Sdílet prostřednictvím

Odvolání ověřitelných přihlašovacích údajů

  • Článek

V rámci procesu práce s ověřitelnými přihlašovacími údaji vydáváte přihlašovací údaje a někdy je potřebujete odvolat. V tomto článku si projdeme Status část ověřitelné specifikace přihlašovacích údajů. Také se podrobněji podíváme na proces odvolání, proč chceme odvolat přihlašovací údaje a některé údaje a vliv na ochranu osobních údajů.

Proč odvolat ověřitelné přihlašovací údaje?

Každý zákazník má své vlastní jedinečné důvody, proč chce odvolat ověřitelné přihlašovací údaje. Tady jsou některé běžné scénáře:

  • ID studenta: Student už není aktivním studentem na univerzitě.
  • ID zaměstnance: Zaměstnanec už není aktivním zaměstnancem.
  • Licence státního řidiče: Řidič už v daném stavu žije.

Jak funguje odvolání?

Ověřené ID Microsoft Entra implementuje W3C StatusList2021. Když se prezentace rozhraní API služby požadavku stane, rozhraní API zkontroluje stav odvolání. Kontrola odvolání probíhá prostřednictvím anonymního volání rozhraní API do služby Identity Hub a neobsahuje žádná data o tom, kdo kontroluje, jestli jsou ověřitelné přihlašovací údaje stále platné nebo odvolané. V statusList2021případě, Ověřené ID Microsoft Entra uchovává příznak podle hodnoty hash indexované deklarace identity, aby se zachoval přehled o stavu odvolání.

Ověřitelná data přihlašovacích údajů

Ve všech ověřitelných přihlašovacích údajích vydaných Microsoftem se nazývá credentialStatusdeklarace identity . Tato data jsou navigační mapou na místo, kde v bloku dat má ověřitelné přihlašovací údaje příznak odvolání.

Poznámka:

Pokud jsou ověřitelné přihlašovací údaje staré a byly vydány během období preview, tato deklarace identity neexistuje. Odvolání nefunguje u těchto přihlašovacích údajů a musíte ho znovu použít.


...
"credentialStatus": { 
    "id": "urn:uuid:00aa00aa-bb11-cc22-dd33-44ee44ee44ee?bit-index=31", 
    "type": "RevocationList2021Status", 
    "statusListIndex": 31, 
    "statusListCredential": "did:web:verifiedid.contoso.com?service=IdentityHub&queries=...data..." 
...

Koncový bod rozhraní API centra identit vystavitele

V dokumentu decentralizovaného identifikátoru vydávající strany je koncový bod centra identit dostupný v service této části.

didDocument": {
    "id": "did:web:verifiedid.contoso.com",
    "@context": [
        "https://www.w3.org/ns/did/v1",
        {
            "@base": "did:web:verifiedid.contoso.com"
        }
     ],
     "service": [
         {
             "id": "#linkeddomains",
             "type": "LinkedDomains",
             "serviceEndpoint": {
             "origins": [
                "https://verifiedid.contoso.com/"
                ]
             }
         },
         {
             "id": "#hub",
             "type": "IdentityHub",
             "serviceEndpoint": {
                "instances": [
                   "https://verifiedid.hub.msidentity.com/v1.0/00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
                ],
                "origins": [ ]
             }
         }
    ],

Vytvoření ověřitelných ověřitelných přihlašovacích údajů s možností odvolání

Ověřené ID Microsoft Entra neukládá ověřitelná data přihlašovacích údajů. Vystavitel musí indexovat jednu deklaraci identity, aby bylo možné prohledávat přihlašovací údaje. Indexovat lze pouze jednu deklaraci identity a pokud neexistuje žádná, nemůžete odvolat přihlašovací údaje. Vybraná deklarace identity indexu se pak solí a zatřidí a neuloží se jako původní hodnota.

Poznámka:

Hashing je jednosměrná kryptografická operace, která změní vstup, který se nazývá , preimagea vytvoří výstup s názvem hash, který má pevnou délku. V tuto chvíli není výpočetně proveditelné pro obrácení operace hash.

Příklad: V následujícím příkladu displayName je deklarace identity indexu. Můžete hledat jenom přes celé jméno uživatele a nic jiného.

{
  "attestations": {
    "idTokens": [
      {
        "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
        "configuration": "https://didplayground.b2clogin.com/didplayground.onmicrosoft.com/B2C_1_sisu/v2.0/.well-known/openid-configuration",
        "redirectUri": "vcclient://openid",
        "scope": "openid profile email",
        "mapping": [
          {
            "outputClaim": "displayName",
            "required": true,
            "inputClaim": "$.name",
            "indexed": true
          },
          {
            "outputClaim": "firstName",
            "required": true,
            "inputClaim": "$.given_name",
            "indexed": false
          },
          {
            "outputClaim": "lastName",
            "required": true,
            "inputClaim": "$.family_name",
            "indexed": false
          }
        ],
        "required": false
      }
    ]
  },
  "validityInterval": 2592000,
  "vc": {
    "type": [
      "VerifiedCredentialExpert"
    ]
  }
}

Důležité

Můžete indexovat pouze jednu deklaraci identity z mapování deklarací identity pravidel. Pokud v definici pravidel omylem nemáte žádný indexovaný nárok a později tento dohled napravíte, nejsou všechny ověřitelné certifikáty vydané před změnou prohledávatelné, protože byly vydány, když žádný index neexistoval.

Návody odvolat ověřitelné přihlašovací údaje?

Indexované deklarace identity můžete použít v ověřitelných přihlašovacích údajích k vyhledání vydaných ověřitelných přihlašovacích údajů a jejich odvolání.

  1. Přejděte do podokna Ověřené ID na webu Azure Portal jako uživatel s přihlašovacímklíčem pro Azure Key Vault.

  2. Vyberte ověřitelný typ přihlašovacích údajů.

  3. V nabídce úplně vlevo vyberte Odvolat přihlašovací údaje.

    Snímek obrazovky znázorňující odvolání přihlašovacích údajů

  4. Vyhledejte indexovanou deklaraci identity uživatele, kterého chcete odvolat. Indexování deklarace identity je požadavek na to, aby bylo možné vyhledat přihlašovací údaje.

    Snímek obrazovky znázorňující přihlašovací údaje, které se mají odvolat

    Důležité

    Ukládáme pouze zatřiďovanou verzi indexované deklarace identity. To znamená, že pouze přesná shoda hodnoty uložené v indexované práci deklarací identity. Když do textového pole zadáte informace, použije se hodnota hash pomocí stejného algoritmu. Tato hodnota hash se pak použije k vyhledání shody uložené deklarace identity hash. Pokud nenajdete shodu, možná jste zadali nesprávné informace nebo deklarace identity nemusí být indexovaná.

  5. Když se najde shoda, vyberte možnost Odvolat napravo od přihlašovacích údajů, které chcete odvolat.

    Uživatel s oprávněním správce, který provádí operaci odvolání, musí mít oprávnění k přihlašovacímu klíči pro Key Vault nebo jinak se zobrazí chybová zpráva Nejde získat přístup k prostředku služby Key Vault s danými přihlašovacími údaji.

    Snímek obrazovky s upozorněním, že po odvolání má uživatel stále přihlašovací údaje

  6. Po úspěšném odvolání se zobrazí aktualizace stavu a v horní části stránky se zobrazí zelený banner.

    Snímek obrazovky znázorňující úspěšně odvolanou ověřitelnou zprávu s přihlašovacími údaji

Rozhraní API služby požadavku označuje odvolané přihlašovací údaje v zpětném presentation_verified volání jako .REVOKED V závislosti na tom, jestli žádost o prezentaci určila, že umožňuje předložit odvolané přihlašovací údaje, bude prezentace odvolaných přihlašovacích údajů úspěšná nebo neúspěšná.

Další kroky