Een eerder uitgegeven verifieer bare referentie intrekken (preview-versie)Revoke a previously issued verifiable credential (Preview)

Als onderdeel van het proces van het werken met Controleer bare referenties (VCs) hoeft u niet alleen referenties te verlenen, maar soms moet u ze ook intrekken.As part of the process of working with verifiable credentials (VCs), you not only have to issue credentials, but sometimes you also have to revoke them. In dit artikel gaan we verder met de eigenschap status van de VC-specificatie. het is een goed idee om het intrekkings proces uit te voeren, waarom we referenties en enkele gevolgen voor gegevens en privacy kunnen intrekken.In this article we go over the Status property part of the VC specification and take a closer look at the revocation process, why we may want to revoke credentials and some data and privacy implications.

Belangrijk

Azure Active Directory Controleer bare referenties bevindt zich momenteel in de publieke preview.Azure Active Directory Verifiable Credentials is currently in public preview. Deze preview-versie wordt aangeboden zonder service level agreement en wordt niet aanbevolen voor productieworkloads.This preview version is provided without a service level agreement, and it's not recommended for production workloads. Misschien worden bepaalde functies niet ondersteund of zijn de mogelijkheden ervan beperkt.Certain features might not be supported or might have constrained capabilities. Zie Supplemental Terms of Use for Microsoft Azure Previews (Aanvullende gebruiksvoorwaarden voor Microsoft Azure-previews) voor meer informatie.For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

De eigenschap status in de specificatie verifieer bare referentiesStatus property in verifiable credentials specification

Voordat we de implicaties van het intrekken van een verifieer bare referentie kunnen begrijpen, kan het helpen om te weten wat de status controle is en hoe deze vandaag werkt.Before we can understand the implications of revoking a verifiable credential, it may help to know what the status check is and how it works today.

De specificatie van de W3C-controle bare referenties verwijst naar de eigenschap status in sectie 4,9:The W3C Verifiable Credentials spec references the status property in section 4.9:

"Met deze specificatie definieert u de volgende credentialStatus -eigenschap voor de detectie van informatie over de huidige status van een verifieer bare referentie, zoals of deze is opgeschort of ingetrokken.""This specification defines the following credentialStatus property for the discovery of information about the current status of a verifiable credential, such as whether it is suspended or revoked."

De W3C-specificatie definieert echter geen indeling voor de manier waarop de status controle moet worden geïmplementeerd.However, the W3C specification does not define a format on how status check should be implemented.

Het definiëren van het gegevens model, de indelingen en de protocollen voor de status schema's valt buiten het bereik van deze specificatie."Defining the data model, formats, and protocols for status schemes are out of scope for this specification. Er is een verifieerbaar REGI ster voor referentie-uitbrei ding [VC-EXTENSION-REGISTRY] aanwezig dat beschik bare status schema's bevat voor implementaties die de status controle van de geverifieerde referenties willen implementeren. "A Verifiable Credential Extension Registry [VC-EXTENSION-REGISTRY] exists that contains available status schemes for implementers who want to implement verifiable credential status checking."

Notitie

Voor nu is de implementatie van de status controle van micro soft van toepassing, maar we werken actief samen met de gegroepeerde Community om op basis van een Standard uit te lijnen.For now, Microsoft's status check implementation is proprietary but we are actively working with the DID community to align on a standard.

Hoe werkt de eigenschap status ?How does the status property work?

In elke door micro soft uitgegeven geverifieerde referentie is er een kenmerk met de naam credentialStatus.In every Microsoft issued verifiable credential, there is an attribute called credentialStatus. Het wordt ingevuld met een status-API die door micro soft namens u wordt beheerd.It's populated with a status API that Microsoft manages on your behalf. Hier volgt een voor beeld van hoe het eruit ziet.Here is an example of what it looks like.

    "credentialStatus": {
      "id": "https://portableidentitycards.azure-api.net/v1.0/7952032d-d1f3-4c65-993f-1112dab7e191/portableIdentities/card/status",
      "type": "PortableIdentityCardServiceCredentialStatus2020"
    }

De geverifieerde open source-referenties SDK verwerkt de status-API en levert de benodigde gegevens.The open source Verifiable Credentials SDK handles calling the status API and providing the necessary data.

Zodra de API is aangeroepen en de juiste informatie heeft verstrekt, retourneert de API de waarde True of false.Once the API is called and provided the right information, the API will return either a True or False. Waar is de verifieer bare referentie nog steeds actief met de verlener en ONWAAR, wat aangeeft dat de Controleer bare referentie actief is door de certificaat verlener.True being the verifiable credential is still active with the Issuer and False signifying the verifiable credential has been actively revoked by the Issuer.

Waarom zou u een VC wilt intrekken?Why you may want to revoke a VC?

Elke klant heeft hun eigen unieke reden voor het intrekken van een verifieer bare referentie, maar hier volgen enkele van de algemene Thema's die we tot nu toe hebben gehoord.Each customer will have their own unique reason's for wanting to revoke a verifiable credential, but here are some of the common themes we have heard thus far.

  • Student-ID: de student is niet langer een actieve student bij de Universiteit.Student ID: the student is no longer an active student at the University.
  • Werk nemer-ID: de werk nemer is niet langer een actieve werk nemer.Employee ID: the employee is no longer an active employee.
  • Status Stuur Programma's licentie: het stuur programma is niet meer in die staat.State Drivers License: the driver no longer lives in that state.

Een verifieer bare referentie instellen met de mogelijkheid om in te trekkenHow to set up a verifiable credential with the ability to revoke

Alle verifieer bare referentie gegevens worden standaard niet met micro soft opgeslagen.All verifiable credential data is not stored with Microsoft by default. Daarom hebben we geen gegevens waarnaar kan worden verwezen om een specifieke Controleer bare referentie-ID in te trekken.Therefore, we do not have any data to reference to revoke a specific verifiable credential ID. De uitgever moet een specifiek veld opgeven van het kenmerk verifieerbaar referentie punt voor micro soft om te indexeren en vervolgens zout en hash.The issuer needs to specify a specific field from the verifiable credential attribute for Microsoft to index and subsequently salt and hash.

Notitie

Hashing is een eenrichtings cryptografische bewerking die een invoer maakt, een ' een ' genoemd preimage , en een uitvoer produceert die een hash met een vaste lengte heeft.Hashing is a one way cryptographic operation that turns an input, called a preimage, and produces an output called a hash that has a fixed length. Het kan op dit moment niet worden verrekend om een hash-bewerking om te keren.It is not computationally feasible at this time to reverse a hash operation.

U kunt micro soft vertellen welk kenmerk van de verifieer bare referentie u wilt indexeren.You can tell Microsoft which attribute of the verifiable credential you would like to index. De implicatie van indexeren is dat geïndexeerde waarden kunnen worden gebruikt om te zoeken naar uw verifieer bare referenties voor de VCs die u wilt intrekken.The implication of indexing is that indexed values may be used to search your verifiable credentials for the VCs you want to revoke.

Voor beeld: Alice is een werk nemer van Woodgrove.Example: Alice is a Woodgrove employee. Anja links Woodgrove om te werken bij contoso.Alice left Woodgrove to work at Contoso. Jeroen, de IT-beheerder van Woodgrove, zoekt naar het e-mail bericht van Alice in de zoek query ingetrokken referenties intrekken.Jane, the IT admin for Woodgrove, searches for Alice's email in the Verifiable Credentials Revoke search query. In dit voor beeld heeft Jeroen het veld e-mail van de geverifieerde werknemers referentie van Woodgrove geïndexeerd.In this example, Jane, indexed the email field of the Woodgrove verified employee credential.

Hieronder vindt u een voor beeld van hoe het regel bestand is gewijzigd om de index op te geven.See below for an example of how the Rules file is modified to include the index.

{
  "attestations": {
    "idTokens": [
      { 
        "mapping": {
          "Name": { "claim": "name" },
          "email": { "claim": "email", "indexed": true}
        },
        "configuration": "https://login.microsoftonline.com/tenant-id-here7/v2.0/.well-known/openid-configuration",
        "client_id": "c0d6b785-7a08-494e-8f63-c30744c3be2f",
        "redirect_uri": "vcclient://openid"
      }
    ]
  },
  "validityInterval": 25920000,
  "vc": {
    "type": ["WoodgroveEmployee"]
  }
}

Notitie

Er kan slechts één kenmerk worden geïndexeerd vanuit een regel bestand.Only one attribute can be indexed from a Rules file.

Een verifieer bare referentie Hoe kan ik intrekkenHow do I revoke a verifiable credential

Zodra een index claim is ingesteld en er verifieer bare referenties aan uw gebruikers zijn uitgegeven, is het tijd om te zien hoe u een Controleer bare referentie kunt intrekken op de VC-Blade.Once an index claim has been set and verifiable credentials have been issued to your users, it's time to see how you can revoke a verifiable credential in the VC blade.

  1. Navigeer naar de Blade verifieer bare referenties in Azure Active Directory.Navigate to the verifiable credentials blade in Azure Active Directory.

  2. Kies de verifieer bare referentie waarvoor u de index claim eerder hebt ingesteld en een verifieer bare referentie naar een gebruiker hebt uitgegeven.Choose the verifiable credential where you've previously set up the index claim and issued a verifiable credential to a user. =

  3. Kies in het menu links een referentie intrekken een  referentie intrekkenOn the left-hand menu, choose Revoke a credential Revoke a credential

  4. Zoek naar het index kenmerk van de gebruiker die u wilt intrekken.Search for the index attribute of the user you want to revoke.

    De referentie zoeken die u wilt intrekken

    Notitie

    Omdat er alleen een hash van de geïndexeerde claim van de verifieer bare referentie wordt opgeslagen, worden met alleen een exacte overeenkomst de zoek resultaten gevuld.Since we are only storing a hash of the indexed claim from the verifiable credential, only an exact match will populate the search results. De invoer wordt door de IT-beheerder doorzocht en we gebruiken hetzelfde hash-algoritme om te zien of er een hash-overeenkomst in de data base is.We take the input as searched by the IT Admin and we use the same hashing algorithm to see if we have a hash match in our database.

  5. Zodra u een overeenkomst hebt gevonden, selecteert u de optie intrekken rechts van de referentie die u wilt intrekken.Once you've found a match, select the Revoke option to the right of the credential you want to revoke.

    Een waarschuwing dat u weet dat na het intrekken van de gebruiker nog steeds de referentie

  6. Nadat het intrekken is voltooid, ziet u de status update en verschijnt een groene banner boven aan de pagina.After successful revocation you see the status update and a green banner will appear at the top of the page. Dit domein controleren in instellingenVerify this domain in settings

Telkens wanneer een Relying Party aanroept om de status van deze specifieke verifieer bare referentie te controleren, retourneert de status-API van micro soft namens de Tenant een ' onwaar ' antwoord.Now whenever a relying party calls to check the status of this specific verifiable credential, Microsoft's status API, acting on behalf of the tenant, returns a 'false' response.

Volgende stappenNext steps

Test de functionaliteit zelf met een test referentie om te gebruiken voor de stroom.Test out the functionality on your own with a test credential to get used to the flow. Bekijk onze zelf studiesvoor informatie over het configureren van uw Tenant om verifieer bare referenties te verlenen.You can see information on how to configure your tenant to issue verifiable credentials by reviewing our tutorials.