Återkalla tidigare utfärdade verifierbara autentiseringsuppgifter (förhandsversion)

Som en del av processen med att arbeta med verifierbara autentiseringsuppgifter (VM) behöver du inte bara utfärda autentiseringsuppgifter, utan ibland måste du också återkalla dem. I den här artikeln går vi igenom egenskapen Status i VC-specifikationen och tar en närmare titt på återkallningsprocessen, varför vi kanske vill återkalla autentiseringsuppgifter och vissa data- och sekretesskonsekvenser.

Viktigt

Azure Active Directory verifierbara autentiseringsuppgifter är för närvarande i offentlig förhandsversion. Den här förhandsversionen tillhandahålls utan serviceavtal och rekommenderas inte för produktionsarbetsbelastningar. Vissa funktioner kanske inte stöds eller kan vara begränsade. Mer information finns i Kompletterande villkor för användning av Microsoft Azure-förhandsversioner.

Statusegenskap i specifikationen för verifierbara autentiseringsuppgifter

Innan vi kan förstå konsekvenserna av att återkalla en verifierbar autentiseringsstatus kan det hjälpa att veta vad statuskontrollen är och hur den fungerar i dag.

Specifikation för W3C-verifierbara autentiseringsuppgifter refererar till statusegenskapen i avsnitt 4.9:

"Den här specifikationen definierar följande credentialStatus-egenskap för identifiering av information om den aktuella statusen för en verifierbar autentiseringsstatus, till exempel om den pausas eller återkallas."

W3C-specifikationen definierar dock inte ett format för hur statuskontroll ska implementeras.

"Definition av datamodell, format och protokoll för statusscheman ligger utanför omfånget för den här specifikationen. Det finns ett verifierbart tilläggsregister för autentiseringsuppgifter [VC-EXTENSION-REGISTRY] som innehåller tillgängliga statusscheman för implementerare som vill implementera kontroller av verifierbar status för autentiseringsuppgifter."

Anteckning

För tillfället är Microsofts implementering av statuskontroll upphovsrättsskyddad, men vi arbetar aktivt med DID-communityn för att anpassa sig till en standard.

Hur fungerar statusegenskapen?

I varje Microsoft-utfärdat verifierbara autentiseringsuppgifter finns det ett attribut som kallas credentialStatus. Den fylls i med ett status-API som Microsoft hanterar åt dig. Här är ett exempel på hur det ser ut.

    "credentialStatus": {
      "id": "https://portableidentitycards.azure-api.net/v1.0/7952032d-d1f3-4c65-993f-1112dab7e191/portableIdentities/card/status",
      "type": "PortableIdentityCardServiceCredentialStatus2020"
    }

SDK:n för verifierbara autentiseringsuppgifter med öppen källkod hanterar anrop till status-API:et och tillhandahåller nödvändiga data.

När API:et har anropats och angett rätt information returnerar API:et antingen True eller False. Sant är att de verifierbara autentiseringssuppgifter fortfarande är aktiva med Utfärdaren och Falskt som visar att de verifierbara autentiseringssuppgifter aktivt har återkallats av utfärdaren.

Varför kanske du vill återkalla en VC?

Varje kund har sina egna unika skäl till att vilja återkalla en verifierbar autentisering, men här är några av de vanliga teman som vi har hört hittills.

  • Student-ID: Eleven är inte längre aktiv student på universitetet.
  • Medarbetar-ID: Medarbetaren är inte längre en aktiv medarbetare.
  • Licens för tillståndsdrivrutiner: Drivrutinen bor inte längre i det tillståndet.

Så här ställer du in en verifierbar autentiseringsidentifiering med möjlighet att återkalla

Alla verifierbara autentiseringsdata lagras inte med Microsoft som standard. Därför har vi inga data att referera till för att återkalla ett specifikt verifierbart autentiserings-ID. Utfärdaren måste ange ett specifikt fält från det verifierbara autentiseringsattributet för att Microsoft ska kunna indexera och därefter salt och hash.

Anteckning

Hashing är en envägs kryptografisk åtgärd som aktiverar en indata, som kallas för , och genererar utdata som kallas preimage en hash som har en fast längd. Det är inte beräkningsmässigt möjligt just nu att ångra en hash-åtgärd.

Du kan ange för Microsoft vilket attribut för de verifierbara autentiseringsuppgifter som du vill indexera. Konsekvenserna av indexering är att indexerade värden kan användas för att söka igenom dina verifierbara autentiseringsuppgifter för de virtuella datorer som du vill återkalla.

Exempel: Alice är woodgrove-anställd. Alice lämnade Woodgrove för att arbeta på Contoso. Jane, IT-administratören för Woodgrove, söker efter Alices e-post i sökfrågan Återkalla verifierbara autentiseringsuppgifter. I det här exemplet indexerade Jane e-postfältet för autentiseringssuppgifter för den Woodgrove-verifierade medarbetaren.

Nedan visas ett exempel på hur regelfilen ändras för att inkludera indexet.

{
  "attestations": {
    "idTokens": [
      { 
        "mapping": {
          "Name": { "claim": "name" },
          "email": { "claim": "email", "indexed": true}
        },
        "configuration": "https://login.microsoftonline.com/tenant-id-here7/v2.0/.well-known/openid-configuration",
        "client_id": "c0d6b785-7a08-494e-8f63-c30744c3be2f",
        "redirect_uri": "vcclient://openid"
      }
    ]
  },
  "validityInterval": 25920000,
  "vc": {
    "type": ["WoodgroveEmployee"]
  }
}

Anteckning

Endast ett attribut kan indexeras från en regelfil.

Hur gör jag för att återkalla en verifierbar autentiserings

När ett indexanspråk har angetts och verifierbara autentiseringsuppgifter har utfärdats till användarna är det dags att se hur du kan återkalla en verifierbar autentiseringsuppgifterna på VC-bladet.

  1. Gå till bladet med verifierbara autentiseringsuppgifter i Azure Active Directory.

  2. Välj de verifierbara autentiseringsuppgifter där du tidigare har ställt in indexanspråk och utfärdat en verifierbar autentiseringsidentifiering till en användare. =

  3. På den vänstra menyn väljer du Återkalla en autentiseringsidentifiering  Återkalla en autentiseringsidentifiering

  4. Sök efter indexattributet för den användare som du vill återkalla.

    Hitta de autentiseringsuppgifter som ska återkallas

    Anteckning

    Eftersom vi bara lagrar ett hash-värde för det indexerade anspråket från de verifierbara autentiseringsposterna fyller endast en exakt matchning i sökresultaten. Vi tar indata som genomsökts av IT-administratören och använder samma hash-algoritm för att se om vi har en hash-matchning i databasen.

  5. När du har hittat en matchning väljer du alternativet Återkalla till höger om de autentiseringsuppgifter som du vill återkalla.

    En varning som visar att användaren fortfarande har autentiseringssuppgifter efter återkallelsen

  6. Efter en lyckad återkallning visas statusuppdateringen och en grön banderoll visas överst på sidan. Verifiera den här domänen i inställningarna

När en förlitande part anropar för att kontrollera statusen för dessa specifika verifierbara autentiseringsuppgifter returnerar Microsofts status-API, som agerar för klientens räkning, ett "falskt"-svar.

Nästa steg

Testa funktionerna på egen hand med en test-autentiseringsfunktion för att komma igång med flödet. Du kan se information om hur du konfigurerar din klientorganisation för att utfärda verifierbara autentiseringsuppgifter i våra självstudier.