Sdílet prostřednictvím


Kurz konfigurace Onfido pomocí Azure Active Directory B2C

V tomto kurzu se dozvíte, jak integrovat Azure Active Directory B2C (Azure AD B2C) s onfido, což je ID dokumentu a aplikace pro ověření biometriky obličeje. Použijte ho ke splnění požadavků Na informace o zákazníkovi a identitě. Onfido používá technologii umělé inteligence (AI), která ověřuje identitu tím, že porovnává id fotografie s biometrikou obličeje. Řešení propojuje digitální identitu s osobou, poskytuje spolehlivé prostředí pro onboarding a pomáhá omezit podvody.

V tomto kurzu povolíte službě Onfido ověření identity v toku registrace nebo přihlášení. Výsledky onfido informují o rozhodnutích o tom, ke kterým produktům nebo službám uživatel přistupuje.

Požadavky

Abyste mohli začít, budete potřebovat:

Popis scénáře

Integrace Onfido zahrnuje následující komponenty:

  • Azure AD tenant B2C – autorizační server, který ověřuje přihlašovací údaje uživatele na základě vlastních zásad definovaných v tenantovi. Označuje se také jako zprostředkovatel identity (IdP). Hostuje klientskou aplikaci Onfido, která shromažďuje uživatelské dokumenty a přenáší je do služby onfido API.
  • Klient Onfido – konfigurovatelný nástroj pro shromažďování dokumentů javascriptového klienta nasazený na webových stránkách. Kontroluje podrobnosti, jako je velikost a kvalita dokumentu.
  • Zprostředkující rozhraní REST API – poskytuje koncové body pro tenanta Azure AD B2C pro komunikaci se službou rozhraní API Onfido. Zpracovává data a splňuje požadavky na zabezpečení obou.
  • Onfido API service – back-endová služba, která ukládá a ověřuje dokumenty uživatelů.

Následující diagram architektury znázorňuje implementaci.

Diagram architektury onfido

  1. Uživatel se zaregistruje a vytvoří nový účet a zadá atributy. Azure AD B2C shromažďuje atributy. Klientská aplikace Onfido hostovaná v Azure AD B2C kontroluje informace o uživateli.
  2. Azure AD B2C zavolá rozhraní API střední vrstvy a předá atributy.
  3. Rozhraní API střední vrstvy shromažďuje atributy a převádí je do formátu rozhraní ONFIDO API.
  4. Onfido zpracovává atributy k ověření identifikace uživatelů a odesílá výsledek do rozhraní API střední vrstvy.
  5. Rozhraní API střední vrstvy zpracovává výsledky a odesílá relevantní informace do Azure AD B2C ve formátu JSON (JavaScript Object Notation).
  6. Azure AD B2C obdrží informace. Pokud odpověď selže, zobrazí se chybová zpráva. Pokud odpověď proběhne úspěšně, uživatel se ověří a zapíše do adresáře.

Vytvoření účtu Onfido

  1. Vytvoření účtu Onfido: Přejděte na onfido.com Kontaktujte nás a vyplňte formulář.
  2. Vytvoření klíče rozhraní API: Přejděte na Začínáme (ROZHRANÍ API verze 3.5).

Poznámka

Klíč budete potřebovat později.

Dokumentace k onfido

Živé klíče se dají fakturovat, ale k testování můžete použít klíče sandboxu. Přejděte na onfido.com pro sandbox a živé rozdíly. Klíče sandboxu vytvářejí stejnou strukturu výsledků jako živé klíče, ale výsledky jsou předem určené. Dokumenty se nezpracují ani neukládají.

Další dokumentaci k onfido najdete tady:

Konfigurace Azure AD B2C pomocí Onfido

Nasazení rozhraní API

  1. Nasaďte kód rozhraní API do služby Azure. Přejděte na samples/OnFido-Combined/API/Onfido.Api/. Kód můžete publikovat ze sady Visual Studio.
  2. Nastavení sdílení prostředků mezi zdroji (CORS)
  3. Přidejte povolený původ jako https://{your_tenant_name}.b2clogin.com.

Poznámka

Ke konfiguraci ID Microsoft Entra budete potřebovat adresu URL nasazené služby.

Přidání citlivých nastavení konfigurace

Nakonfigurujte nastavení aplikace ve službě Aplikace Azure, aniž byste je museli kontrolovat v úložišti.

Nastavení rozhraní REST API:

  • Název nastavení aplikace: OnfidoSettings:AuthToken
  • Zdroj: Účet Onfido

Nasazení uživatelského rozhraní

Konfigurace umístění úložiště

  1. V Azure Portal vytvořte kontejner.
  2. Soubory uživatelského rozhraní uložte do složky /samples/OnFido-Combined/UI v kontejneru objektů blob.
  3. Povolit přístup CORS ke kontejneru úložiště, který jste vytvořili: Přejděte na Nastavení>Povolený původ.
  4. Zadejte https://{your_tenant_name}.b2clogin.com.
  5. Název tenanta nahraďte názvem tenanta Azure AD B2C a použijte malá písmena. Například, https://fabrikam.b2clogin.com.
  6. V části Povolené metody vyberte GET a PUT.
  7. Vyberte Uložit.

Aktualizace souborů uživatelského rozhraní

  1. V souborech uživatelského rozhraní přejděte na samples/OnFido-Combined/UI/ocean_blue.
  2. Otevřete každý soubor HTML.
  3. Vyhledejte {your-ui-blob-container-url}a nahraďte ho adresami URL složek ocean_blue, dist a assets uživatelského rozhraní.
  4. Vyhledejte {your-intermediate-api-url}a nahraďte ji zprostředkující adresou URL služby API App Service.

Nahrání souborů

  1. Uložte soubory složek uživatelského rozhraní do kontejneru objektů blob.
  2. Ke správě spravovaných disků Azure a přístupových oprávnění použijte Průzkumník služby Azure Storage.

Konfigurace Azure AD B2C

Nahrazení konfiguračních hodnot

V souboru /samples/OnFido-Combined/Policies vyhledejte následující zástupné symboly a nahraďte je odpovídajícími hodnotami z vaší instance.

Zástupný symbol Nahradit hodnotou Příklad
{your_tenant_name} Krátký název vašeho tenanta "váš tenant" z yourtenant.onmicrosoft.com
{your_tenantID} Id tenanta Azure AD B2C 01234567-89ab-cdef-0123-456789abcdef
{your_tenant_IdentityExperienceFramework_appid} Id aplikace IdentityExperienceFramework nakonfigurované ve vašem tenantovi Azure AD B2C 01234567-89ab-cdef-0123-456789abcdef
{your_tenant_ ProxyIdentityExperienceFramework_appid} ProxyIdentityExperienceFramework ID aplikace nakonfigurované ve vašem tenantovi Azure AD B2C 01234567-89ab-cdef-0123-456789abcdef
{your_tenant_extensions_appid} ID aplikace úložiště vašeho tenanta 01234567-89ab-cdef-0123-456789abcdef
{your_tenant_extensions_app_objectid} ID objektu aplikace úložiště vašeho tenanta 01234567-89ab-cdef-0123-456789abcdef
{your_app_insights_instrumentation_key} Instrumentační klíč instance App Insights* 01234567-89ab-cdef-0123-456789abcdef
{your_ui_file_base_url} Adresa URL umístění složek uživatelského rozhraní ocean_blue, dist a assets https://yourstorage.blob.core.windows.net/UI/
{your_app_service_URL} Adresa URL služby App Service, kterou nastavíte https://yourapp.azurewebsites.net

*App Insights může být v jiném tenantovi. Tento krok je volitelný. Odeberte odpovídající technicalprofiles a OrchestrationSteps, pokud nejsou potřeba.

Konfigurace zásad Azure AD B2C

Pokyny k nastavení tenanta Azure AD B2C a konfiguraci zásad najdete v tématu Úvodní balíček vlastních zásad. Vlastní zásady jsou sada souborů XML, které nahrajete do tenanta Azure AD B2C za účelem definování technických profilů a cest uživatelů.

Poznámka

Na stránku kolekce atributů doporučujeme přidat oznámení o souhlasu. Upozorněte uživatele, že informace odchází do služeb třetích stran za účelem ověření identity.

Testování toku uživatele

  1. Otevřete tenanta Azure AD B2C.
  2. V části Zásady vyberte Architektura prostředí identit.
  3. Vyberte dříve vytvořený signUpSignIn.
  4. Vyberte Spustit tok uživatele.
  5. V části Aplikace vyberte zaregistrovanou aplikaci (například JWT).
  6. Jako Adresa URL odpovědi vyberte adresu URL pro přesměrování.
  7. Vyberte Spustit tok uživatele.
  8. Dokončete postup registrace.
  9. Vytvořte účet.
  10. Při vytvoření atributu uživatele se během toku volá Onfido.

Poznámka

Pokud je tok neúplný, ověřte, že je uživatel uložený v adresáři.

Další kroky