Aracılığıyla paylaş

Doğrulanabilir kimlik bilgilerini iptal etme

  • Makale

Doğrulanabilir kimlik bilgileriyle çalışma sürecinin bir parçası olarak, kimlik bilgilerini ve bazen bunları iptal etmeniz gerekir. Bu makalede, doğrulanabilir kimlik bilgisi belirtiminin özellik bölümünü gözden geçireceğiz Status . Ayrıca iptal işlemine, kimlik bilgilerini neden iptal etmek istediğimize ve bazı veri ve gizlilik etkilerine daha yakından bakacağız.

Doğrulanabilir bir kimlik bilgisi neden iptal edilsin?

Her müşterinin doğrulanabilir bir kimlik bilgilerini iptal etmek istemesi için kendi benzersiz nedenleri vardır. Burada sık karşılaşılan bazı senaryolar verilmiştir:

  • Öğrenci Kimliği: Öğrenci artık üniversitede aktif bir öğrenci değildir.
  • Çalışan Kimliği: Çalışan artık etkin bir çalışan değil.
  • Eyalet sürücü belgesi: Sürücü artık bu durumda yaşamıyor.

İptal nasıl çalışır?

Microsoft Entra Kimlik DoğrulamaW3C StatusList2021. İstek Hizmeti API'sine sunu yapıldığında, API iptal durumunu denetler. İptal denetimi, Identity Hub'a yapılan anonim bir API çağrısı üzerinden gerçekleşir ve doğrulanabilir kimlik bilgilerinin hala geçerli veya iptal edilmiş olup olmadığını denetleyen kişilerle ilgili herhangi bir veri içermez. ile statusList2021Microsoft Entra Kimlik Doğrulama, iptal durumunu izlemek için dizine alınan talebin karma değerine göre bir bayrak tutar.

Doğrulanabilir kimlik bilgisi verileri

Microsoft tarafından verilen doğrulanabilir her kimlik bilgisinde adlı credentialStatusbir talep vardır. Bu veriler, veri bloğunda bu doğrulanabilir kimlik bilgilerinin iptal bayrağına sahip olduğu gezinti haritasıdır.

Not

Doğrulanabilir kimlik bilgileri eskiyse ve önizleme döneminde verildiyse, bu talep mevcut değildir. Bu kimlik bilgisi için iptal işlemi çalışmaz ve yeniden düzenlemeniz gerekir.


...
"credentialStatus": { 
    "id": "urn:uuid:00aa00aa-bb11-cc22-dd33-44ee44ee44ee?bit-index=31", 
    "type": "RevocationList2021Status", 
    "statusListIndex": 31, 
    "statusListCredential": "did:web:verifiedid.contoso.com?service=IdentityHub&queries=...data..." 
...

Verenin Identity Hub API uç noktası

Veren tarafın merkezi olmayan tanımlayıcı belgesinde, Kimlik Merkezi'nin uç noktası bölümünde bulunur service .

didDocument": {
    "id": "did:web:verifiedid.contoso.com",
    "@context": [
        "https://www.w3.org/ns/did/v1",
        {
            "@base": "did:web:verifiedid.contoso.com"
        }
     ],
     "service": [
         {
             "id": "#linkeddomains",
             "type": "LinkedDomains",
             "serviceEndpoint": {
             "origins": [
                "https://verifiedid.contoso.com/"
                ]
             }
         },
         {
             "id": "#hub",
             "type": "IdentityHub",
             "serviceEndpoint": {
                "instances": [
                   "https://verifiedid.hub.msidentity.com/v1.0/00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
                ],
                "origins": [ ]
             }
         }
    ],

İptal edilebilir doğrulanabilir kimlik bilgileri oluşturma

Microsoft Entra Kimlik Doğrulama doğrulanabilir kimlik bilgileri verilerini depolamaz. Verenin kimlik bilgilerini aranabilir hale getirmek için bir talebi dizine alması gerekir. Yalnızca bir talep dizine eklenebilir ve hiç talep yoksa kimlik bilgilerini iptal edebilirsiniz. Seçilen dizin talebi daha sonra tuzlanır ve karma olarak oluşturulur ve özgün değeri olarak depolanmaz.

Not

Karma, adlı bir girişi preimagedönüştüren ve sabit uzunlukta karma adlı bir çıkış üreten tek yönlü bir şifreleme işlemidir. Şu anda bir karma işlemi tersine çevirmek işlem açısından uygun değildir.

Örnek: Aşağıdaki örnekte displayName dizin talebi verilmiştir. Yalnızca kullanıcının tam adıyla arama yapabilir ve başka bir şey arama yapabilirsiniz.

{
  "attestations": {
    "idTokens": [
      {
        "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
        "configuration": "https://didplayground.b2clogin.com/didplayground.onmicrosoft.com/B2C_1_sisu/v2.0/.well-known/openid-configuration",
        "redirectUri": "vcclient://openid",
        "scope": "openid profile email",
        "mapping": [
          {
            "outputClaim": "displayName",
            "required": true,
            "inputClaim": "$.name",
            "indexed": true
          },
          {
            "outputClaim": "firstName",
            "required": true,
            "inputClaim": "$.given_name",
            "indexed": false
          },
          {
            "outputClaim": "lastName",
            "required": true,
            "inputClaim": "$.family_name",
            "indexed": false
          }
        ],
        "required": false
      }
    ]
  },
  "validityInterval": 2592000,
  "vc": {
    "type": [
      "VerifiedCredentialExpert"
    ]
  }
}

Önemli

Kural talepleri eşlemesinden yalnızca bir talebi dizinleyebilirsiniz. Kural tanımınızda kazara dizine alınmış bir talep yoksa ve bu hatayı daha sonra düzeltirseniz, değişiklikten önce verilmiş olan doğrulanabilir kimlik bilgileri, bir dizin mevcut olmadığında verilmiş oldukları için aranamaz.

Doğrulanabilir kimlik bilgilerini iptal Nasıl yaparım??

Verilen doğrulanabilir kimlik bilgilerini aramak ve iptal etmek için doğrulanabilir kimlik bilgilerinde dizine alınmış beyanları kullanabilirsiniz.

  1. Azure Key Vault için imza anahtarı iznine sahip yönetici kullanıcı olarak Azure portalında Doğrulanmış Kimlik bölmesine gidin.

  2. Doğrulanabilir kimlik bilgisi türünü seçin.

  3. En soldaki menüde Kimlik bilgilerini iptal et'i seçin.

    Kimlik bilgisi iptalini gösteren ekran görüntüsü.

  4. İptal etmek istediğiniz kullanıcının dizine alınmış beyanını arayın. Talepte dizin oluşturma, kimlik bilgisi araması yapabilmek için bir gereksinimdir.

    İptal edilebilecek kimlik bilgilerini gösteren ekran görüntüsü.

    Önemli

    Yalnızca dizine alınan talebin karma sürümünü depolarız. Bu, yalnızca dizine alınan talepte depolanan değerin tam eşleşmelerinin çalıştığı anlamına gelir. Metin kutusuna bilgi girdiğinizde, aynı algoritma kullanılarak karma oluşturulur. Bu karma değer daha sonra depolanan karma taleple eşleşme aramak için kullanılır. Eşleşme bulamazsanız, yanlış bilgi girmiş olabilirsiniz veya talep dizine alınmamış olabilir.

  5. Bir eşleşme bulunduğunda , iptal etmek istediğiniz kimlik bilgilerinin sağındaki İptal Et seçeneğini belirleyin.

    İptal işlemini gerçekleştiren yönetici kullanıcının Key Vault için imza anahtarı iznine sahip olması gerekir, aksi halde "Verilen kimlik bilgileriyle Key Vault kaynağına erişilemiyor" hata iletisi görüntülenir.

    İptal sonrasında kullanıcının kimlik bilgilerine sahip olduğunu belirten bir uyarıyı gösteren ekran görüntüsü.

  6. İptal başarılı olduktan sonra durum güncelleştirmesini görürsünüz ve sayfanın üst kısmında yeşil bir başlık görünür.

    Başarıyla iptal edilen doğrulanabilir kimlik bilgisi iletisini gösteren ekran görüntüsü.

İstek Hizmeti API'si, geri presentation_verifiedREVOKEDolarak iptal edilmiş bir kimlik bilgilerini gösterir. Sunu isteğinin iptal edilen kimlik bilgilerinin sunulmasına izin verdiğinden belirtildiğine bağlı olarak, iptal edilen kimlik bilgilerinin sunusu başarılı olur veya başarısız olur.

Sonraki adımlar