablecredentials/createIssuanceRequest
GET https://verifiedid.did.msidentity.com/v1.0/verifiablecredentials/presentationRequests/:requestId
POST https://verifiedid.did.msidentity.com/v1.0/verifiablecredentials/completeIssuance
POST https://verifiedid.did.msidentity.com/v1.0/verifiablecredentials/verifyPresentation

请注意,/request API 被拆分为两个,具体取决于是创建颁发请求还是演示请求。

2023 年 10 月之后,停用的 API 终结点将无法正常工作。

2023 年 8 月

请求服务 API 的 presentation_verified 回调现在会在颁发验证 ID 凭据时以及凭据过期时返回。 业务规则可以使用这些值来查看所提供的验证 ID 凭据何时有效的时间段。 例如,它在一小时内过期,而所需业务的有效期需要至当天结束。

2023 年 6 月

此处提供了 Android 和 iOS 上的电子钱包库入门演示教程。

2023 年 5 月

2023 年 4 月

此处提供了在 LinkedIn 上设置工作验证位置的说明。

2023 年 3 月

  • 除了用户持有者令牌之外,管理员 API 现在还支持应用程序访问令牌
  • 介绍 Microsoft Entra 验证 ID 服务合作伙伴库,其中列出了可帮助加速 Microsoft Entra 验证 ID 实现的受信任合作伙伴。
  • 根据客户反馈,改进了管理员门户中的管理员加入体验。
  • 更新了 GitHub 中的示例,展示如何动态显示 VC 声明。

2023 年 2 月

  • 公共预览版 - 权利管理客户现在可以创建利用 Microsoft Entra 验证 ID 的访问包了解详细信息

  • 请求服务 API 现在可以对通过 StatusList2021RevocationList2020 状态列表类型颁发的可验证凭据执行吊销检查。

2023 年 1 月

  • Microsoft Authenticator 对 PIN 代码、可验证凭据概述和可验证凭据要求的用户体验进行了改进。

2022 年 11 月

  • Microsoft Entra 验证 ID 现在会报告审核日志中的事件。 当前仅记录通过管理员 API 进行的管理更改。 审核日志中不会报告可验证凭据的颁发或出示。 日志条目的服务名称为 Verified ID,活动将为 Create authorityUpdate contract 等。

2022 年 9 月

  • 请求服务 API 现在具有精细的应用权限,你可以单独授予 VerifiableCredential.Create.IssueRequest 和 VerifiableCredential.Create.PresentRequest,以便将颁发和呈现职责单独分配给单独的应用程序。
  • IDV 合作伙伴库现已在文档中提供,指导你如何与 Microsoft 的身份验证合作伙伴集成。
  • 有关如何实现演示证明流(在颁发过程中需要提供可验证凭据)的操作指南。

2022 年 8 月

Microsoft Entra 验证 ID 是 Microsoft Entra 项目组合的新成员,现已正式发布 (GA)! 了解详细信息

已知问题

  • 选择退出而不颁发任何可验证凭据的租户会从管理员 API 和/或 Microsoft Entra 管理中心收到 Specified resource does not exist 错误。 此问题的修补程序应在 2022 年 8 月 20 日之前可用。

2022 年 7 月

  • 请求服务 API 具有新的主机名 verifiedid.did.msidentity.combeta.did.msidentitybeta.eu.did.msidentity 会继续工作,但你应更改应用程序和配置。 此外,不再需要为欧盟租户指定 .eu.

  • 请求服务 API 具有新的终结点和更新后的 JSON 有效负载。 有关颁发,请参阅颁发 API 规范,以及有关演示,请参阅演示 API 规范。 旧的终结点和 JSON 有效负载会继续工作,但你应将应用程序更改为使用新的终结点和有效负载。

  • 请求服务 API 错误代码已更新

  • 管理 API 已公开并有文档记录。 Azure 门户将使用管理 API,通过此 REST API,可以自动执行加入或租户,以及创建凭据协定。

  • 通过 Microsoft Entra 验证 ID 网络查找要验证的颁发者和凭据。

  • 要将基于 Azure 存储的凭据迁移为托管凭据,GitHub 示例存储库中提供了用于该任务的 PowerShell 脚本。

  • 我们还对计划和设计文档进行了以下更新:

2022 年 6 月

  • 我们正在添加对 did:web 方法的支持。 在 2022 年 6 月 14 日之后开始使用可验证凭据服务的任何新租户都将在加入时将 Web 作为新的默认信任系统。 设置租户时,VC 管理员仍可以选择使用 ION。 如果要改用 did:web 而不使用 ION,或者要改用 ION 而不使用 did:web,则需要重新配置租户
  • 我们将推出多项功能,以改进在 Microsoft Entra 验证 ID 平台中创建可验证凭据的整体体验:
    • 引入托管凭据,它们是可验证凭据,这些凭据不再使用 Azure 存储来存储显示与规则 JSON 定义。 它们的显示和规则定义与早期版本不同。
    • 使用新的快速入门体验创建托管凭据。
    • 管理员可以使用新的快速入门创建“已验证的员工”托管凭据。 “已验证的员工”是类型为 verifiedEmployee 的可验证凭据,该凭据基于租户的目录中预定义的声明集。

重要

基于 Azure 存储的凭据需要迁移才能成为托管凭据。 我们将很快提供迁移说明。

2022 年 5 月

我们正在将我们的服务扩展到所有 Azure AD 客户! 现在,拥有 Azure AD 订阅(免费和高级)的每个人都可以使用可验证凭据。 在 2022 年 5 月 4 日之前配置可验证凭据服务的现有租户必须进行少量更改以避免服务中断。

2022 年 4 月

从下个月开始,对于可验证凭据服务的订阅要求,我们将推出激动人心的更改。 管理员必须在 2022 年 5 月 4 日之前进行少量配置更改,以避免服务中断。

重要

如果在 2022 年 5 月 4 日之前未应用更改,你将在使用 Microsoft Entra 已验证 ID 服务进行应用程序或服务发布和展示时遇到错误。

2022 年 3 月

  • Microsoft Entra 已验证 ID 客户现在可以轻松地从 Azure 门户更改链接到其 DID 的
  • 我们对 Microsoft Authenticator 进行了更新,这些更新会更改可验证凭据的颁发者和展示可验证凭据的用户之间的交互。 此更新在适用于 iOS 的 Microsoft Authenticator 中强制重新颁发所有可验证凭据。 详细信息

2022 年 2 月

我们将向我们的服务推出一些中断性变更。 这些更新需要重新配置 Microsoft Entra 已验证 ID 服务。 最终用户的可验证凭据需要重新颁发。

  • Microsoft Entra 已验证 ID 服务现在可以在 Azure 欧洲区域存储和处理数据。
  • Microsoft Entra 已验证 ID 客户可以利用增强的凭据吊销功能。 这些变更通过实施 W3C 状态列表 2021 标准来提高隐私程度。
  • 我们对 Microsoft Authenticator 进行了更新,这些更新会更改可验证凭据的颁发者和展示可验证凭据的用户之间的交互。 此更新在适用于 Android 的 Microsoft Authenticator 中强制重新颁发所有可验证凭据。 详细信息

重要

所有在 Azure 门户中收到横幅通知的 Azure AD 可验证凭据客户都需要在 2022 年 3 月 31 日之前完成服务重新配置。 在 2022 年 3 月 31 日,尚未重新配置的租户将失去对以前任何配置的访问权限。 管理员必须设置 Azure AD 可验证凭据服务的新实例。 详细了解如何重新配置租户

Microsoft Entra 已验证 ID 已在欧洲推出

自 Microsoft Entra 已验证 ID 服务开始推出公共预览版以来,该服务仅限在 Azure 北美区域中使用。 现在,该服务也可在 Azure 欧洲区域提供。

  • 现在,具有 Azure AD 欧洲租户的新客户可以在 Azure 欧洲区域找到并处理其可验证凭据数据。
  • 对于在欧洲设置了 Azure AD 租户的客户,如果在 2022 年 2 月 15 日之后开始使用 Microsoft Entra 已验证 ID 服务,其数据将在欧洲自动处理。 无需执行任何其他操作。
  • 对于在欧洲设置了 Azure AD 租户的客户,如果在 2022 年 2 月 15 日之前已开始使用 Microsoft Entra 已验证 ID 服务,则需要在 2022 年 3 月 31 日之前重新配置其租户上的服务。

执行以下步骤,以配置在欧洲的可验证凭据服务:

  1. 检查 Azure Active Directory 的位置,确保位于欧洲。
  2. 在租户中重新配置可验证凭据服务

重要

在 2022 年 3 月 31 日,尚未在欧洲重新配置的欧洲租户将失去对以前任何配置的访问权限,并需要配置 Azure AD 可验证凭据服务的新实例。

此举措是否导致我们使用请求 API 的方式发生任何变化?

使用 Microsoft Entra 已验证 ID 服务的应用程序必须使用与其 Azure AD 租户区域对应的请求 API 终结点。

租户区域 请求 API 终结点 POST
欧洲 https://beta.eu.did.msidentity.com/v1.0/{tenantID}/verifiablecredentials/request
非欧洲 https://beta.did.msidentity.com/v1.0/{tenantID}/verifiablecredentials/request

要确认应使用哪个终结点,建议检查 Azure AD 租户所在的区域,如前文所述。 如果 Azure AD 位于欧洲,则应使用欧洲终结点。

Microsoft Authenticator DID 生成更新

由于我们正在 Microsoft Authenticator 中进行协议更新以支持单长格式 DID,因此弃用成对格式。 通过此更新,你在 Microsoft Authenticator 中的 DID 将用于每个颁发者和中继方交换。 使用 Microsoft Authenticator 的可验证凭据的持有者必须重新颁发其可验证凭据,因为以前的任何凭据都无法继续使用。

2021 年 12 月

2021 年 11 月

  • 我们对请求服务 REST API 进行了更新,以便进行颁发演示。 强制实施规则以确保可以访问回叫的 URL 终结点的回叫类型。
  • Microsoft Authenticator 可验证凭据体验的 UX 更新:从钱包选择卡片上的动画。

2021 年 10 月

现在可以使用请求服务 REST API 从任何编程语言生成可以颁发和验证凭据的应用程序。 此新 REST API 提供改进的抽象层以及与 Microsoft Entra 已验证 ID 服务的集成。

最好是尽快开始使用该 API,因为 NodeJS SDK 将在后面几个月内弃用。 文档和示例现在使用请求服务 REST API。 有关详细信息,请参阅请求服务 REST API(预览版)

2021 年 4 月

现在可以在 Azure AD 中颁发可验证凭据。 当你需要提供雇佣、教育或任何其他声明的证明时,此服务十分有用。 此类凭据的持有者可以决定何时共享以及与谁共享其凭据。 每个凭据均通过与用户拥有并控制的分散式标识关联的加密密钥进行签名。