Udostępnij za pośrednictwem

Odwoływanie poświadczenia weryfikowalnego

  • Artykuł

W ramach procesu pracy z weryfikowalnymi poświadczeniami wystawiasz poświadczenia, a czasami trzeba je odwołać. W tym artykule zapoznamy Status się z częścią właściwości specyfikacji weryfikowalnych poświadczeń. Przyjrzymy się bliżej procesowi odwoływania, dlaczego chcemy odwołać poświadczenia oraz jakieś konsekwencje dla danych i prywatności.

Dlaczego warto odwołać poświadczenia weryfikowalne?

Każdy klient ma własne unikatowe powody, dla których chce odwołać poświadczenia weryfikowalne. Oto kilka typowych scenariuszy:

  • Identyfikator studenta: Student nie jest już aktywnym studentem na uniwersytecie.
  • Identyfikator pracownika: pracownik nie jest już aktywnym pracownikiem.
  • Prawo jazdy państwa: Kierowca nie mieszka już w tym stanie.

Jak działa odwołanie?

Zweryfikowany identyfikator Microsoft Entra implementuje W3C StatusList2021. W przypadku prezentacji interfejsu API usługi żądań interfejs API sprawdza stan odwołania. Sprawdzanie odwołania odbywa się za pośrednictwem anonimowego wywołania interfejsu API do usługi Identity Hub i nie zawiera żadnych danych dotyczących tego, kto sprawdza, czy weryfikowalne poświadczenia są nadal prawidłowe lub odwołane. W programie statusList2021Zweryfikowany identyfikator Microsoft Entra zachowuje flagę przez wartość skrótu indeksowanego oświadczenia, aby śledzić stan odwołania.

Weryfikowalne dane poświadczeń

W każdym uwierzytelnianym poświadczenie wystawionym przez firmę Microsoft istnieje oświadczenie o nazwie credentialStatus. Te dane to mapa nawigacji, w której w bloku danych ten weryfikowalny poświadczenie ma flagę odwołania.

Uwaga

Jeśli poświadczenia weryfikowalne są stare i zostały wydane w okresie obowiązywania wersji zapoznawczej, to oświadczenie nie istnieje. Odwołanie nie będzie działać dla tego poświadczenia i trzeba go ponownie uruchomić.


...
"credentialStatus": { 
    "id": "urn:uuid:00aa00aa-bb11-cc22-dd33-44ee44ee44ee?bit-index=31", 
    "type": "RevocationList2021Status", 
    "statusListIndex": 31, 
    "statusListCredential": "did:web:verifiedid.contoso.com?service=IdentityHub&queries=...data..." 
...

Punkt końcowy interfejsu API usługi Identity Hub wystawcy

W dokumencie identyfikatora zdecentralizowanego jednostki wystawiającej punkt końcowy centrum tożsamości jest dostępny w service sekcji .

didDocument": {
    "id": "did:web:verifiedid.contoso.com",
    "@context": [
        "https://www.w3.org/ns/did/v1",
        {
            "@base": "did:web:verifiedid.contoso.com"
        }
     ],
     "service": [
         {
             "id": "#linkeddomains",
             "type": "LinkedDomains",
             "serviceEndpoint": {
             "origins": [
                "https://verifiedid.contoso.com/"
                ]
             }
         },
         {
             "id": "#hub",
             "type": "IdentityHub",
             "serviceEndpoint": {
                "instances": [
                   "https://verifiedid.hub.msidentity.com/v1.0/00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
                ],
                "origins": [ ]
             }
         }
    ],

Tworzenie odwołalnych poświadczeń możliwych do zweryfikowania

Zweryfikowany identyfikator Microsoft Entra nie przechowuje weryfikowalnych danych poświadczeń. Wystawca musi zaindeksować jedno oświadczenie, aby umożliwić wyszukiwanie poświadczeń. Można indeksować tylko jedno oświadczenie, a jeśli nie ma żadnego, nie można odwołać poświadczeń. Wybrane oświadczenie do indeksu jest następnie solone i skróty i nie jest przechowywane jako oryginalna wartość.

Uwaga

Skrót to jednokierunkowa operacja kryptograficzna, która zamienia dane wejściowe o nazwie , i generuje dane wyjściowe o nazwie preimageskrót o stałej długości. W tej chwili nie jest to możliwe do obliczenia, aby odwrócić operację skrótu.

Przykład: W poniższym przykładzie displayName jest oświadczenie indeksu. Możesz wyszukiwać tylko za pomocą pełnej nazwy użytkownika i nic innego.

{
  "attestations": {
    "idTokens": [
      {
        "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
        "configuration": "https://didplayground.b2clogin.com/didplayground.onmicrosoft.com/B2C_1_sisu/v2.0/.well-known/openid-configuration",
        "redirectUri": "vcclient://openid",
        "scope": "openid profile email",
        "mapping": [
          {
            "outputClaim": "displayName",
            "required": true,
            "inputClaim": "$.name",
            "indexed": true
          },
          {
            "outputClaim": "firstName",
            "required": true,
            "inputClaim": "$.given_name",
            "indexed": false
          },
          {
            "outputClaim": "lastName",
            "required": true,
            "inputClaim": "$.family_name",
            "indexed": false
          }
        ],
        "required": false
      }
    ]
  },
  "validityInterval": 2592000,
  "vc": {
    "type": [
      "VerifiedCredentialExpert"
    ]
  }
}

Ważne

Można indeksować tylko jedno oświadczenie z mapowania oświadczeń reguł. Jeśli przypadkowo nie masz indeksowanego oświadczenia w definicji reguł, a później poprawisz ten nadzór, wszystkie poświadczenia weryfikowalne wystawione przed zmianą nie będą możliwe do przeszukiwania, ponieważ zostały wystawione, gdy indeks nie istniał.

Jak mogę odwołać weryfikowalne poświadczenia?

Oświadczenia indeksowane można używać w weryfikowalnych poświadczeniach, aby wyszukać wystawione poświadczenia weryfikowalne i odwołać je.

  1. Przejdź do okienka Zweryfikowany identyfikator w witrynie Azure Portal jako administrator z uprawnieniem podpisywania klucza dla usługi Azure Key Vault.

  2. Wybierz weryfikowalny typ poświadczeń.

  3. W menu po lewej stronie wybierz pozycję Odwołaj poświadczenia.

    Zrzut ekranu przedstawiający odwołanie poświadczeń.

  4. Wyszukaj indeksowane oświadczenie użytkownika, którego chcesz odwołać. Indeksowanie oświadczenia jest wymagane do wyszukiwania poświadczeń.

    Zrzut ekranu przedstawiający poświadczenia do odwołania.

    Ważne

    Przechowujemy tylko skróconą wersję indeksowanego oświadczenia. Oznacza to, że tylko dokładne dopasowania wartości przechowywanej w indeksowanej pracy oświadczenia. Po wprowadzeniu informacji w polu tekstowym skrót jest używany przy użyciu tego samego algorytmu. Ta wartość skrótu jest następnie używana do wyszukiwania dopasowania do przechowywanego oświadczenia skrótu. Jeśli nie znajdziesz dopasowania, być może wprowadzono nieprawidłowe informacje lub oświadczenie może nie być indeksowane.

  5. Po znalezieniu dopasowania wybierz opcję Odwołaj po prawej stronie poświadczenia, które chcesz odwołać.

    Zostanie wyświetlony komunikat o błędzie "Nie można uzyskać dostępu do zasobu usługi Key Vault" przez administratora, który wykonuje operację odwoływania, musi mieć uprawnienie do podpisywania klucza dla usługi Key Vault.

    Zrzut ekranu przedstawiający ostrzeżenie informujące o tym, że po odwołaniu użytkownik nadal ma poświadczenia.

  6. Po pomyślnym odwołaniu zobaczysz aktualizację stanu, a w górnej części strony pojawi się zielony baner.

    Zrzut ekranu przedstawiający pomyślnie odwołany weryfikowalny komunikat poświadczeń.

Interfejs API usługi żądań wskazuje odwołane poświadczenia w wywołaniu zwrotnym presentation_verified jako REVOKED. W zależności od tego, czy żądanie prezentacji określiło, że zezwala na prezentowanie odwołanych poświadczeń, prezentacja odwołanych poświadczeń zakończy się powodzeniem lub niepowodzeniem.

Następne kroki