Megosztás a következőn keresztül:

Ellenőrizhető hitelesítő adatok visszavonása

  • Cikk

Az ellenőrizhető hitelesítő adatokkal végzett munka részeként hitelesítő adatokat ad ki, és néha vissza kell vonnia őket. Ebben a cikkben áttekintjük az Status ellenőrizhető hitelesítő adatok specifikációjának tulajdonságrészét. Részletesebben is áttekintjük a visszavonási folyamatot, azt, hogy miért szeretnénk visszavonni a hitelesítő adatokat, valamint néhány adat- és adatvédelmi vonatkozást.

Miért vonjon vissza egy ellenőrizhető hitelesítő adatot?

Minden ügyfélnek megvannak a saját egyedi okai, amiért vissza szeretné vonni az ellenőrizhető hitelesítő adatokat. Íme néhány gyakori forgatókönyv:

  • Hallgatói azonosító: A hallgató már nem aktív hallgató az egyetemen.
  • Alkalmazott azonosítója: Az alkalmazott már nem aktív alkalmazott.
  • Az állam jogosítványa: Az illesztőprogram már nem ebben az állapotban él.

Hogyan működik a visszavonás?

Microsoft Entra Ellenőrzött azonosító implementálja a W3C StatusList2021. Amikor a Kérelemszolgáltatás API-nak való bemutatás történik, az API ellenőrzi a visszavonás állapotát. A visszavonás ellenőrzése egy névtelen API-híváson keresztül történik az Identity Hub felé, és nem tartalmaz adatokat arról, hogy ki ellenőrzi, hogy a ellenőrizhető hitelesítő adatok továbbra is érvényesek vagy visszavonva vannak-e. A statusList2021Microsoft Entra Ellenőrzött azonosító az indexelt jogcím kivonatolt értéke alapján tartja a jelölőt a visszavonási állapot nyomon követéséhez.

Ellenőrizhető hitelesítő adatok

Minden Microsoft által kiadott ellenőrizhető hitelesítő adatban van egy úgynevezett credentialStatusjogcím. Ezek az adatok egy navigációs térkép, ahová egy adatblokkban az ellenőrizhető hitelesítő adatok visszavonási jelzője van.

Feljegyzés

Ha az ellenőrizhető hitelesítő adatok régiek, és az előzetes verziójú időszakban adták ki, ez a jogcím nem létezik. A visszavonás nem alkalmazható ehhez a hitelesítő adathoz, ezért újra kell kibocsátania.


...
"credentialStatus": { 
    "id": "urn:uuid:00aa00aa-bb11-cc22-dd33-44ee44ee44ee?bit-index=31", 
    "type": "RevocationList2021Status", 
    "statusListIndex": 31, 
    "statusListCredential": "did:web:verifiedid.contoso.com?service=IdentityHub&queries=...data..." 
...

A kiállító Identity Hub API-végpontja

A kiállító fél decentralizált azonosító dokumentumában az Identity Hub végpontja elérhető a service szakaszban.

didDocument": {
    "id": "did:web:verifiedid.contoso.com",
    "@context": [
        "https://www.w3.org/ns/did/v1",
        {
            "@base": "did:web:verifiedid.contoso.com"
        }
     ],
     "service": [
         {
             "id": "#linkeddomains",
             "type": "LinkedDomains",
             "serviceEndpoint": {
             "origins": [
                "https://verifiedid.contoso.com/"
                ]
             }
         },
         {
             "id": "#hub",
             "type": "IdentityHub",
             "serviceEndpoint": {
                "instances": [
                   "https://verifiedid.hub.msidentity.com/v1.0/00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
                ],
                "origins": [ ]
             }
         }
    ],

Visszavonható ellenőrizhető hitelesítő adatok létrehozása

Microsoft Entra Ellenőrzött azonosító nem tárol ellenőrizhető hitelesítő adatokat. A kiállítónak indexelnie kell egy jogcímet, hogy a hitelesítő adatok kereshetőek legyenek. Csak egy jogcím indexelhető, és ha nincs ilyen, nem vonhatja vissza a hitelesítő adatokat. A kijelölt indexelési jogcímet ezután sózzuk és kivonatoltuk, és nem tároljuk eredeti értékként.

Feljegyzés

A kivonatolás egy egyirányú titkosítási művelet, amely egy bemenetet egy úgynevezett preimage, és rögzített hosszúságú kivonatnak nevezett kimenetet hoz létre. Jelenleg nem lehet számítással megfordítani a kivonatolási műveletet.

Példa: Az alábbi példában displayName az index jogcíme látható. A keresés csak a felhasználó teljes nevével és semmi másvalakivel lehet.

{
  "attestations": {
    "idTokens": [
      {
        "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
        "configuration": "https://didplayground.b2clogin.com/didplayground.onmicrosoft.com/B2C_1_sisu/v2.0/.well-known/openid-configuration",
        "redirectUri": "vcclient://openid",
        "scope": "openid profile email",
        "mapping": [
          {
            "outputClaim": "displayName",
            "required": true,
            "inputClaim": "$.name",
            "indexed": true
          },
          {
            "outputClaim": "firstName",
            "required": true,
            "inputClaim": "$.given_name",
            "indexed": false
          },
          {
            "outputClaim": "lastName",
            "required": true,
            "inputClaim": "$.family_name",
            "indexed": false
          }
        ],
        "required": false
      }
    ]
  },
  "validityInterval": 2592000,
  "vc": {
    "type": [
      "VerifiedCredentialExpert"
    ]
  }
}

Fontos

Egy szabály jogcímleképezéséből csak egy jogcím indexelhető. Ha véletlenül nem szerepel indexelt jogcím a szabályok leírásában, és később kijavítja ezt a mulasztást, az a módosítás előtt kiadott, ellenőrizhető hitelesítő adatok nem kereshetők, mivel akkor adták ki őket, amikor még nem létezett index.

Hogyan visszavonni egy ellenőrizhető hitelesítő adatot?

Az indexelt jogcímek ellenőrizhető hitelesítő adatokban való használatával megkeresheti a kiadott ellenőrizhető hitelesítő adatokat, és visszavonhatja őket.

  1. Lépjen az Ellenőrzött azonosító panelre az Azure Portalon rendszergazdai felhasználóként az Azure Key Vault jelkulcs-engedélyével.

  2. Válassza ki az ellenőrizhető hitelesítőadat-típust.

  3. A bal szélső menüben válassza a Hitelesítő adatok visszavonása lehetőséget.

    Képernyőkép a hitelesítő adatok visszavonásáról.

  4. Keresse meg a visszavonni kívánt felhasználó indexelt jogcímét. A jogcím indexelése követelmény a hitelesítő adatok kereséséhez.

    Képernyőkép a visszavonandó hitelesítő adatokról.

    Fontos

    Csak egy indexelt jogcím kivonatolt verzióját tároljuk. Ez azt jelenti, hogy csak az indexelt jogcímben tárolt érték pontos egyezései működnek. Amikor adatokat ad meg a szövegmezőbe, azokat a rendszer ugyanazzal az algoritmussal kivonatozza. Ez a kivonatolt érték ezután a tárolt kivonatolt jogcímnek megfelelő keresésre szolgál. Ha nem talál egyezést, előfordulhat, hogy helytelen adatokat adott meg, vagy a jogcím nem indexelt.

  5. Ha talál egyezést, válassza a visszavonni kívánt hitelesítő adattól jobbra található Visszavonás lehetőséget.

    A visszavonási műveletet végrehajtó rendszergazdai felhasználónak rendelkeznie kell a Key Vault jelkulcs-engedélyével , különben megjelenik a "Nem lehet hozzáférni a Key Vault-erőforráshoz a megadott hitelesítő adatokkal" hibaüzenet.

    Képernyőkép egy figyelmeztetésről, amely azt jelzi, hogy a visszavonás után a felhasználó továbbra is rendelkezik a hitelesítő adatokkal.

  6. A sikeres visszavonás után megjelenik az állapotfrissítés, és megjelenik egy zöld szalagcím az oldal tetején.

    Képernyőkép egy sikeresen visszavont ellenőrizhető hitelesítőadat-üzenetről.

A Request Service API visszavont hitelesítő adatokat jelez a presentation_verified visszahívásbanREVOKED Attól függően, hogy a bemutató kérése lehetővé teszi-e a visszavont hitelesítő adatok bemutatását, a visszavont hitelesítő adatok bemutatása sikeres vagy sikertelen lesz.

Következő lépések