Отзыв выданного ранее проверяемого удостоверения

В процессе работы с проверяемыми учетными данными необходимо выдавать учетные данные. Иногда их также нужно отозвать. В этой статье мы рассмотрим Status часть свойства спецификации проверяемых учетных данных. Мы также внимательно рассмотрим процесс отзыва, почему мы хотим отозвать учетные данные, а также некоторые данные и последствия конфиденциальности.

Почему вы хотите отозвать проверяемые учетные данные?

У каждого клиента есть свои уникальные причины для отмены проверяемых учетных данных. Ниже приведены некоторые распространенные темы:

  • Идентификатор учащегося: студент больше не является активным студентом в университете.
  • Идентификатор сотрудника: сотрудник больше не является активным сотрудником.
  • Лицензия государственного водителя: водитель больше не живет в этом состоянии.

Разделы справки отозвать проверяемые учетные данные?

Используя индексированные утверждения в проверяемых учетных данных, вы можете искать выданные проверяемые учетные данные с помощью этого утверждения на портале и отозвать его.

  1. Перейдите в область проверенного идентификатора в портал Azure в качестве пользователя администратора с разрешением на ключ входа в Azure Key Vault.

  2. Выберите проверяемый тип учетных данных.

  3. В левом меню выберите "Отозвать учетные данные".

    Screenshot that shows revoking a credential.

  4. Найдите утверждение индекса пользователя, которое вы хотите отозвать. Индексирование утверждения является требованием для поиска учетных данных.

    Screenshot that shows the credential to revoke.

    Так как сохраняется только хэш индексированного утверждения из проверяемых учетных данных, то только точное совпадение заполняет результаты поиска. Данные, введенные в текстовое поле, хэшируются с помощью того же алгоритма. Он используется в качестве критерия поиска для сопоставления хэшированного значения, хранящегося.

  5. После обнаружения совпадения выберите параметр Отозвать справа от удостоверения, которое требуется отозвать.

    Пользователь администратора, выполняющий операцию отзыва, должен иметь разрешение на ключ подписи для Key Vault или сообщение об ошибке "Не удается получить доступ к ресурсу Key Vault с заданными учетными данными".

    Screenshot that shows a warning that tells you that after revocation the user still has the credential.

  6. После успешного отзыва вы увидите обновление состояния и зеленый баннер появится в верхней части страницы.

    Screenshot that shows a successfully revoked verifiable credential message.

API службы запросов указывает отозванные учетные данные в обратном вызове presentation_verified как .REVOKED В зависимости от того, указан ли запрос презентации, который позволяет представить отозванные учетные данные, презентация отозванных учетных данных завершается успешно или завершается сбоем.

Настройка проверяемых учетных данных с возможностью отзыва

Проверенные учетные данные Microsoft Entra не хранит проверяемые данные учетных данных. Издателю необходимо проиндексировать одно утверждение, чтобы выполнить поиск учетных данных. Только одно утверждение можно индексировать, и если нет, вы не можете отозвать учетные данные. Выбранное для индексирования утверждение дополняется значением соли и хэшируется, то есть никогда не хранится в виде исходного значения.

Примечание.

Хэширование — это односторонняя криптографическая операция, которая преобразует входные данные, называемые a preimage, и создает выходные данные, называемые хэшом с фиксированной длиной. В настоящее время это невозможно вычислить, чтобы отменить хэш-операцию.

Пример. В следующем примере displayName — это утверждение индекса. Вы можете искать только полное имя пользователя и ничего другого.

{
  "attestations": {
    "idTokens": [
      {
        "clientId": "8d5b446e-22b2-4e01-bb2e-9070f6b20c90",
        "configuration": "https://didplayground.b2clogin.com/didplayground.onmicrosoft.com/B2C_1_sisu/v2.0/.well-known/openid-configuration",
        "redirectUri": "vcclient://openid",
        "scope": "openid profile email",
        "mapping": [
          {
            "outputClaim": "displayName",
            "required": true,
            "inputClaim": "$.name",
            "indexed": true
          },
          {
            "outputClaim": "firstName",
            "required": true,
            "inputClaim": "$.given_name",
            "indexed": false
          },
          {
            "outputClaim": "lastName",
            "required": true,
            "inputClaim": "$.family_name",
            "indexed": false
          }
        ],
        "required": false
      }
    ]
  },
  "validityInterval": 2592000,
  "vc": {
    "type": [
      "VerifiedCredentialExpert"
    ]
  }
}

Можно индексировать только одно утверждение из сопоставления утверждений правил. Если в определении правил нет индексированных утверждений, и вы позже исправите этот надзор, уже выданные проверяемые учетные данные не будут доступны для поиска, так как они были выданы, если индекс не существует.

Как работает отзыв удостоверений?

Проверенные учетные данные Microsoft Entra реализуют стандарт W3C StatusList2021. Когда выполняется презентация API службы запросов, API проверка состояние отзыва. Отзыв проверка происходит через анонимный вызов API в Центр удостоверений и не содержит никаких данных о том, кто проверка, если проверяемые учетные данные по-прежнему действительны или отменены. С помощью statusList2021Проверенные учетные данные Microsoft Entra сохраняет флаг по хэшированного значения индексированного утверждения для отслеживания состояния отзыва.

Данные проверяемых удостоверений

В каждом проверяемом учетных данных, выданных корпорацией Майкрософт, вызывается утверждение credentialStatus. Эти данные — это навигационная карта, в которой в блоке данных этот проверяемый учетный данные имеет свой флаг отзыва.

Примечание.

Если проверяемые учетные данные устарели и были выданы в течение предварительного периода, это утверждение не существует. Отзыв не будет работать для этих учетных данных, и его необходимо перезаписать.

...
"credentialStatus": { 
    "id": "urn:uuid:625dfcad-0000-1111-2222-333444445555?bit-index=31", 
    "type": "RevocationList2021Status", 
    "statusListIndex": 31, 
    "statusListCredential": "did:web:verifiedid.contoso.com?service=IdentityHub&queries=...data..." 
...

Конечная точка API Центра удостоверений издателя

В децентрализованном документе идентификатора поставщика конечная точка Центра удостоверений доступна в service разделе.

didDocument": {
    "id": "did:web:verifiedid.contoso.com",
    "@context": [
        "https://www.w3.org/ns/did/v1",
        {
            "@base": "did:web:verifiedid.contoso.com"
        }
     ],
     "service": [
         {
             "id": "#linkeddomains",
             "type": "LinkedDomains",
             "serviceEndpoint": {
             "origins": [
                "https://verifiedid.contoso.com/"
                ]
             }
         },
         {
             "id": "#hub",
             "type": "IdentityHub",
             "serviceEndpoint": {
                "instances": [
                   "https://verifiedid.hub.msidentity.com/v1.0/11111111-2222-3333-4444-000000000000"
                ],
                "origins": [ ]
             }
         }
    ],

Следующие шаги