Microsoft Entra 已驗證的識別碼新功能
本文列出 Microsoft Entra 驗證識別碼服務的最新功能、改善和變更。
- 常見問題一節現在包含要求服務 API 回呼的網路強化資訊。
- 您可以視要求為您的 Microsoft Entra 租用戶啟用 did:web:path 的支援。
- FaceCheck 從 8 月 12 日起正式推出。
- FaceCheck 引進臉部檢查附加元件作為臉部檢查公開預覽的累加式更新。 臉部檢查是 8 月 12 日結束的公開預覽期間,Microsoft Entra 驗證識別碼免費使用的進階功能。
- 快速設定正式推出,可讓管理員只需按下按鍵,即可在 Microsoft Entra 租用戶中上線 Microsoft Entra 驗證識別碼。
- 自 2024 年 2 月起,已驗證識別碼支援符合 NIST 規範的 P-256 曲線。
- 錢包程式庫 1.0.1 支援 P-256。
- 有關已驗證技術支援中心的新概念文章,介紹如何使用 Microsoft Entra 驗證識別碼來識別尋求協助的呼叫者。
- idTokenHint 證明流發行時覆寫 expirationDate 要求合約需要將 allowOverrideValidityOnIssuance 旗標設定為true。
- FaceCheck (部分機器翻譯) 現在處於公開預覽狀態。 它可讓企業執行高保證驗證,方法是在使用者的即時自拍與已驗證識別碼認證中的相片之間執行臉部比對。 FaceCheck 可在公開預覽期間免費提供,而且可供任何已驗證的識別碼專案採用。 今年晚些時候,我們將宣佈計費模式。
- 要求服務 API 現在支援發行應用程式,在證明使用 idTokenHint 流程時,設定認證期間的到期日和發行要求。
- 已移除選取
did:ion
作為信任系統的選項。 唯一可用的信任系統did:web
。 請參閱常見問題以取得如何從 did:ion 移至 did:web 的協助。
要求服務 API 現在支援提出呈現要求時的宣告條件約束。 宣告條件約束可用來指定驗證者要求呈現之已驗證識別碼認證的條件約束。 可用的條件約束是直接比對、包含及 startsWith。
- 快速設定引進為預覽版,讓系統管理員只需按下按鈕即可將 Microsoft Entra 租用戶上線。
- MyAccount 現在可供使用,以簡化工作場所認證發行
- 進階設定仍可作為
Quick setup
選項。
已驗證的識別碼正在淘汰在已驗證識別碼正式推出之前可用的舊要求服務 API 端點。 自 2022 年 8 月 GA 以來,不應該使用這些 API,但如果這些 API 用於您的應用程式,您需要移轉。 即將淘汰的 API 端點如下:
POST https://verifiedid.did.msidentity.com/v1.0/:tenant/verifiablecredentials/request
GET https://verifiedid.did.msidentity.com/v1.0/:tenant/verifiablecredentials/request/:requestId
POST https://verifiedid.did.msidentity.com/v1.0/:tenant/verifiablecredentials/present
POST https://verifiedid.did.msidentity.com/v1.0/:tenant/verifiablecredentials/issuance
第一個 API 是用來建立發行或呈現要求。 第二個 API 用於擷取要求,最後兩個 API 用於完成發行或呈現的電子錢包。 預覽之後要使用的 API 端點如下。
POST https://verifiedid.did.msidentity.com/v1.0/verifiablecredentials/createPresentationRequest
POST https://verifiedid.did.msidentity.com/v1.0/verifiablecredentials/createIssuanceRequest
GET https://verifiedid.did.msidentity.com/v1.0/verifiablecredentials/presentationRequests/:requestId
POST https://verifiedid.did.msidentity.com/v1.0/verifiablecredentials/completeIssuance
POST https://verifiedid.did.msidentity.com/v1.0/verifiablecredentials/verifyPresentation
請注意,/request
API 會根據您建立發行或呈現要求,分割成兩個 API。
在 2023 年 10 月之後,已淘汰的 API 端點將無法運作。
要求服務 API 的 presentation_verified
回撥現在會在發出已驗證的識別碼認證以及到期時傳回。 商務規則可以使用這些值來查看所呈現驗證識別碼認證有效的時間範圍。 其中一個範例是它在一小時後到期,而所需的業務需要在當天結束之前有效。
在 Android 和 iOS 上開始使用錢包程式庫示範的教學課程,請參閱這裡。
- 錢包程式庫是在 Build 2023 會議使用數位錢包減少詐欺並提高參與度 (英文) 上宣布的。 錢包程式庫可讓客戶將可驗認證技術新增至自己的行動應用程式。 程式庫適用於 Android (英文) 和 iOS (英文)。
有關在 LinkedIn 上設定工作驗證位置的指示,請參閱這裡。
- 系統管理員 API 現在支援應用程式存取權杖,以及使用者持有人權杖。
- 介紹 Microsoft Entra 驗證識別碼 Services 合作夥伴資源庫,列出可協助您加速 Microsoft Entra 驗證識別碼實作的信任合作夥伴。
- 管理員入口網站中系統管理員上線體驗的改善,根據客戶意見反應。
- GitHub (英文) 中的範例更新示範如何動態顯示 VC 宣告。
公開預覽 - 權利管理客戶現在可以建立存取套件,以利用 Microsoft Entra 驗證識別碼深入了解 (部分機器翻譯)
要求服務 API 現在可以對 StatusList2021 (英文) 或 RevocationList2020 (英文) 狀態清單類型所發出的可驗認證進行撤銷檢查。
- Microsoft Authenticator 使用者體驗改善 PIN 碼、可驗認證概觀及可驗證的認證需求。
- Microsoft Entra 驗證識別碼現在會報告稽核記錄中的事件。 目前只會記錄透過系統管理 API 所做的管理變更。 稽核記錄中不會報告可驗認證的發行或呈現。 記錄項目的服務名稱為
Verified ID
,活動名稱為Create authority
、Update contract
等。
- 要求服務 API 現在具有細微的應用程式權限,您可以分別授與 VerifiableCredential.Create.IssueRequest 和 VerifiableCredential.Create.PresentRequest,以區隔發行和呈現給個別應用程式的責任。
- IDV 合作夥伴資源庫現已在文件中提供,引導您如何與 Microsoft 的身分識別驗證合作夥伴整合。
- 實作需要在發行期間呈現可驗證認證的簡報證明流程的操作指南。
Microsoft Entra 驗證識別碼現已正式推出 (GA) 為 Microsoft Entra 組合的新成員! 閱讀更多 (英文)
- 退出而不發出任何可驗認證的租用戶,會從系統管理 API 和/或 Microsoft Entra 系統管理中心取得
Specified resource does not exist
錯誤。 此問題的修正應該在 2022 年 8 月 20 日前提供。
要求服務 API 有「新的主機名稱」
verifiedid.did.msidentity.com
。beta.did.msidentity
和beta.eu.did.msidentity
會繼續運作,但您應該變更您的應用程式和設定。 此外,您不再需要為歐盟租用戶指定.eu.
。要求服務 API 有「新的端點」和「已更新的 JSON 承載」。 針對核發,請參閱核發 API 規格,針對出示,請參閱出示 API 規格。 舊的端點和 JSON 承載會繼續運作,但您應該變更您的應用程式以使用新的端點和承載。
要求服務 API 錯誤碼已「更新」
管理員 API 已設為「公開」並予以記載。 Azure 入口網站是使用管理員 API,而且使用此 REST API,您可以將租用戶上線和建立認證合約自動化。
尋找簽發者和認證,以透過 Microsoft Entra 驗證識別碼網路進行驗證。
若要移轉 Azure 儲存體型認證以成為受控認證,工作的 GitHub 範例存放庫中有 PowerShell 指令碼。
我們也已對方案和設計文件進行下列更新:
- (已更新) 架構規劃概觀。
- (已更新) 規劃您的核發解決方案。
- (已更新) 規劃您的驗證解決方案。
- 我們將會新增對於 did:web (英文) 方法的支援。 在 2022 年 6 月 14 日之後使用可驗認證服務所啟動的任何新租用戶,會在上線時以 Web 作為新的預設信任系統。 在設定租用戶時,VC 管理員仍可選擇使用 ION。 如果您想要使用 did:web 而不是 ION (反之亦然),則必須重新設定租用戶。
- 我們將會推出數個功能,以改善在 Microsoft Entra 驗證識別碼平台中建立可驗認證的整體體驗:
- 引進受控認證,這是可驗認證,不會再使用 Azure 儲存體來儲存顯示與規則 JSON 定義。 其顯示和規則定義與舊版的不同。
- 使用新的快速入門體驗來建立受控認證。
- 管理員可以使用新的快速入門來建立已驗證的員工受控認證。 已驗證的員工是 verifiedEmployee 類型的可驗認證,其會以租用戶目錄中的一組預先定義宣告作為基礎。
重要
您必須移轉 Azure 儲存體型認證,才能變成受控認證。 我們很快就會提供移轉指示。
- 我們已對文件進行了下列更新:
- (新增) 目前支援的 Microsoft Entra 驗證識別碼開放標準。
- (新增) 如何建立識別碼權杖提示的可驗認證。
- (新增) 如何建立識別碼權杖的可驗認證。
- (新增) 如何為自我判斷宣告建立可驗認證。
- (新增) 規則和顯示定義模型規格。
- (新增) 建立租用戶以進行開發。
我們正在將服務拓展至所有 Azure AD 客戶! 具有 Azure AD 訂用帳戶 (免費和進階版) 的所有客戶都可以使用可驗認證。 在 2022 年 5 月 4 日之前設定可驗認證服務的現有租用戶必須進行小變更,以避免服務中斷。
從下個月開始,我們會針對可驗認證服務的訂用帳戶需求推出令人振奮的變更。 系統管理員必須在 2022 年 5 月 4 日之前執行小型設定變更,以避免服務中斷。
重要
如果在 2022 年 5 月 4 日之前未套用變更,您將會在使用 Microsoft Entra 已驗證的識別碼服務時,於應用程式或服務的發行和呈現發生錯誤。
- Microsoft Entra 已驗證的識別碼客戶現在可以輕鬆地從 Azure 入口網站變更連結到其 DID 的網域。
- 我們已對 Microsoft Authenticator 進行更新,藉此變更可驗認證的簽發者與出示可驗認證的使用者之間的互動。 此更新會強制在 Microsoft Authenticator for iOS 中重新簽發所有的可驗認證。 詳細資訊
正在對我們的服務推出一些重大變更。 這些更新需要 Microsoft Entra 已驗證的識別碼服務重新設定。 使用者必須重新簽發其可驗認證。
- Microsoft Entra 已驗證的識別碼服務現在可以在 Azure 歐洲區域儲存和處理資料處理。
- Microsoft Entra 已驗證的識別碼客戶可以利用認證撤銷的增強功能。 這些變更會透過實作 W3C 狀態清單 2021 標準新增更高程度的隱私權。
- 我們已對 Microsoft Authenticator 進行更新,藉此變更可驗認證的簽發者與出示可驗認證的使用者之間的互動。 此更新會強制在 Microsoft Authenticator for Android 中重新簽發所有的可驗認證。 詳細資訊
重要
在 Azure 入口網站收到橫幅通知的所有 Azure AD 可驗認證客戶,必須在 2022 年 3 月 31 日前完成服務重新設定。 在 2022 年 3 月 31 日前,未重新設定的租用戶將無法存取任何先前的設定。 管理員必須設定 Azure AD 可驗認證服務新的執行個體。 深入了解如何重新設定您的租用戶。
從 Microsoft Entra 已驗證的識別碼服務的公開預覽開始,這項服務只能在我們的 Azure 北美洲區域中使用。 現在,這項服務也可以在我們的 Azure 歐洲區域中使用。
- 擁有 Azure AD 歐洲租用戶的新客戶現在可以在我們的 Azure 歐洲區域中放置和處理可驗認證資料。
- Azure AD 租用戶設定於歐洲,且於 2022 年 2 月 15 日之後開始使用 Microsoft Entra 已驗證的識別碼服務的客戶,其資料已自動在歐洲進行處理。 不需要採取任何進一步的動作。
- 在歐洲設定 Azure AD 租用戶且於 2022 年 2 月 15 日之前開始使用 Microsoft Entra 已驗證的識別碼服務的客戶,則需要在 2022 年 3月 31 日前,在其租用戶上重新設定服務。
請採取下列步驟,在歐洲設定可驗認證服務:
- 檢查位置,確認您的 Azure Active Directory 位於歐洲。
- 在您的租用戶中,重新設定可驗認證服務。
重要
在 2022 年 3 月 31 日前,未在歐洲重新設定的歐洲租用戶將無法存取任何先前的設定,而且必須設定 Azure AD 可驗認證服務新的執行個體。
使用 Microsoft Entra 已驗證的識別碼服務的應用程式,必須使用對應至其 Azure AD 租用戶區域的要求 API 端點。
租用戶區域 | 要求 API 端點 POST |
---|---|
歐洲 | https://beta.eu.did.msidentity.com/v1.0/{tenantID}/verifiablecredentials/request |
非歐洲 | https://beta.did.msidentity.com/v1.0/{tenantID}/verifiablecredentials/request |
若要確認您應該使用哪一個端點,建議您檢查您的 Azure AD 租用戶區域,如先前所述。 如果 Azure AD 租用戶位於歐洲,則您應該使用歐洲端點。
我們正在更新 Microsoft Authenticator 中的通訊協定以支援單一長格式 DID,因此淘汰成對的使用。 採用此更新後,簽發者和信賴憑證者每次交換時,都會使用您在 Microsoft Authenticator 中的 DID。 使用可驗認證的 Microsoft Authenticator 的持有者必須重新簽出其可驗認證,因為任何先前的認證無法繼續運作。
- 我們已將 Postman 集合新增至我們的範例,做為開始使用要求服務 REST API 的快速入門。
- 新增的範例會示範 Microsoft Entra 已驗證的識別碼與 Azure AD B2C 的整合。
- 使用 PowerShell 和 ARM 範本設定 Microsoft Entra 已驗證的識別碼服務的範例。
- 可驗認證設定檔範例,顯示識別碼權杖、IDTokenHit 和自我證明宣告的範例卡片。
- 我們已更新要求服務 REST API,以發行和呈現。 回撥類型會強制執行規則,以便可連線回撥的 URL 端點。
- Microsoft Authenticator 可驗認證體驗的 UX 更新:從錢包選取卡片上的動畫。
您現在可以從任何程式設計語言,使用要求服務 REST API 建立可以簽發和驗證認證的應用程式。 這個新的 REST API 提供改善的抽象層,並整合到 Microsoft Entra 已驗證的識別碼服務。
建議您儘快開始使用 API,因為 NodeJS SDK 將在未來幾個月內淘汰。 文件和範例現在使用要求服務 REST API。 如需詳細資訊,請參閱要求服務 REST API (預覽)。
您現在可以在 Azure AD 中簽發可驗認證。 當您需要出示就業、教育或任何其他主張的證明時,此服務很有用。 這類認證的持有者可以決定何時與誰分享其認證。 每個認證都會使用由該使用者擁有並控制,且與分散式身分識別相關聯的密碼編譯金鑰進行簽署。