Révoquer des justificatifs vérifiables précédemment émis

  • Article

Dans le cadre de l’utilisation des justificatifs vérifiables, vous devez émettre des identifiants. Parfois, vous devez également les révoquer. Dans cet article, nous examinons la partie propriété Status de la spécification des justificatifs vérifiables. Nous examinons également de plus près le processus de révocation, pourquoi nous voulons révoquer les identifiants et certaines implications en matière de données et de confidentialité.

Pourquoi souhaitez-vous révoquer des justificatifs vérifiables ?

Chaque client a ses propres raisons uniques de vouloir révoquer des justificatifs vérifiables. Voici quelques-uns des thèmes courants :

  • ID étudiant : l’étudiant n’est plus actif dans l’université.
  • ID employé : l’employé n’est plus actif.
  • Permis de conduire d’un état : le conducteur n’habite plus cet état.

Comment puis-je révoquer des justificatifs vérifiables ?

À travers la revendication indexée dans les justificatifs vérifiables, vous pouvez rechercher les justificatifs vérifiables émis par cette revendication dans le portail et les révoquer.

  1. Accédez au volet Vérification d’identité dans le Portail Azure en tant qu’utilisateur administrateur disposant de l’autorisation de clé de signature sur Azure Key Vault.

  2. Sélectionnez le type de justificatifs vérifiables.

  3. Dans le menu de gauche, sélectionnez Révoquer un justificatif.

    Capture d’écran illustrant la révocation des informations d’identification.

  4. Recherchez la revendication indexée de l’utilisateur que vous souhaitez révoquer. L’indexation d’une revendication est nécessaire pour pouvoir rechercher des informations d’identification.

    Capture d’écran illustrant les informations d’identification à révoquer.

    Étant donné que seul un hachage de la revendication indexée à partir de justificatifs vérifiables est stocké, seule une correspondance exacte remplit les résultats de la recherche. Les informations saisies dans la zone de texte sont hachées à l’aide du même algorithme. Il est utilisé comme critère de recherche pour correspondre à la valeur hachée stockée.

  5. Lorsqu’une correspondance est trouvée, sélectionnez l’option Révoquer à droite du justificatif que vous souhaitez révoquer.

    L’utilisateur administrateur qui effectue l’opération de révocation doit disposer d’une autorisation de clé de signature pour Key Vault, ou bien le message d’erreur suivant affiche « Impossible d’accéder à la ressource Key Vault avec les informations d’identification données ».

    Capture d’écran illustrant un avertissement qui indique que l’utilisateur continuera à disposer de ses informations d’identification après la révocation.

  6. Une fois la révocation réussie, vous voyez que l’état est mis à jour et une bannière verte s’affiche en haut de la page.

    Capture d’écran illustrant un message de justificatif vérifiable correctement révoqué.

L’API de service de requête indique les identifiants révoqués dans le rappelpresentation_verified en tant que REVOKED. Selon que la requête de présentation a spécifié qu’elle autorise les identifiants révoqués à être présentées, la présentation d’identifiants révoqués réussit ou échoue.

Configurer des justificatifs vérifiables avec la possibilité de les révoquer

La Vérification d’identité Microsoft Entra ne stocke pas les données des justificatifs vérifiables. L’émetteur doit indexer une revendication pour rendre les identifiants recherchables. Une seule revendication peut être indexée, et s’il n’y en a aucune, vous ne pourrez pas révoquer les identifiants. La revendication sélectionnée à indexer est ensuite salée et hachée, et elle n’est pas stockée sous sa valeur d’origine.

Remarque

Le hachage est une opération de chiffrement unidirectionnelle qui convertit une entrée, appelée preimage, et produit une sortie appelée « hachage » dont la longueur est fixe. Il n’est pas possible d’inverser une opération de hachage en termes de calcul pour le moment.

Exemple : dans l’exemple suivant, displayName est la revendication d’index. Vous pouvez effectuer une recherche uniquement via le nom complet de l’utilisateur et rien d’autre.

{
  "attestations": {
    "idTokens": [
      {
        "clientId": "8d5b446e-22b2-4e01-bb2e-9070f6b20c90",
        "configuration": "https://didplayground.b2clogin.com/didplayground.onmicrosoft.com/B2C_1_sisu/v2.0/.well-known/openid-configuration",
        "redirectUri": "vcclient://openid",
        "scope": "openid profile email",
        "mapping": [
          {
            "outputClaim": "displayName",
            "required": true,
            "inputClaim": "$.name",
            "indexed": true
          },
          {
            "outputClaim": "firstName",
            "required": true,
            "inputClaim": "$.given_name",
            "indexed": false
          },
          {
            "outputClaim": "lastName",
            "required": true,
            "inputClaim": "$.family_name",
            "indexed": false
          }
        ],
        "required": false
      }
    ]
  },
  "validityInterval": 2592000,
  "vc": {
    "type": [
      "VerifiedCredentialExpert"
    ]
  }
}

Vous pouvez indexer une seule revendication à partir d’un mappage de revendications de règles. Si vous n’avez accidentellement aucune revendication indexée dans votre définition de règles, et que vous corrigerez ultérieurement cette omission, les justificatifs vérifiables déjà émis ne peuvent pas faire l’objet d’une recherche, car ils ont été émis parce qu’aucun index n’existait.

Comment fonctionne la revendication ?

Vérification d’identité Microsoft Entra implémente W3C StatusList2021. Lorsque la présentation à l’API de service de requête se produit, l’API vérifie l’état de révocation. La vérification de révocation est effectuée sur un appel d’API anonyme à Identity Hub, et ne contient aucune donnée sur qui vérifie si les justificatifs vérifiables sont toujours valides ou s’ils ont été révoqués. Avec statusList2021, la Vérification d’identité Microsoft Entra conserve un indicateur avec la valeur hachée de la revendication indexée pour effectuer le suivi de l’état de révocation.

Données d’informations d’identification vérifiables

Les justificatifs vérifiables émis par Microsoft contiennent une revendication nommée credentialStatus. Ces données sont un mappage de navigation vers l’endroit où, dans un bloc de données, ces justificatifs vérifiables ont leur indicateur de révocation.

Remarque

Si les justificatifs vérifiables sont anciens et ont été émis pendant la période d’aperçu, cette revendication n’existe pas. La révocation ne fonctionne pas pour ces identifiants et vous devez la réémettre.

...
"credentialStatus": { 
    "id": "urn:uuid:625dfcad-0000-1111-2222-333444445555?bit-index=31", 
    "type": "RevocationList2021Status", 
    "statusListIndex": 31, 
    "statusListCredential": "did:web:verifiedid.contoso.com?service=IdentityHub&queries=...data..." 
...

Point de terminaison d’API Identity Hub de l’émetteur

Dans le document de l’identificateur décentralisé de la partie émettrice, le point de terminaison Identity Hub est disponible dans la section service.

didDocument": {
    "id": "did:web:verifiedid.contoso.com",
    "@context": [
        "https://www.w3.org/ns/did/v1",
        {
            "@base": "did:web:verifiedid.contoso.com"
        }
     ],
     "service": [
         {
             "id": "#linkeddomains",
             "type": "LinkedDomains",
             "serviceEndpoint": {
             "origins": [
                "https://verifiedid.contoso.com/"
                ]
             }
         },
         {
             "id": "#hub",
             "type": "IdentityHub",
             "serviceEndpoint": {
                "instances": [
                   "https://verifiedid.hub.msidentity.com/v1.0/11111111-2222-3333-4444-000000000000"
                ],
                "origins": [ ]
             }
         }
    ],

Étapes suivantes