Widerrufen eines ausgestellten Nachweises

Die Arbeit mit Nachweisen (Verifiable Credentials) umfasst das Ausstellen von Nachweisen. Manchmal müssen Sie sie auch widerrufen. In diesem Artikel überprüfen wir den Status Eigenschaftenteil der nachweisbaren Nachweisspezifikation. Wir werfen auch einen genaueren Blick auf den Widerrufsprozess, warum wir Nachweise widerrufen möchten, und einige Daten- und Datenschutzauswirkungen.

Warum möchten Sie einen Nachweis widerrufen?

Jeder Kunde hat einen eigenen eindeutigen Grund, warum er eine überprüfbare Anmeldeinformationen widerrufen möchte. Hier sind einige der gängigen Themen:

  • Studenten-ID: Der Student ist kein aktiver Student an der Universität mehr.
  • Mitarbeiter-ID: Der Mitarbeiter ist kein aktiver Mitarbeiter mehr.
  • Führerschein eines Bundesstaats: Der Fahrer lebt nicht mehr in diesem Bundesstaat.

Wie widerrufe ich einen Nachweis?

Anhand des indizierten Anspruchs in Nachweisen können Sie im Portal nach ausgestellten Nachweisen für diesen Anspruch suchen und diese widerrufen.

  1. Navigieren Sie zum Bereich Überprüfte ID im Azure-Portal als Administratorbenutzer mit Signatur-Schlüsselberechtigung für Azure Key Vault.

  2. Wählen Sie den Typ des Nachweises aus.

  3. Wählen Sie im Menü ganz links die Option Einen Nachweis widerrufen aus.

    Screenshot that shows revoking a credential.

  4. Suchen Sie nach dem Indexanspruch des Benutzers, für den Sie den Nachweis widerrufen möchten. Die Indizierung eines Anspruchs ist eine Voraussetzung für die Suche nach Anmeldeinformationen.

    Screenshot that shows the credential to revoke.

    Da wir nur einen Hash des indizierten Anspruchs aus dem Nachweis speichern, gehen nur exakte Entsprechungen in die Suchergebnisse ein. Die in das Textfeld eingegebenen Informationen werden mit demselben Algorithmus gehasht. Es wird als Suchkriterium verwendet, um dem gespeicherten Hashwert zu entsprechen.

  5. Wenn Sie einen Treffer gefunden haben, wählen Sie die Option Widerrufen rechts neben dem zu widerrufenden Nachweis aus.

    Der Administratorbenutzer, der den Widerruf durchführt, muss über die Anmelde-Schlüsselberechtigung für Key Vault verfügen, andernfalls erscheint die Fehlermeldung "Zugriff auf Key Vault-Ressource mit angegebenen Anmeldeinformationen nicht möglich".

    Screenshot that shows a warning that tells you that after revocation the user still has the credential.

  6. Nach erfolgreichem Widerruf sehen Sie die Statusaktualisierung, und am oberen Rand der Seite wird ein grünes Banner angezeigt.

    Screenshot that shows a successfully revoked verifiable credential message.

Die Anforderungsdienst-API zeigt eine widerrufene Anmeldeinformation im presentation_verifiedRückruf als REVOKED an. Je nachdem, ob die Präsentationsanforderung angegeben hat, dass die widerrufene Anmeldeinformationen präsentiert werden kann, ist die Darstellung einer widerrufenen Anmeldeinformationen entweder erfolgreich oder schlägt fehl.

Richten Sie einen widerrufbaren Nachweis ein

Die Microsoft Entra Verified-ID speichert keine nachweisbaren Anmeldeinformationen. Der Aussteller muss einen Anspruch indizieren, um den Nachweis durchsuchbar zu machen. Es kann nur ein Anspruch indiziert werden, und wenn es keinen gibt, können Sie Nachweise nicht widerrufen. Der ausgewählte zu indizierende Anspruch wird dann mit Salt und Hash versehen und nicht in seinem ursprünglichen Wert gespeichert.

Hinweis

Das Hashing ist ein unidirektionaler kryptografischer Vorgang, der eine Eingabe, die als preimage bezeichnet wird, in eine Ausgabe (Hash) mit einer festen Länge umwandelt. Aktuell ist es rechnerisch nicht sinnvoll, einen Hashvorgang umzukehren.

Beispiel: Im folgenden Beispiel ist displayName der Indexanspruch. Sie können nur über den vollständigen Namen des Benutzers und nichts anderes suchen.

{
  "attestations": {
    "idTokens": [
      {
        "clientId": "8d5b446e-22b2-4e01-bb2e-9070f6b20c90",
        "configuration": "https://didplayground.b2clogin.com/didplayground.onmicrosoft.com/B2C_1_sisu/v2.0/.well-known/openid-configuration",
        "redirectUri": "vcclient://openid",
        "scope": "openid profile email",
        "mapping": [
          {
            "outputClaim": "displayName",
            "required": true,
            "inputClaim": "$.name",
            "indexed": true
          },
          {
            "outputClaim": "firstName",
            "required": true,
            "inputClaim": "$.given_name",
            "indexed": false
          },
          {
            "outputClaim": "lastName",
            "required": true,
            "inputClaim": "$.family_name",
            "indexed": false
          }
        ],
        "required": false
      }
    ]
  },
  "validityInterval": 2592000,
  "vc": {
    "type": [
      "VerifiedCredentialExpert"
    ]
  }
}

Sie können über eine Regelanspruchszuordnung nur einen einzelnen Anspruch indizieren. Wenn Sie versehentlich keinen indizierten Anspruch in Ihrer Regeldefinition haben und dieses Versehen später korrigieren, sind bereits ausgestellte Nachweise nicht durchsuchbar, da sie ausgestellt wurden, als kein Index vorhanden war.

Wie funktioniert der Widerruf?

Microsoft Entra Verified ID implementiert W3C StatusList2021. Wenn die Präsentation des Nachweises bei der Anforderungsdienst-API erfolgt, prüft die API den Widerrufsstatus. Die Widerrufprüfung erfolgt über einen anonymen API-Aufruf an Identity Hub und enthält keine Daten, die prüfen, ob der Nachweis noch gültig oder widerrufen ist. Mit statusList2021 behält Microsoft Entra Verified ID ein Flag mit dem Hashwert des indizierten Anspruchs bei, um den Widerrufstatus nachverfolgen zu können.

Nachweisdaten

Jeder von Microsoft ausgestellte Nachweis verfügt über Anspruch namens credentialStatus. Bei diesen Daten handelt es sich um eine Navigationszuordnungskarte, die Ihnen zeigt, wo in einem Datenblock dieser Nachweis sein Widerruf-Flag hat.

Hinweis

Wenn der Nachweis alt ist und während des Vorschauzeitraums ausgestellt wurde, ist dieser Anspruch nicht vorhanden. Der Widerruf funktioniert nicht für diesen Nachweis und Sie müssen ihn erneut ausstellen.

...
"credentialStatus": { 
    "id": "urn:uuid:625dfcad-0000-1111-2222-333444445555?bit-index=31", 
    "type": "RevocationList2021Status", 
    "statusListIndex": 31, 
    "statusListCredential": "did:web:verifiedid.contoso.com?service=IdentityHub&queries=...data..." 
...

Identity Hub-API-Endpunkt für Aussteller

Im dezentralen Bezeichnerdokument des Ausstellers ist der Identity Hub-Endpunkt im service Abschnitt verfügbar.

didDocument": {
    "id": "did:web:verifiedid.contoso.com",
    "@context": [
        "https://www.w3.org/ns/did/v1",
        {
            "@base": "did:web:verifiedid.contoso.com"
        }
     ],
     "service": [
         {
             "id": "#linkeddomains",
             "type": "LinkedDomains",
             "serviceEndpoint": {
             "origins": [
                "https://verifiedid.contoso.com/"
                ]
             }
         },
         {
             "id": "#hub",
             "type": "IdentityHub",
             "serviceEndpoint": {
                "instances": [
                   "https://verifiedid.hub.msidentity.com/v1.0/11111111-2222-3333-4444-000000000000"
                ],
                "origins": [ ]
             }
         }
    ],

Nächste Schritte