Korábban kiadott ellenőrizhető hitelesítő adat visszavonása (előzetes verzió)

Az ellenőrizhető hitelesítő adatokkal (VCS-ekkel) való munka részeként nem csupán ki kell adni a hitelesítő adatokat, de néha vissza is kell vonnia őket. Ebben a cikkben átnézzük a VC specifikáció Status tulajdonság részét, és közelebbről megvizsgáljuk a visszavonási folyamatot, hogy miért érdemes visszavonni a hitelesítő adatokat, valamint néhány adat- és adatvédelmi vonatkozást.

Fontos

Azure Active Directory hitelesítő adatok ellenőrizhetővé tehetők jelenleg nyilvános előzetes verzióban. Erre az előzetes verzióra nem vonatkozik szolgáltatói szerződés, és a használata nem javasolt éles számítási feladatok esetén. Előfordulhat, hogy néhány funkció nem támogatott, vagy korlátozott képességekkel rendelkezik. További információ: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.

Állapot tulajdonság az ellenőrizhető hitelesítő adatok specifikációban

Mielőtt megértjük az ellenőrizhető hitelesítő adatok visszafogyatkozásának következményeit, segíthet tudni, hogy mi az állapotellenőrzés, és hogyan működik jelenleg.

A W3C ellenőrizhető hitelesítő adatok specifikációja a 4.9-es szakasz status tulajdonságára hivatkozik:

"Ez a specifikáció a következő credentialStatus tulajdonságot határozza meg az ellenőrizhető hitelesítő adatok aktuális állapotára vonatkozó információk felderítése érdekében, például hogy fel van-e függesztve vagy visszavonva."

A W3C specifikációja azonban nem határozza meg az állapotellenőrzés formában való megvalósításakor.

"Az állapotsémák adatmodellének, formátumának és protokolljainak meghatározása nem tartozik ennek a specifikációnak a hatóköréhez. Létezik egy ellenőrizhető hitelesítőadat-bővítmény beállításjegyzéke [VC-EXTENSION-REGISTRY], amely elérhető állapotsémát tartalmaz a hitelesítő adatok ellenőrizhető állapotának ellenőrzését megvalósító végrehajtók számára."

Megjegyzés

A Microsoft állapotellenőrzési implementációja jelenleg saját fejlesztésű, de aktívan dolgozunk a DID-közösséggel a szabványhoz való igazodáson.

Hogyan működik az állapottulajdonság?

Minden, a Microsoft által kiadott ellenőrizhető hitelesítő adat tartalmaz egy credentialStatus nevű attribútumot. Ez egy állapot API-val van feltöltve, amely a Microsoft által az Ön nevében van kezelve. Példa arra, hogyan néz ki.

    "credentialStatus": {
      "id": "https://portableidentitycards.azure-api.net/v1.0/7952032d-d1f3-4c65-993f-1112dab7e191/portableIdentities/card/status",
      "type": "PortableIdentityCardServiceCredentialStatus2020"
    }

A nyílt forráskódú Ellenőrizhető hitelesítő adatok SDK kezeli az állapot API hívását és a szükséges adatok megadását.

Az API hívása és a megfelelő információk megszabadozása után az API igaz vagy hamis értéket ad vissza. Igaz: az ellenőrizhető hitelesítő adatok továbbra is aktívak a Kiállítóval, az ellenőrizhető hitelesítő adatok hamis jelzését pedig a Kiállító aktívan visszavonta.

Miért érdemes lehet visszavonni egy VC-t?

Minden ügyfélnek megvan a maga egyedi oka, hogy vissza szeretné vonni az ellenőrizhető hitelesítő adatokat, de itt van néhány gyakori téma, amit eddig hallhattunk.

  • Tanulóazonosító: a tanuló már nem aktív hallgató az egyetemnél.
  • Alkalmazott azonosítója: az alkalmazott már nem aktív alkalmazott.
  • State Drivers License (Állapotillesztői licenc): a illesztő már nem ebben az állapotban él.

Ellenőrizhető hitelesítő adatok beállítása visszavonási képességgel

A rendszer alapértelmezés szerint nem tárolja az összes ellenőrizhető hitelesítő adatot a Microsoftnál. Ezért nem áll rendelkezésre olyan adat, amely alapján vissza lehet vonni egy adott ellenőrizhető hitelesítőadat-azonosítót. A kiállítónak meg kell adnia egy adott mezőt a Microsoft ellenőrizhető hitelesítőadat-attribútumában az indexeléshez, majd a salt és a kivonat megadásához.

Megjegyzés

A kivonatolás egy olyan kriptográfiai művelet, amely a bemenetet egy néven váltja fel, és rögzített hosszúságú preimage kivonatnak nevezett kimenetet hoz létre. A kivonatművelet megfordítása jelenleg számítási szempontból nem megvalósítható.

Meg lehet mondani a Microsoftnak, hogy az ellenőrizhető hitelesítő adatok melyik attribútumát szeretné indexelni. Az indexelésnek az az akadálya, hogy az indexelt értékekkel ellenőrizhető hitelesítő adatok között kereshet a visszavonni kívánt virtuális gépeken.

Példa: Alice egy Woodgrove-alkalmazott. Alice elhagyta a Woodgrove-ot, hogy a Contosónál dolgozzon. Jane, a Woodgrove rendszergazdája Alice e-mail-címét keresi az Ellenőrizhető hitelesítő adatok visszavonása keresési lekérdezésben. Ebben a példában Jane indexelte a Woodgrove által ellenőrzött alkalmazotti hitelesítő adatok e-mail-mezőjét.

Az alábbiakban egy példát láthat arra, hogyan módosítja a Szabályfájlt úgy, hogy tartalmazza az indexet.

{
  "attestations": {
    "idTokens": [
      { 
        "mapping": {
          "Name": { "claim": "name" },
          "email": { "claim": "email", "indexed": true}
        },
        "configuration": "https://login.microsoftonline.com/tenant-id-here7/v2.0/.well-known/openid-configuration",
        "client_id": "c0d6b785-7a08-494e-8f63-c30744c3be2f",
        "redirect_uri": "vcclient://openid"
      }
    ]
  },
  "validityInterval": 25920000,
  "vc": {
    "type": ["WoodgroveEmployee"]
  }
}

Megjegyzés

Egy szabályfájlból csak egy attribútum indexelhet.

Hogyan hitelesítő adatok visszavonása

Miután beállított egy index jogcímet, és ellenőrizhető hitelesítő adatokat adott ki a felhasználóknak, ideje megnézni, hogyan vonhatja vissza az ellenőrizhető hitelesítő adatokat a VC panelen.

  1. Nyissa meg a hitelesítő adatok ellenőrizhető paneljét a Azure Active Directory.

  2. Válassza ki azt az ellenőrizhető hitelesítő adatokat, ahol korábban beállította az index jogcímét, és ellenőrizhető hitelesítő adatokat adott ki egy felhasználónak. =

  3. A bal oldali menüben válassza a Hitelesítő adatok visszavonása  Hitelesítő adatok visszavonása lehetőséget.

  4. Keresse meg a visszavonni kívánt felhasználó indexattribútumát.

    A visszavonni szükséges hitelesítő adatok megkeresését

    Megjegyzés

    Mivel csak az indexelt jogcím kivonatát tároljuk az ellenőrizhető hitelesítő adatokból, csak a pontos egyezések töltik fel a keresési eredményeket. A bemenetet a rendszergazda által keresettként használjuk, és ugyanazt a kivonatolási algoritmust használjuk, hogy lássuk, van-e kivonat egyezés az adatbázisban.

  5. Ha talált egyezést, válassza a Visszavonás lehetőséget a visszavonni kívánt hitelesítő adatoktól jobbra.

    Figyelmeztetés arról, hogy a felhasználó visszavonása után is rendelkezik a hitelesítő adatokkal

  6. A sikeres visszavonás után megjelenik az állapotfrissítés, és egy zöld szalagcím jelenik meg az oldal tetején. A tartomány ellenőrzése a beállításokban

Mostantól, amikor egy függő fél az adott ellenőrizhető hitelesítő adat állapotának ellenőrzésére hív, a Microsoft bérlő nevében működő állapot API-ja "false" (hamis) választ ad vissza.

Következő lépések

Tesztelje a funkciókat saját maga egy teszt hitelesítő adatokkal, hogy használva használjuk a folyamatot. Oktatóanyagainkból megtudhatja, hogyan konfigurálhatja a bérlőt ellenőrizhető hitelesítő adatok kiállítására.