Odvolání dříve vydaných ověřitelných přihlašovacích údajů
V rámci procesu práce s ověřitelnými přihlašovacími údaji musíte vydat přihlašovací údaje. Někdy je také nutné je odvolat. V tomto článku si projdeme Status část ověřitelné specifikace přihlašovacích údajů. Také se podrobněji podíváme na proces odvolání, proč chceme odvolat přihlašovací údaje a některé údaje a vliv na ochranu osobních údajů.
Proč chcete odvolat ověřitelné přihlašovací údaje?
Každý zákazník má své vlastní jedinečné důvody, proč chce odvolat ověřitelné přihlašovací údaje. Tady jsou některé běžné motivy:
- ID studenta: Student už není aktivním studentem na univerzitě.
- ID zaměstnance: Zaměstnanec už není aktivním zaměstnancem.
- Licence státního řidiče: Řidič už v daném stavu žije.
Návody odvolat ověřitelné přihlašovací údaje?
Pomocí indexované deklarace identity v ověřitelných přihlašovacích údajích můžete vyhledat vydané ověřitelné přihlašovací údaje pro tuto deklaraci identity na portálu a odvolat ji.
Přejděte do podokna Ověřené ID na webu Azure Portal jako uživatel s přihlašovacímklíčem pro Azure Key Vault.
Vyberte ověřitelný typ přihlašovacích údajů.
V nabídce úplně vlevo vyberte Odvolat přihlašovací údaje.
Vyhledejte deklaraci indexu uživatele, kterého chcete odvolat. Indexování deklarace identity je požadavek na to, aby bylo možné vyhledat přihlašovací údaje.
Protože je uložena pouze hodnota hash indexované deklarace identity z ověřitelných přihlašovacích údajů, naplní výsledky hledání pouze přesná shoda. Informace zadané do textového pole jsou hashovány pomocí stejného algoritmu. Používá se jako vyhledávací kritérium, které odpovídá uložené hodnotě hash.
Když se najde shoda, vyberte možnost Odvolat napravo od přihlašovacích údajů, které chcete odvolat.
Uživatel s oprávněním správce, který provádí operaci odvolání, musí mít oprávnění k přihlašovacímu klíči pro Službu Key Vault nebo jinak se zobrazí chybová zpráva Nejde získat přístup k prostředku služby Key Vault s danými přihlašovacími údaji.
Po úspěšném odvolání se zobrazí aktualizace stavu a v horní části stránky se zobrazí zelený banner.
Rozhraní API služby požadavku označuje odvolané přihlašovací údaje v zpětném presentation_verified volání jako .REVOKED V závislosti na tom, jestli žádost o prezentaci určila, že umožňuje předložit odvolané přihlašovací údaje, bude prezentace odvolaných přihlašovacích údajů úspěšná nebo neúspěšná.
Nastavení ověřitelných přihlašovacích údajů s možností odvolat
Ověřené ID Microsoft Entra neukládá ověřitelná data přihlašovacích údajů. Vystavitel musí indexovat jednu deklaraci identity, aby bylo možné prohledávat přihlašovací údaje. Indexovat lze pouze jednu deklaraci identity a pokud neexistuje žádná, nemůžete odvolat přihlašovací údaje. Vybraná deklarace identity indexu se pak solí a zatřidí a neuloží se jako původní hodnota.
Poznámka:
Hashing je jednosměrná kryptografická operace, která změní vstup, který se nazývá , preimagea vytvoří výstup s názvem hash, který má pevnou délku. V tuto chvíli není výpočetně proveditelné pro obrácení operace hash.
Příklad: V následujícím příkladu displayName je deklarace identity indexu. Můžete hledat jenom přes celé jméno uživatele a nic jiného.
{
"attestations": {
"idTokens": [
{
"clientId": "8d5b446e-22b2-4e01-bb2e-9070f6b20c90",
"configuration": "https://didplayground.b2clogin.com/didplayground.onmicrosoft.com/B2C_1_sisu/v2.0/.well-known/openid-configuration",
"redirectUri": "vcclient://openid",
"scope": "openid profile email",
"mapping": [
{
"outputClaim": "displayName",
"required": true,
"inputClaim": "$.name",
"indexed": true
},
{
"outputClaim": "firstName",
"required": true,
"inputClaim": "$.given_name",
"indexed": false
},
{
"outputClaim": "lastName",
"required": true,
"inputClaim": "$.family_name",
"indexed": false
}
],
"required": false
}
]
},
"validityInterval": 2592000,
"vc": {
"type": [
"VerifiedCredentialExpert"
]
}
}
Můžete indexovat pouze jednu deklaraci identity z mapování deklarací identity pravidel. Pokud v definici pravidel omylem nemáte žádnou indexovanou deklaraci identity a později tento dohled opravíte, nebudou již vystavené ověřitelné přihlašovací údaje prohledávatelné, protože byly vydány, pokud neexistuje žádný index.
Jak funguje odvolání?
Ověřené ID Microsoft Entra implementuje W3C StatusList2021. Když se prezentace rozhraní API služby požadavku stane, rozhraní API zkontroluje stav odvolání. Kontrola odvolání probíhá prostřednictvím anonymního volání rozhraní API do služby Identity Hub a neobsahuje žádná data o tom, kdo kontroluje, jestli jsou ověřitelné přihlašovací údaje stále platné nebo odvolané. V statusList2021případě, Ověřené ID Microsoft Entra uchovává příznak podle hodnoty hash indexované deklarace identity, aby se zachoval přehled o stavu odvolání.
Ověřitelná data přihlašovacích údajů
Ve všech ověřitelných přihlašovacích údajích vydaných Microsoftem se nazývá credentialStatusdeklarace identity . Tato data jsou navigační mapou na místo, kde v bloku dat má ověřitelné přihlašovací údaje příznak odvolání.
Poznámka:
Pokud jsou ověřitelné přihlašovací údaje staré a byly vydány během období preview, tato deklarace identity neexistuje. Odvolání nebude u těchto přihlašovacích údajů fungovat a budete ho muset znovu použít.
...
"credentialStatus": {
"id": "urn:uuid:625dfcad-0000-1111-2222-333444445555?bit-index=31",
"type": "RevocationList2021Status",
"statusListIndex": 31,
"statusListCredential": "did:web:verifiedid.contoso.com?service=IdentityHub&queries=...data..."
...
Koncový bod rozhraní API centra identit vystavitele
V dokumentu decentralizovaného identifikátoru vydávající strany je koncový bod centra identit dostupný v service této části.
didDocument": {
"id": "did:web:verifiedid.contoso.com",
"@context": [
"https://www.w3.org/ns/did/v1",
{
"@base": "did:web:verifiedid.contoso.com"
}
],
"service": [
{
"id": "#linkeddomains",
"type": "LinkedDomains",
"serviceEndpoint": {
"origins": [
"https://verifiedid.contoso.com/"
]
}
},
{
"id": "#hub",
"type": "IdentityHub",
"serviceEndpoint": {
"instances": [
"https://verifiedid.hub.msidentity.com/v1.0/11111111-2222-3333-4444-000000000000"
],
"origins": [ ]
}
}
],