Použití kontroly tváře s Ověřené ID Microsoft Entra a odemknutí ověření vysoké záruky ve velkém měřítku

Kontrola tváře je dodržování ochrany osobních údajů při porovnávání tváří. Umožňuje podnikům bezpečně provádět ověřování s vysokou jistotou, jednoduše a ve velkém měřítku. Kontrola tváře přidává kritickou vrstvu důvěryhodnosti tím, že provádí porovnávání tváří mezi fotkou uživatele v reálném čase a fotkou. Porovnávání tváří využívá služby Azure AI. Kontrola tváře chrání ochranu osobních údajů uživatelů tím, že sdílí jenom výsledky shody a ne žádná citlivá data identity, a zároveň umožňuje organizacím zajistit, aby osoba, která tvrdí identitu, byla skutečně jejich identitou.

Požadavky

Kontrola tváře je prémiová funkce v rámci ověřeného ID. Před ověřením kontroly tváře musíte v nastavení Ověřené ID Microsoft Entra povolit doplněk Kontrola tváře.

• Před použitím kontroly tváře se ujistěte, že je ve vašem tenantovi nastavené Ověřené ID Microsoft Entra.
• Přidružení nebo přidání předplatného Azure do tenanta Microsoft Entra ID
• Ujistěte se, že uživatel, který nastavuje kontrolu tváře, má pro předplatné Azure roli Přispěvatel.

Nastavení kontroly tváře pomocí Ověřené ID Microsoft Entra

Doplněk Pro kontrolu tváře je možné povolit dvěma způsoby z Centra pro správu Microsoft Entra nebo pomocí rozhraní REST API Azure Resource Manageru (ARM) prostřednictvím rozhraní příkazového řádku. Pokud budete používat kontrolu tváře v tenantovi s licencí Microsoft Entra Suite, je kontrola tváře povolená na úrovni tenanta a konfigurace se vztahuje na všechny autority v rámci daného tenanta. Pro všechny ostatní licence můžete povolit kontrolu tváře jednotlivě podle každé autority ve vašem tenantovi pomocí rozhraní REST API Azure Resource Manageru (ARM).

Poznámka:

Rozhraní REST API ARM pro Ověřené ID Microsoft Entra je aktuálně ve verzi Public Preview.

Nastavení kontroly tváře pomocí Ověřené ID Microsoft Entra v Centru pro správu

1. Na stránce Přehled ověřených ID se posuňte dolů do nového oddílu Doplňky a Enable doplněk Kontrola tváře.

2. V kroku Propojit předplatné vyberte předplatné, skupinu prostředků a umístění prostředku. Pak vyberte Validate. Pokud nejsou uvedená žádná předplatná, podívejte se, co když nemůžu najít předplatné?

3. Po ověření můžete Enable doplněk.

Teď můžete začít používat funkci Face Check v podnikových aplikacích.

Nastavení kontroly tváře pomocí Ověřené ID Microsoft Entra pomocí rozhraní REST API Azure Resource Manageru (ARM)

Poznámka:

Rozhraní REST API ARM pro Ověřené ID Microsoft Entra je aktuálně ve verzi Public Preview.

Pokud chcete u dané autority nastavit doplněk Kontrola tváře, musíte mít na svém počítači nástroje Azure PowerShellu. Tento mechanismus zabalí volání REST. Alternativním způsobem můžete použít rozhraní REST API AZURE Resource Manageru (ARM) PUT.

1. V PowerShellu spusťte následující příkaz.

  az login --tenant  <tenant ID>

1. Vyberte předplatné, u kterého chcete povolit fakturaci služby Face Check.

2. Spusťte následující příkaz

  az rest --method PUT --uri /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.VerifiedId/authorities/<authority-id>?api-version=2024-01-26-preview --body "{'location':'<rp-location>'}"

• nahraďte <subscription-id> svým ID předplatného.
• nahraďte <resource-group-name> názvem vaší skupiny prostředků.
• nahraďte <authority-id> ID vaší autority. Volání GET Authorities můžete získat authority-idz rozhraní API pro správu.
• nahraďte <rp-location> některou z následujících dvou hodnot:
  • Pro tenanty EU použijte northeurope
  • Pro použití mimo EU westus2

Doplněk Pro kontrolu tváře je teď ve vašem tenantovi povolený.

Začínáme se službou Face Check s využitím MyAccount

Pomocí účtu MyAccount můžete snadno začít používat funkci Face Check, která může vydávat VerifiedEmployee přihlašovací údaje a veřejnou testovací aplikaci, kterou Microsoft poskytuje. Abyste mohli začít, musíte provést následující kroky:

1. Vytvoření testovacího uživatele v tenantovi Microsoft Entra a nahrání fotky sebe sama
2. Přejděte na MyAccount, přihlaste se jako testovací uživatel a zadejte VerifiedEmployee přihlašovací údaje pro uživatele.
3. Pomocí veřejné testovací aplikace můžete své přihlašovací údaje prezentovat VerifiedEmployee pomocí kontroly tváře.

Když Microsoft Authenticator dostane žádost o prezentaci včetně kontroly tváře, po zadání přihlašovacích údajů se uživateli zobrazí výzva ke sdílení. Když uživatel vybere tuto položku, provede se skutečná kontrola tváře a uživatel pak může sdílet požadované přihlašovací údaje a skóre spolehlivosti kontroly pomocí veřejné testovací aplikace (předávající strany). Výsledky můžete zkontrolovat v aplikaci Test.

Poznámka:

MyAccount při vydávání přihlašovacích údajů VerifiedEmploye používá fotografii profilu uživatele Entra ID. Fotografii můžete načíst prostřednictvím rozhraní Microsoft Graph API https://graph.microsoft.com/v1.0/me/photos/240x240/$value

Začínáme se službou Face Check s využitím rozhraní API služby žádosti

Aplikace můžou pomocí rozhraní API služby žádosti vytvořit žádost pro uživatele, aby provedli kontrolu tváře vůči přihlašovacím VerifiedEmployee údajům, id státní správy vydané státem nebo vlastní digitální přihlašovací údaje s důvěryhodnou fotkou. Služba helpdesku může například požádat o kontrolu tváře proti přihlašovacím VerifiedEmployee údajům, aby ověřila identitu rychle a bezpečně, aby umožňovala širokou škálu samoobslužných scénářů, včetně aktivace klíče nebo resetování hesla. Aby se snížilo riziko dodržování předpisů, aplikace získají skóre spolehlivosti pro shodu s fotkou z požadovaných přihlašovacích údajů, aniž by získaly přístup k datům o živém stavu.

Vydání přihlašovacích údajů ověřeného ID s fotkou

Vlastní typy přihlašovacích údajů používající tok ověření identity idTokenHint můžou také vydat přihlašovací údaje ověřeného ID obsahující fotku. Definice přihlašovacích údajů musí mít definici zobrazení a pravidel pro deklaraci identity fotky.

Definice zobrazení deklarace identity fotky by měla mít nastavený image/jpg;base64url typ, aby microsoft Authenticator pochopil, že by se měla vykreslit jako fotka správně.

{ 
  "claim": "vc.credentialSubject.photo", 
  "label": "User picture", 
  "type": "image/jpg;base64url" 
} 

Při nastavování skutečné hodnoty deklarace fotografie by měla být ve formátu UrlEncode(Base64Encode(JPEG image)).

{ 
  "outputClaim": "photo", 
  "required": false, 
  "inputClaim": "photo", 
  "indexed": false 
} 

Poznámka:

Při vydávání vlastních přihlašovacích údajů s fotkou je zodpovědností aplikací poskytnout jpeg, který se má použít a zakódovat.

Žádosti o prezentaci včetně kontroly tváře

Datová část JSON do rozhraní API služby žádosti o vytvoření žádosti o prezentaci musí určit, že se má provést kontrola tváře. Deklarace identity obsahující fotografii musí být pojmenována a volitelně můžete zadat prahovou hodnotu spolehlivosti jako celé číslo v rozmezí od 50 do 100. Výchozí hodnota je 70.

// POST https://verifiedid.did.msidentity.com/v1.0/verifiableCredentials/createPresentationRequest
...
  "requestedCredentials": [
    {
      "type": "VerifiedEmployee",
      "acceptedIssuers": [ "did:web:yourdomain.com" ],
      "configuration": {
        "validation": {
          "allowRevoked": false,
          "validateLinkedDomain": true,
          "faceCheck": {
            "sourcePhotoClaimName": "photo",
            "matchConfidenceThreshold": 70
          }
        }

Úspěšná kontrola tváře presentation_verified události zpětného volání

Datová část JSON pro data presentation_verified obsahuje více dat, když byla kontrola tváře úspěšná během prezentace ověřených přihlašovacích údajů ID. Přidá se oddíl faceCheck, který obsahuje matchConfidenceScore. Mějte na paměti, že není možné požádat a přijmout potvrzení o prezentaci, pokud požadavek zahrnuje faceCheck.

  "verifiedCredentialsData": [ 
    { 
      "issuer": "did:web:yourdomain.com", 
      "type": [ "VerifiableCredential", "VerifiedEmployee" ], 
      "claims": { 
        ... 
      }, 
      ... 
      "faceCheck": { 
        "matchConfidenceScore": 86.314159,
        "sourcePhotoQuality": "HIGH"
      } 
    } 
  ], 

Neúspěšná událost zpětného volání kontroly tváře

Pokud je skóre spolehlivosti nižší než prahová hodnota, požadavek na prezentaci se nezdaří a presentation_error vrátí se. Vrácené skóre nedostane aplikace pro ověření.

{ 
  "requestId": "...", 
  "requestStatus": "presentation_error", 
  "state": "...", 
  "error": { 
    "code": "claimValidationError", 
    "message": "Match confidence score failing to meet the threshold." 
  } 
} 

Authenticator zobrazí chybovou zprávu informující uživatele, že skóre spolehlivosti nesplní prahovou hodnotu.

Nejčastější dotazy ke kontrole tváře pomocí Ověřené ID Microsoft Entra

Co je kontrola tváře?

Kontrola tváře s Ověřené ID Microsoft Entra je prémiová funkce v rámci ověřeného ID používaného k dodržování ochrany osobních údajů při porovnávání tváří. Umožňuje podnikům bezpečně provádět ověřování s vysokou jistotou, jednoduše a ve velkém měřítku. Kontrola tváře přidává kritickou vrstvu důvěryhodnosti tím, že provádí porovnávání tváří mezi fotkou uživatele v reálném čase a fotkou. Porovnávání tváří využívá služby Azure AI.

Jaký je rozdíl mezi rozpoznáváním tváře a FACE ID?

Face ID je nabídka biometrického zabezpečení založená na vizi na produktech Apple, která umožňuje odemknout zařízení pro přístup k mobilní aplikaci. Kontrola tváře je funkce Ověřené ID Microsoft Entra, která také používá technologii AI založenou na zpracování obrazu, ale porovnává uživatele s prezentovaným ověřeným ID. Kontrola tváře určuje identitu uživatele v široké škále online scénářů, ve kterých je vyžadován přístup s vysokou zárukou. Některé příklady, které jsou vysoce hodnotné obchodní procesy nebo přístup k citlivým firemním informacím. Oba mechanismy vyžadují, aby uživatel v procesu čelí fotoaparátu, ale fungoval různými způsoby.

Provádí se na mobilním zařízení biometrická kontrola zraku pro kontrolu tváře?

Ne. Biometrická kontrola mezi fotkou a daty o živém přenosu se provádí v cloudu pomocí rozhraní API pro rozpoznávání tváře Azure AI. Během tohoto procesu se s žádostí o ID ověřující web nesdílí zachytávání self-upu uživatele.

Co je kontrola živé tváře?

Kontrola tváře pomocí nástroje Ověřené ID Microsoft Entra pomocí kontroly živého používání rozhraní API pro rozpoznávání tváře v Azure AI k ověření, že se jedná o skutečnou osobu z fotoaparátu na zařízení uživatele. Tato kontrola pomáhá zajistit, aby se statická fotka nebo 2D video uživatele nepoužívaly místo svého živého života.

Co se stane s daty živé aktivity pořízené?

Když je fotoaparát zapnutý na mobilním zařízení, živé záběry se zaznamenávají na mobilním zařízení. Tyto záběry se pak předávají ověřenému ID, které ho používá k vyvolání služeb služeb Azure AI.

Data se neukládají ani neukládají žádnou ze služeb Microsoft Authenticator, Ověřené ID ani Azure AI. Záběry se navíc nesdílejí s ověřitelní aplikací. Ověřitel aplikace získá pouze skóre spolehlivosti při vrácení. V systému založeném na umělé inteligenci je skóre spolehlivosti odpovědí na procento pravděpodobnosti pro dotaz do systému. V tomto scénáři je skóre spolehlivosti pravděpodobnost, že fotografie ověřeného uživatele ID odpovídá zachycení uživatele na mobilním zařízení. Data a ochrana osobních údajů pro služby Azure AI najdete tady.

Kolik stojí Face Check?

Nejnovější informace o fakturaci a cenách využití najdete na stránce s cenami Microsoft Entra.

Co když nemůžu najít předplatné?

Pokud nejsou v podokně Propojení předplatného k dispozici žádná předplatná, tady je několik možných důvodů:

Nemáte příslušná oprávnění. Nezapomeňte se přihlásit pomocí účtu Azure aspoň má roli Přispěvatel v rámci předplatného nebo skupiny prostředků v rámci předplatného.

Předplatné existuje, ale ještě není přidružené k vašemu adresáři. Ke svému tenantovi můžete přidružit existující předplatné a potom zopakovat postup pro jeho propojení s vaším tenantem.

Neexistuje žádné předplatné. V podokně Propojit předplatné můžete vytvořit předplatné tak, že vyberete odkaz, pokud ještě předplatné nemáte, můžete si ho tady vytvořit. Po vytvoření nového předplatného budete muset v novém předplatném vytvořit skupinu prostředků a potom zopakovat kroky pro propojení s vaším tenantem.

Nejčastější dotazy pro vývojáře pro kontrolu tváře

Vyžaduje kontrola tváře aplikaci MS Authenticator?

Ano. Kontrola tváře je omezená na použití ověřených ID u MS Authenticatoru. Toto omezení je zavedeno, aby se zabránilo útoku prostřednictvím injektáže na kontrolu tváře. V případě jiných scénářů než Kontroly tváře je k dispozici sada SDK peněženky, která nabízí další řešení ověřeného ID. Další informace najdete tady.

Jaká je shoda procent spolehlivosti a co znamená spolehlivost?

Organizace si můžou zvolit prahovou hodnotu skóre spolehlivosti, aby aplikace přijala ověření kontroly tváře. Vyšší prahová hodnota znamená, že je méně pravděpodobné, že zosobnění bude falešně přijato. Ve výchozím skóre spolehlivosti 50 % je šance, že osoba v živém selfíčku není vlastníkem správných přihlašovacích údajů, je jedna v 100 000. Požadovaná úroveň závisí na konkrétním scénáři, způsobu zveřejnění vstupního bodu a plánovaných uživatelů. Při 90% skóre spolehlivosti je tato falešně pozitivní pravděpodobnost uživatele jedna v miliardě. Vyšší prahová hodnota vede ke zvýšení potenciálu zamítnutí autorizovaného uživatele z důvodu vyšší citlivosti aplikace. Je důležité najít správnou rovnováhu mezi nastavením prahové hodnoty vysokého skóre spolehlivosti, která aplikaci zabezpečuje, aniž by byla tak vysoká, že často odmítne autorizované uživatele kvůli mírným změnám vzhledu nebo vizuálním podmínkám jejich okolí, jako je osvětlení.

Přečtěte si další informace o rozhraní API pro rozpoznávání tváře Azure.

Co je rozhraní API pro rozpoznávání tváře Azure AI Vision?

Azure AI je sada cloudových služeb na platformě Azure. Rozhraní API pro rozpoznávání tváře Azure AI Vision nabízí služby pro rozpoznávání tváře, rozpoznávání tváře, shodu tváří a kontrolu aktivity. Ověřené ID Microsoft Entra při provádění kontroly tváře používá rozpoznávání tváře, shodu tváří a kontrolu tváře. Tady můžou být další informace.

Jak fair is Azure AI Vision Face API?

Microsoft provedl testování nestrannosti rozhraní API pro rozpoznávání tváře. Tým služeb Azure AI se neustále snaží zajistit zodpovědné a inkluzivní využití AI. Zobrazte sestavu nestrannosti rozhraní API pro rozpoznávání tváře.

Jste v souladu s úrovní 2 iBeta?

Ano. Rozhraní API pro rozpoznávání tváře Azure a kontrola tváře jsou vyhovující iBeta Level 2, aby byly odolné vůči různým stylům prezentace útoku za účelem zosobnění uživatele. Přečtěte si další informace o testování detekce útoků na prezentaci ISO iBeta.

Jak fair is Azure AI Vision Face API?

Microsoft provedl testování nestrannosti rozhraní API pro rozpoznávání tváře. Tým Služeb Azure AI neustále usiluje o zajištění zodpovědného a inkluzivního využívání biometrické umělé inteligence. Sestava nestrannosti rozhraní API pro rozpoznávání tváře je dostupná tady.

Pokud uživatel nedávno dostal účes, oholil své obličejové vlasy nebo jinak změnil svůj fyzický vzhled, nebude moct dokončit ověření kontroly tváře?

Kontrola tváře porovnává živou fotku uživatele s fotkou přidruženou k vašemu ověřenému ID. Tím méně uživatel vypadá jako tato fotka, tím nižší skóre shody je. Jestli se ověření kontroly tváře přijme, nebo nebude záviset na tom, jak jinak se uživatel aktuálně zobrazuje od dříve uložené fotky a na tom, jak vysoká prahová hodnota skóre spolehlivosti aplikace má. Pokud má vaše aplikace relativně vysokou prahovou hodnotu, doporučuje se, aby uživatelé zachovali fyzický vzhled, který je konzistentní s nahranou fotkou ověřeného ID, nebo fotku nahradit fotkou, která odráží aktuální vzhled uživatele.

Jakmile použijem kontrolu tváře, kam se moje data použijí? Kde je uložený?

Obrázky používané při kontrole tváře se neukládají dlouhodobě. Během žádosti o kontrolu tváře se z mobilního zařízení uživatele zachytí self-out. Tato image se pak předá ověřenému ID, které ho používá k vyvolání služeb AI rozhraní API pro rozpoznávání tváře Azure. Po dokončení zpracování se fotka self-self-image zahodí a neuloží se do žádného zařízení nebo služby. Služby Microsoft Authenticator, Ověřené ID a Azure AI nebudou tato data ukládat ani uchovávat. Zachycený obrázek self-self-image se navíc nesdílí s aplikací ověřovatele. Aplikace ověřovatele obdrží pouze skóre spolehlivosti výsledné shody.

Data a ochrana osobních údajů pro služby Azure AI najdete tady.

Dochází ke kontrole tváře Ověřené ID Microsoft Entra ověření v peněžence nebo v cloudu?

Služba Ověřené ID provádí proces ověření v cloudu, ne na zařízení. Přihlašovací údaje se ukládají na zařízení uživatele, aby měli plnou kontrolu nad používáním přihlašovacích údajů. Uživatel se musí rozhodnout sdílet přihlašovací údaje s ověřovatelem, aby ho bylo možné zpracovat za účelem ověření.

Jaké jsou požadavky na fotku v ověřeném ID?

Fotografie by měla být jasná a ostrá v kvalitě a nesmí být menší než 200 pixelů x 200 pixelů. Tvář by měla být na střed v rámci obrázku a nestrukturovaná ze zobrazení. Maximální velikost fotky v přihlašovacích údajích je 1 MB. Mějte na paměti, že větší obrázek nezaručuje lepší výsledek. Dobrá menší fotka je lepší než velká špatná.

Další informace o tom, jak zlepšit přesnost zpracování fotek, najdete tady.

Další informace o ověřitelných omezeních velikosti přihlašovacích údajů najdete tady.

Další kroky

• Zjistěte, jak nakonfigurovat tenanta pro Ověřené ID Microsoft Entra a používat MyAccount.
• Zjistěte, jak vydat Ověřené ID Microsoft Entra přihlašovací údaje z webové aplikace.
• Zjistěte, jak ověřit Ověřené ID Microsoft Entra přihlašovací údaje.