Korábban kiadott ellenőrizhető hitelesítő adatok visszavonása

  • Cikk

Az ellenőrizhető hitelesítő adatokkal végzett munka során hitelesítő adatokat kell kibocsátani. Néha vissza is kell vonni őket. Ebben a cikkben áttekintjük az Status ellenőrizhető hitelesítő adatok specifikációjának tulajdonságrészét. Részletesebben is áttekintjük a visszavonási folyamatot, azt, hogy miért szeretnénk visszavonni a hitelesítő adatokat, valamint néhány adat- és adatvédelmi vonatkozást.

Miért szeretné visszavonni az ellenőrizhető hitelesítő adatokat?

Minden ügyfélnek megvannak a saját egyedi okai, amiért vissza szeretné vonni az ellenőrizhető hitelesítő adatokat. Íme néhány gyakori téma:

  • Hallgatói azonosító: A hallgató már nem aktív hallgató az egyetemen.
  • Alkalmazott azonosítója: Az alkalmazott már nem aktív alkalmazott.
  • Az állam jogosítványa: Az illesztőprogram már nem ebben az állapotban él.

Hogyan visszavonni egy ellenőrizhető hitelesítő adatot?

Ha az indexelt jogcímet ellenőrizhető hitelesítő adatokban használja, a portálon megkeresheti az adott jogcím által kiadott ellenőrizhető hitelesítő adatokat, és visszavonhatja azt.

  1. Lépjen az Ellenőrzött azonosító panelre az Azure Portalon rendszergazdai felhasználóként az Azure Key Vault jelkulcs-engedélyével.

  2. Válassza ki az ellenőrizhető hitelesítőadat-típust.

  3. A bal szélső menüben válassza a Hitelesítő adatok visszavonása lehetőséget.

    Képernyőkép a hitelesítő adatok visszavonásáról.

  4. Keresse meg a visszavonni kívánt felhasználó indexkövetelését. A jogcím indexelése követelmény a hitelesítő adatok kereséséhez.

    Képernyőkép a visszavonandó hitelesítő adatokról.

    Mivel a rendszer csak az ellenőrizhető hitelesítő adatokból származó indexelt jogcím kivonatát tárolja, csak egy pontos egyezés tölti ki a keresési eredményeket. A szövegmezőben megadott információk kivonatolódása ugyanazzal az algoritmussal történik. Keresési feltételként használják, hogy megfeleljen a tárolt kivonatolt értéknek.

  5. Ha talál egyezést, válassza a visszavonni kívánt hitelesítő adattól jobbra található Visszavonás lehetőséget.

    A visszavonási műveletet végrehajtó rendszergazdai felhasználónak rendelkeznie kell a Key Vault jelkulcs-engedélyével , különben megjelenik a "Nem lehet hozzáférni a Key Vault-erőforráshoz a megadott hitelesítő adatokkal" hibaüzenet.

    Képernyőkép egy figyelmeztetésről, amely azt jelzi, hogy a visszavonás után a felhasználó továbbra is rendelkezik a hitelesítő adatokkal.

  6. A sikeres visszavonás után megjelenik az állapotfrissítés, és megjelenik egy zöld szalagcím az oldal tetején.

    Képernyőkép egy sikeresen visszavont ellenőrizhető hitelesítőadat-üzenetről.

A Request Service API visszavont hitelesítő adatokat jelez a presentation_verifiedvisszahívásbanREVOKED. Attól függően, hogy a bemutató kérése lehetővé teszi-e a visszavont hitelesítő adatok bemutatását, a visszavont hitelesítő adatok bemutatása sikeres vagy sikertelen lesz.

Ellenőrizhető hitelesítő adatok beállítása visszavonási lehetőséggel

Microsoft Entra Ellenőrzött azonosító nem tárol ellenőrizhető hitelesítő adatokat. A kiállítónak indexelnie kell egy jogcímet, hogy a hitelesítő adatok kereshetőek legyenek. Csak egy jogcím indexelhető, és ha nincs ilyen, nem vonhatja vissza a hitelesítő adatokat. A kijelölt indexelési jogcímet ezután sózzuk és kivonatoltuk, és nem tároljuk eredeti értékként.

Feljegyzés

A kivonatolás egy egyirányú titkosítási művelet, amely egy bemenetet egy úgynevezett preimage, és rögzített hosszúságú kivonatnak nevezett kimenetet hoz létre. A kivonatolási művelet megfordítása jelenleg nem lehetséges számításilag.

Példa: Az alábbi példában displayName az index jogcíme látható. A keresés csak a felhasználó teljes nevével és semmi másvalakivel lehet.

{
  "attestations": {
    "idTokens": [
      {
        "clientId": "8d5b446e-22b2-4e01-bb2e-9070f6b20c90",
        "configuration": "https://didplayground.b2clogin.com/didplayground.onmicrosoft.com/B2C_1_sisu/v2.0/.well-known/openid-configuration",
        "redirectUri": "vcclient://openid",
        "scope": "openid profile email",
        "mapping": [
          {
            "outputClaim": "displayName",
            "required": true,
            "inputClaim": "$.name",
            "indexed": true
          },
          {
            "outputClaim": "firstName",
            "required": true,
            "inputClaim": "$.given_name",
            "indexed": false
          },
          {
            "outputClaim": "lastName",
            "required": true,
            "inputClaim": "$.family_name",
            "indexed": false
          }
        ],
        "required": false
      }
    ]
  },
  "validityInterval": 2592000,
  "vc": {
    "type": [
      "VerifiedCredentialExpert"
    ]
  }
}

Egy szabály jogcímleképezéséből csak egy jogcímet indexelhet. Ha véletlenül nem szerepel indexelt jogcím a szabálydefinícióban, és később kijavítja ezt a felügyeletet, a már kiadott ellenőrizhető hitelesítő adatok nem lesznek kereshetők, mert akkor lettek kiadva, amikor nem volt index.

Hogyan működik a visszavonás?

Microsoft Entra Ellenőrzött azonosító implementálja a W3C StatusList2021. Amikor a Kérelemszolgáltatás API-nak való bemutatás történik, az API ellenőrzi a visszavonás állapotát. A visszavonás ellenőrzése egy névtelen API-híváson keresztül történik az Identity Hub felé, és nem tartalmaz adatokat arról, hogy ki ellenőrzi, hogy a ellenőrizhető hitelesítő adatok továbbra is érvényesek vagy visszavonva vannak-e. A statusList2021Microsoft Entra Ellenőrzött azonosító az indexelt jogcím kivonatolt értéke alapján tartja a jelölőt a visszavonási állapot nyomon követéséhez.

Ellenőrizhető hitelesítő adatok

Minden Microsoft által kiadott ellenőrizhető hitelesítő adatban van egy úgynevezett credentialStatusjogcím. Ezek az adatok egy navigációs térkép, ahová egy adatblokkban az ellenőrizhető hitelesítő adatok visszavonási jelzője van.

Feljegyzés

Ha az ellenőrizhető hitelesítő adatok régiek, és az előzetes verziójú időszakban adták ki, ez a jogcím nem létezik. A visszavonás nem fog működni ehhez a hitelesítő adathoz, ezért újra ki kell adnia.

...
"credentialStatus": { 
    "id": "urn:uuid:625dfcad-0000-1111-2222-333444445555?bit-index=31", 
    "type": "RevocationList2021Status", 
    "statusListIndex": 31, 
    "statusListCredential": "did:web:verifiedid.contoso.com?service=IdentityHub&queries=...data..." 
...

A kiállító Identity Hub API-végpontja

A kiállító fél decentralizált azonosító dokumentumában az Identity Hub végpontja elérhető a service szakaszban.

didDocument": {
    "id": "did:web:verifiedid.contoso.com",
    "@context": [
        "https://www.w3.org/ns/did/v1",
        {
            "@base": "did:web:verifiedid.contoso.com"
        }
     ],
     "service": [
         {
             "id": "#linkeddomains",
             "type": "LinkedDomains",
             "serviceEndpoint": {
             "origins": [
                "https://verifiedid.contoso.com/"
                ]
             }
         },
         {
             "id": "#hub",
             "type": "IdentityHub",
             "serviceEndpoint": {
                "instances": [
                   "https://verifiedid.hub.msidentity.com/v1.0/11111111-2222-3333-4444-000000000000"
                ],
                "origins": [ ]
             }
         }
    ],

Következő lépések