Een eerder uitgegeven verifieerbare referentie intrekken

Als onderdeel van het proces van het werken met verifieerbare referenties, moet u referenties uitgeven. Soms moet u ze ook intrekken. In dit artikel bekijken we het Status eigenschapsgedeelte van de verifieerbare referentiespecificatie. We bekijken ook het intrekkingsproces nader, waarom we referenties willen intrekken en wat gevolgen hebben voor gegevens en privacy.

Waarom wilt u een verifieerbare referentie intrekken?

Elke klant heeft zijn eigen unieke redenen om een verifieerbare referentie in te trekken. Hier volgen enkele algemene thema's:

  • Student-id: De student is geen actieve student meer aan de universiteit.
  • Werknemer-id: De werknemer is geen actieve werknemer meer.
  • Rijbewijs van staat: De bestuurder woont niet meer in die staat.

Hoe kan ik een verifieerbare referentie intrekken?

Met behulp van de geïndexeerde claim in verifieerbare referenties, kunt u zoeken naar uitgegeven verifieerbare referenties door die claim in de portal en intrekken.

  1. Ga naar het deelvenster Geverifieerde id in De Azure-portal als beheerder met een machtiging voor de aanmeldingssleutel voor Azure Key Vault.

  2. Selecteer het verifieerbare referentietype.

  3. Selecteer een referentie intrekken in het meest linkse menu.

    Screenshot that shows revoking a credential.

  4. Zoek de indexclaim van de gebruiker van wie u de referentie wilt intrekken. Het indexeren van een claim is een vereiste om te kunnen zoeken naar een referentie.

    Screenshot that shows the credential to revoke.

    Omdat alleen een hash van de geïndexeerde claim van de verifieerbare referentie wordt opgeslagen, vult alleen een exacte overeenkomst de zoekresultaten in. De informatie die in het tekstvak wordt ingevoerd, wordt gehasht met hetzelfde algoritme. Het wordt gebruikt als zoekcriterium om de gehashte waarde te vinden die is opgeslagen.

  5. Wanneer een overeenkomst wordt gevonden, selecteert u de optie Intrekken rechts van de referentie die u wilt intrekken.

    De gebruiker met beheerdersrechten die de ingetrokken bewerking uitvoert, moet een machtiging voor de ondertekeningssleutel hebben voor Key Vault of anders wordt het foutbericht 'Kan geen toegang krijgen tot key Vault-resource met opgegeven referenties' weergegeven.

    Screenshot that shows a warning that tells you that after revocation the user still has the credential.

  6. Nadat het intrekken is voltooid, ziet u de statusupdate en wordt boven aan de pagina een groene banner weergegeven.

    Screenshot that shows a successfully revoked verifiable credential message.

De Request Service-API geeft een ingetrokken referentie in de presentation_verifiedcallback aan als REVOKED. Afhankelijk van of de presentatieaanvraag die is opgegeven dat ingetrokken referenties kunnen worden weergegeven, slaagt of mislukt de presentatie van een ingetrokken referentie.

Een verifieerbare referentie instellen met de mogelijkheid om in te trekken

Microsoft Entra geverifieerde ID slaat geen verifieerbare referentiegegevens op. De verlener moet één claim indexeren om de referentie doorzoekbaar te maken. Er kan slechts één claim worden geïndexeerd en als er geen claim is, kunt u de referenties niet intrekken. De geselecteerde claim om te indexeren wordt vervolgens gesalt en gehasht en wordt niet opgeslagen als de oorspronkelijke waarde.

Notitie

Hashing is een cryptografische bewerking in één richting waarmee een invoer, een preimagezogenaamde , wordt gewijzigd en een uitvoer wordt geproduceerd die een hash met een vaste lengte heeft. Het is op dit moment niet rekenbaar om een hash-bewerking om te keren.

Voorbeeld: In het volgende voorbeeld displayName is de indexclaim. U kunt alleen zoeken via de volledige naam van de gebruiker en niets anders.

{
  "attestations": {
    "idTokens": [
      {
        "clientId": "8d5b446e-22b2-4e01-bb2e-9070f6b20c90",
        "configuration": "https://didplayground.b2clogin.com/didplayground.onmicrosoft.com/B2C_1_sisu/v2.0/.well-known/openid-configuration",
        "redirectUri": "vcclient://openid",
        "scope": "openid profile email",
        "mapping": [
          {
            "outputClaim": "displayName",
            "required": true,
            "inputClaim": "$.name",
            "indexed": true
          },
          {
            "outputClaim": "firstName",
            "required": true,
            "inputClaim": "$.given_name",
            "indexed": false
          },
          {
            "outputClaim": "lastName",
            "required": true,
            "inputClaim": "$.family_name",
            "indexed": false
          }
        ],
        "required": false
      }
    ]
  },
  "validityInterval": 2592000,
  "vc": {
    "type": [
      "VerifiedCredentialExpert"
    ]
  }
}

U kunt slechts één claim indexeren vanuit een regelclaimtoewijzing. Als u per ongeluk geen geïndexeerde claim in uw regelsdefinitie hebt en u dit toezicht later corrigeert, zijn reeds uitgegeven verifieerbare referenties niet doorzoekbaar omdat ze zijn uitgegeven wanneer er geen index bestond.

Hoe werkt intrekking?

Microsoft Entra Verified ID implementeert de W3C StatusList2021. Wanneer de presentatie van de Aanvraagservice-API plaatsvindt, controleert de API de intrekkingsstatus. De intrekkingscontrole vindt plaats via een anonieme API-aanroep naar Identity Hub en bevat geen gegevens over wie controleert of de verifieerbare referentie nog steeds geldig of ingetrokken is. Met statusList2021, Microsoft Entra geverifieerde ID houdt een vlag door de hash-waarde van de geïndexeerde claim om de intrekkingsstatus bij te houden.

Gegevens over verifieerbare referenties

In elke door Microsoft uitgegeven verifieerbare referentie is er een claim met de naam credentialStatus. Deze gegevens zijn een navigatiekaart waar in een blok met gegevens deze verifieerbare referentie de intrekkingsvlag heeft.

Notitie

Als de verifieerbare referentie oud is en tijdens de preview-periode is uitgegeven, bestaat deze claim niet. Intrekking werkt niet voor deze referentie en u moet deze opnieuw uitvoeren.

...
"credentialStatus": { 
    "id": "urn:uuid:625dfcad-0000-1111-2222-333444445555?bit-index=31", 
    "type": "RevocationList2021Status", 
    "statusListIndex": 31, 
    "statusListCredential": "did:web:verifiedid.contoso.com?service=IdentityHub&queries=...data..." 
...

Eindpunt identity hub-API van verlener

In het gedecentraliseerde id-document van de uitgevende partij is het eindpunt van de Identity Hub beschikbaar in de service sectie.

didDocument": {
    "id": "did:web:verifiedid.contoso.com",
    "@context": [
        "https://www.w3.org/ns/did/v1",
        {
            "@base": "did:web:verifiedid.contoso.com"
        }
     ],
     "service": [
         {
             "id": "#linkeddomains",
             "type": "LinkedDomains",
             "serviceEndpoint": {
             "origins": [
                "https://verifiedid.contoso.com/"
                ]
             }
         },
         {
             "id": "#hub",
             "type": "IdentityHub",
             "serviceEndpoint": {
                "instances": [
                   "https://verifiedid.hub.msidentity.com/v1.0/11111111-2222-3333-4444-000000000000"
                ],
                "origins": [ ]
             }
         }
    ],

Volgende stappen