Delen via

Een verifieerbare referentie intrekken

  • Artikel

Als onderdeel van het proces voor het werken met verifieerbare referenties, geeft u referenties uit en soms moet u deze intrekken. In dit artikel bekijken we het Status eigenschapsgedeelte van de verifieerbare referentiespecificatie. We bekijken ook het intrekkingsproces nader, waarom we referenties willen intrekken en wat gevolgen hebben voor gegevens en privacy.

Waarom een verifieerbare referentie intrekken?

Elke klant heeft zijn eigen unieke redenen om een verifieerbare referentie in te trekken. Hier volgen enkele veelvoorkomende scenario's:

  • Student-id: De student is geen actieve student meer aan de universiteit.
  • Werknemer-id: De werknemer is geen actieve werknemer meer.
  • Rijbewijs van staat: De bestuurder woont niet meer in die staat.

Hoe werkt intrekking?

Microsoft Entra Verified ID implementeert de W3C StatusList2021. Wanneer de presentatie van de Aanvraagservice-API plaatsvindt, controleert de API de intrekkingsstatus. De intrekkingscontrole vindt plaats via een anonieme API-aanroep naar Identity Hub en bevat geen gegevens over wie controleert of de verifieerbare referentie nog steeds geldig of ingetrokken is. Met statusList2021, Microsoft Entra geverifieerde ID houdt een vlag door de hash-waarde van de geïndexeerde claim om de intrekkingsstatus bij te houden.

Gegevens over verifieerbare referenties

In elke door Microsoft uitgegeven verifieerbare referentie is er een claim met de naam credentialStatus. Deze gegevens zijn een navigatiekaart waar in een blok met gegevens deze verifieerbare referentie de intrekkingsvlag heeft.

Notitie

Als de verifieerbare referentie oud is en tijdens de preview-periode is uitgegeven, bestaat deze claim niet. Intrekking werkt niet voor deze inloggegevens en je moet deze opnieuw uitgeven.


...
"credentialStatus": { 
    "id": "urn:uuid:00aa00aa-bb11-cc22-dd33-44ee44ee44ee?bit-index=31", 
    "type": "RevocationList2021Status", 
    "statusListIndex": 31, 
    "statusListCredential": "did:web:verifiedid.contoso.com?service=IdentityHub&queries=...data..." 
...

Eindpunt identity hub-API van verlener

In het gedecentraliseerde id-document van de uitgevende partij is het eindpunt van de Identity Hub beschikbaar in de service sectie.

didDocument": {
    "id": "did:web:verifiedid.contoso.com",
    "@context": [
        "https://www.w3.org/ns/did/v1",
        {
            "@base": "did:web:verifiedid.contoso.com"
        }
     ],
     "service": [
         {
             "id": "#linkeddomains",
             "type": "LinkedDomains",
             "serviceEndpoint": {
             "origins": [
                "https://verifiedid.contoso.com/"
                ]
             }
         },
         {
             "id": "#hub",
             "type": "IdentityHub",
             "serviceEndpoint": {
                "instances": [
                   "https://verifiedid.hub.msidentity.com/v1.0/00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
                ],
                "origins": [ ]
             }
         }
    ],

Een herroepbare verifieerbare referentie maken

Microsoft Entra geverifieerde ID slaat geen verifieerbare referentiegegevens op. De verlener moet één claim indexeren om de referentie doorzoekbaar te maken. Er kan slechts één claim worden geïndexeerd en als er geen claim is, kunt u de referenties niet intrekken. De geselecteerde claim om te indexeren wordt vervolgens gesalt en gehasht en wordt niet opgeslagen als de oorspronkelijke waarde.

Notitie

Hashing is een cryptografische bewerking in één richting waarmee een invoer, een preimagezogenaamde , wordt gewijzigd en een uitvoer wordt geproduceerd die een hash met een vaste lengte heeft. Het is op dit moment niet rekenbaar om een hash-bewerking om te keren.

Voorbeeld: In het volgende voorbeeld displayName is de indexclaim. U kunt alleen zoeken via de volledige naam van de gebruiker en niets anders.

{
  "attestations": {
    "idTokens": [
      {
        "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
        "configuration": "https://didplayground.b2clogin.com/didplayground.onmicrosoft.com/B2C_1_sisu/v2.0/.well-known/openid-configuration",
        "redirectUri": "vcclient://openid",
        "scope": "openid profile email",
        "mapping": [
          {
            "outputClaim": "displayName",
            "required": true,
            "inputClaim": "$.name",
            "indexed": true
          },
          {
            "outputClaim": "firstName",
            "required": true,
            "inputClaim": "$.given_name",
            "indexed": false
          },
          {
            "outputClaim": "lastName",
            "required": true,
            "inputClaim": "$.family_name",
            "indexed": false
          }
        ],
        "required": false
      }
    ]
  },
  "validityInterval": 2592000,
  "vc": {
    "type": [
      "VerifiedCredentialExpert"
    ]
  }
}

Belangrijk

U kunt slechts één claim indexeren op basis van een regelclaimtoewijzing. Als u per ongeluk geen geïndexeerde claim in uw regeldefinitie hebt en u deze omissie later corrigeert, zijn alle verifieerbare referenties die zijn uitgegeven voordat de wijziging werd doorgevoerd niet doorzoekbaar omdat ze zijn uitgegeven toen er geen index bestond.

Hoe kan ik een verifieerbare referentie intrekken?

U kunt geïndexeerde claims in verifieerbare referenties gebruiken om te zoeken naar uitgegeven verifieerbare referenties en deze in te trekken.

  1. Ga naar het deelvenster Geverifieerde id in De Azure-portal als beheerder met een machtiging voor de aanmeldingssleutel voor Azure Key Vault.

  2. Selecteer het verifieerbare referentietype.

  3. Selecteer een referentie intrekken in het meest linkse menu.

    Schermopname van het intrekken van referenties.

  4. Zoek naar de geïndexeerde claim van de gebruiker die u wilt intrekken. Het indexeren van een claim is een vereiste om te kunnen zoeken naar een referentie.

    Schermopname van de referenties die moeten worden ingetrokken.

    Belangrijk

    We slaan alleen een gehashte versie van een geïndexeerde claim op. Dit betekent dat alleen exacte overeenkomsten zijn van de waarde die is opgeslagen in het geïndexeerde claimwerk. Wanneer u gegevens invoert in het tekstvak, wordt deze gehasht met hetzelfde algoritme. Deze gehashte waarde wordt vervolgens gebruikt om te zoeken naar een overeenkomst met de opgeslagen hash-claim. Als u geen overeenkomst vindt, hebt u mogelijk de verkeerde gegevens ingevoerd of is de claim mogelijk niet geïndexeerd.

  5. Wanneer een overeenkomst wordt gevonden, selecteert u de optie Intrekken rechts van de referentie die u wilt intrekken.

    De gebruiker met beheerdersrechten die de intrekkingsbewerking uitvoert, moet een machtiging voor de ondertekeningssleutel hebben voor Key Vault of anders wordt het foutbericht 'Kan geen toegang krijgen tot Key Vault-resource met opgegeven referenties' weergegeven.

    Schermopname van een waarschuwing waarin wordt aangegeven dat de gebruiker na intrekking nog steeds de referentie heeft.

  6. Nadat het intrekken is voltooid, ziet u de statusupdate en wordt boven aan de pagina een groene banner weergegeven.

    Schermopname van een bericht met een ingetrokken verifieerbare referentie.

De Request Service-API geeft een ingetrokken referentie in de presentation_verifiedcallback aan als REVOKED. Afhankelijk van of de presentatieaanvraag die is opgegeven dat ingetrokken referenties kunnen worden weergegeven, slaagt of mislukt de presentatie van een ingetrokken referentie.

Volgende stappen