Uso de Face Check con Id. verificada por Microsoft Entra y desbloqueo de comprobaciones con alta garantía a gran escala

Face Check es una solución de cotejo facial que respeta la privacidad. Permite a las empresas realizar comprobaciones con una alta garantía de forma segura, sencilla y a gran escala. Face Check agrega una capa fundamental de confianza al realizar el cotejo facial entre el selfi en tiempo real de un usuario y una foto. El cotejo facial se basa en la tecnología de los servicios de Azure AI. Face Check protege la privacidad del usuario compartiendo solo los resultados de coincidencia y no los datos confidenciales de identidad, al tiempo que permite a las organizaciones asegurarse de que la persona que reclama una identidad es realmente ellos.

Requisitos previos

Face Check es una característica premium dentro de Id. verificada. Debe habilitar el complemento Face Check en la configuración de la Id. verificada por Microsoft Entra antes de realizar las comprobaciones de Face Check.

• Asegúrese de que el id. verificada por Microsoft Entra está configuración en el inquilino antes de usar Face Check.
• Asociación o adición de una suscripción de Azure al inquilino de Microsoft Entra
• Asegúrate de que la configuración del usuario de Face Check tiene el rol Colaborador para la suscripción de Azure

Configuración de Face Check con el identificador comprobado de Microsoft Entra

El complemento Face Check se puede habilitar de dos maneras desde el Centro de administración de Microsoft Entra o mediante la API de REST de Azure Resource Manager (ARM) a través de la CLI. Si va a usar Face Check en un inquilino con la licencia Microsoft Entra Suite, Face Check está habilitado en el nivel de inquilino y la configuración se aplica a todas las autoridades de ese inquilino. Para cualquier otra licencia, puede habilitar Face Check individualmente por cada entidad del inquilino mediante la API de REST de Azure Resource Manager (ARM).

Nota:

La API de REST de ARM para la id. verificada por Microsoft Entra se encuentra actualmente en versión preliminar pública.

Configuración de Face Check con el identificador comprobado de Microsoft Entra en el Centro de administración

1. En la página Información general de Id. verificada, desplázate hacia abajo hasta la nueva sección Complementos y Enable el complemento Face Check.

2. En el paso Vincular una suscripción, selecciona una suscripción, un grupo de recursos y la ubicación del recurso. Después, selecciona Validate. Si no aparece ninguna suscripción, consulta ¿Qué ocurre si no puedo encontrar una suscripción?

3. Una vez validado, puedes Enable el complemento.

Ahora puedes empezar a usar Face Check en las aplicaciones empresariales.

Configuración de Face Check con el identificador comprobado de Microsoft Entra mediante la API de REST de Azure Resource Manager (ARM)

Nota:

La API de REST de ARM para la id. verificada por Microsoft Entra se encuentra actualmente en versión preliminar pública.

Para configurar el complemento Face Check en una entidad determinada, debe tener las herramientas de Azure PowerShell en la máquina. El mecanismo siguiente ajusta la llamada de REST. También puede usar la API de REST de Azure Resource Manager (ARM) PUT en consecuencia

1. Ejecute el comando siguiente en PowerShell.

  az login --tenant  <tenant ID>

1. Seleccione la suscripción en la que quiere habilitar la facturación de Face Check

2. Ejecute el siguiente comando.

  az rest --method PUT --uri /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.VerifiedId/authorities/<authority-id>?api-version=2024-01-26-preview --body "{'location':'<rp-location>'}"

• Reemplace <subscription-id> por el identificador de suscripción
• Reemplace <resource-group-name> por el nombre del grupo de recursos
• reemplace <authority-id> por el identificador de autoridad. Puede obtener el authority-id mediante la llamada GET Authorities desde la API de administración.
• reemplace <rp-location> con uno de los dos valores siguientes:
  • Para los inquilinos de Europa, use northeurope
  • Para los de fuera de Europa, usewestus2

El complemento Face Check ahora está habilitado en el inquilino.

Comenzar a usar Face Check con MyAccount

Puedes empezar a usar Face Check fácilmente mediante MyAccount, que puede emitir credenciales VerifiedEmployee, junto con una aplicación de prueba pública que proporciona Microsoft. Antes de comenzar, debes llevar a cabo los siguientes pasos:

1. Crea un usuario de prueba en el inquilino de Microsoft Entra y carga una foto tuya
2. Ve a MyAccount, inicia sesión como usuario de prueba y emite una credencial VerifiedEmployee para el usuario.
3. Usa la aplicación de prueba pública para presentar tu credencial VerifiedEmployee mediante Face Check.

Cuando Microsoft Authenticator recibe una solicitud de presentación, que incluye una comprobación facial, hay un elemento adicional después del tipo de credencial que se le pide al usuario que comparta. Cuando el usuario selecciona ese elemento, se realiza la comprobación facial real y así el usuario puede compartir la credencial solicitada y la puntuación de confianza de la comprobación con la aplicación de prueba pública (usuario de confianza). Puedes revisar los resultados en la aplicación de prueba.

Nota:

MyAccount usa la foto del perfil de usuario de Entra ID al emitir la credencial VerifiedEmployee. Puede recuperar la foto a través de Microsoft Graph API https://graph.microsoft.com/v1.0/me/photos/240x240/$value

Comenzar a usar Face Check con Request Service API

Las aplicaciones pueden usar Request Service API para crear una solicitud para que los usuarios realicen una comprobación facial de una credencial VerifiedEmployee, un identificador gubernamental emitido por el estado o una credencial digital personalizada con una foto de confianza. Por ejemplo, un servicio de soporte técnico puede solicitar una comprobación facial de una credencial VerifiedEmployee para confirmar la identidad de forma rápida y segura a fin de permitir una amplia variedad de escenarios de autoservicio, incluida la activación de una clave de acceso o el restablecimiento de una contraseña. Para reducir el riesgo de incumplimiento, las aplicaciones reciben una puntuación de confianza por coincidencia con la foto de la credencial deseada, sin tener acceso a los datos de prueba de vida.

Emisión de una credencial de Id. verificada con una foto

Los tipos de credenciales personalizadas que usan el flujo de atestación idTokenHint también pueden emitir una credencial de Id. verificada que contiene una foto. La definición de la credencial debe tener la definición de visualización y reglas para la reclamación de la foto.

La definición de visualización de la reclamación de la foto debe tener el tipo establecido en image/jpg;base64url para permitir que Microsoft Authenticator comprenda que debe representarse como una foto correctamente.

{ 
  "claim": "vc.credentialSubject.photo", 
  "label": "User picture", 
  "type": "image/jpg;base64url" 
} 

Al establecer el valor de reclamación real de la foto, debe tener el formato UrlEncode(Base64Encode(JPEG image)).

{ 
  "outputClaim": "photo", 
  "required": false, 
  "inputClaim": "photo", 
  "indexed": false 
} 

Nota:

Al emitir una credencial personalizada con una foto, es responsabilidad de las aplicaciones proporcionar el JPEG que se va a usar y codificar.

Solicitudes de presentación que incluye Face Check

La carga JSON de Request Service API para crear una solicitud de presentación debe especificar que se debe realizar una comprobación facial. Se debe asignar un nombre a la reclamación que contiene la foto y, opcionalmente, se puede especificar el umbral de confianza como un entero entre 50 y 100. El valor predeterminado es 70.

// POST https://verifiedid.did.msidentity.com/v1.0/verifiableCredentials/createPresentationRequest
...
  "requestedCredentials": [
    {
      "type": "VerifiedEmployee",
      "acceptedIssuers": [ "did:web:yourdomain.com" ],
      "configuration": {
        "validation": {
          "allowRevoked": false,
          "validateLinkedDomain": true,
          "faceCheck": {
            "sourcePhotoClaimName": "photo",
            "matchConfidenceThreshold": 70
          }
        }

Evento de devolución de llamada presentation_verified de Face Check correcto

La carga JSON de presentation_verified tiene más datos cuando una comprobación facial se ha realizado correctamente durante la presentación de una credencial de Id. verificada. Se agrega la sección faceCheck, que contiene un valor para matchConfidenceScore. Tenga en cuenta que no es posible solicitar y recibir el recibo de presentación cuando la solicitud incluye faceCheck.

  "verifiedCredentialsData": [ 
    { 
      "issuer": "did:web:yourdomain.com", 
      "type": [ "VerifiableCredential", "VerifiedEmployee" ], 
      "claims": { 
        ... 
      }, 
      ... 
      "faceCheck": { 
        "matchConfidenceScore": 86.314159,
        "sourcePhotoQuality": "HIGH"
      } 
    } 
  ], 

Evento de devolución de llamada de Face Check con errores

Cuando la puntuación de confianza es inferior al umbral, se produce un error en la solicitud de presentación y se devuelve presentation_error. La aplicación de comprobación no recibe la puntuación devuelta.

{ 
  "requestId": "...", 
  "requestStatus": "presentation_error", 
  "state": "...", 
  "error": { 
    "code": "claimValidationError", 
    "message": "Match confidence score failing to meet the threshold." 
  } 
} 

Authenticator muestra un mensaje de error que informa al usuario de que la puntuación de confianza no ha satisfecho el umbral.

Preguntas más frecuentes sobre Face Check con Id. verificada por Microsoft Entra

¿Qué es Face Check?

Face Check con el Id. verificada por Microsoft Entra es una característica premium dentro de la Id. verificada que se usa para respetar la privacidad de la coincidencia facial. Permite a las empresas realizar comprobaciones con una alta garantía de forma segura, sencilla y a gran escala. Face Check agrega una capa fundamental de confianza al realizar el cotejo facial entre el selfi en tiempo real de un usuario y una foto. El cotejo facial se basa en la tecnología de los servicios de Azure AI.

¿Cuál es la diferencia entre Face Check y Face ID?

Face ID es una opción de seguridad biométrica basada en la visión que incorporan los productos de Apple, para desbloquear un dispositivo y acceder a una aplicación móvil. Face Check es una característica de Id. verificada por Microsoft Entra que también usa la tecnología de inteligencia artificial basada en la visión, pero compara al usuario con la Id. verificada presentada. Face Check determina la identidad del usuario en una amplia gama de escenarios en línea en los que se requiere acceso de alta garantía. Algunos ejemplos de ello son procesos empresariales de alto valor o acceso a información confidencial de la empresa. En ambos mecanismos un usuario se sitúa delante de una cámara en el proceso, pero dichos mecanismos funcionan de manera diferente.

¿La comprobación biométrica de visión de Face Check se realiza en el dispositivo móvil?

No. La comprobación biométrica entre la foto y los datos de prueba de vida capturados se realiza en la nube mediante Face API de Azure AI Vision. La captura del selfi de un usuario durante el proceso no se comparte con el sitio de comprobación del identificador solicitante.

¿Qué es Face Liveness Check?

Face Check con Id. verificada por Microsoft Entra usa la comprobación de vida de Face API de Visión de Azure AI para verificar que se trata de una persona real en las imágenes selfies de la cámara del dispositivo del usuario. Esta comprobación ayuda a garantizar que una foto estática o un vídeo 2D de un usuario no se pueda usar en lugar de su persona en directo.

¿Qué ocurre con los datos de prueba de vida tomados?

Cuando la cámara está encendida en el dispositivo móvil, se capturan imágenes en directo. A continuación, estas imágenes se pasan a Id. verificada que lo usa para invocar servicios de Azure AI.

Los datos no se almacenan ni los mantiene ninguno de los servicios Microsoft Authenticator, Id. verificada o Azure AI. Además, tampoco se comparten las imágenes con la aplicación de comprobación. La aplicación de comprobación solo recibe a cambio la puntuación de confianza. En un sistema basado en IA, la puntuación de confianza es el porcentaje de probabilidad de respuesta de una consulta al sistema. En este escenario, la puntuación de confianza es la probabilidad de que la foto del usuario de id. verificada coincida con la captura de usuario en el dispositivo móvil. Los datos y la privacidad de Azure AI Services se pueden encontrar aquí.

¿Cuánto cuesta Face Check?

Para conocer la información más reciente sobre la facturación por uso y los precios, consulte Precios de Microsoft Entra.

¿Qué ocurre si no encuentro una suscripción?

Si no hay suscripciones disponibles en el panel Link a subscription, estos son algunos de los motivos posibles:

No tiene los permisos adecuados. Asegúrese de iniciar sesión con la cuenta de Azure al menos tiene el rol Colaborador dentro de la suscripción o un grupo de recursos dentro de la suscripción.

Existe una suscripción, pero aún no está asociada con el directorio. Puede asociar una suscripción existente a su inquilino y, a continuación, repetir los pasos para vincularla al inquilino.

No existe ninguna suscripción. En el panel Vincular una suscripción, puede crear una suscripción seleccionando el vínculo si aún no tiene una suscripción que puede crear aquí. Después de crear una nueva suscripción, deberá crear un grupo de recursos en la nueva suscripción y, a continuación, repetir los pasos para vincularla al inquilino.

Preguntas más frecuentes para desarrolladores de Face Check

¿Hace falta MS Authenticator con Face Check?

Sí. Face Check está limitado al uso de Id. verificada con MS Authenticator. Esta limitación se ha establecido para evitar ataques de inyección contra Face Check. En escenarios en los que no se usa Face Check, hay un SDK de Wallet disponible en otras soluciones de Id. verificada. Más información aquí.

¿Qué es el porcentaje de confianza y qué significa confianza?

Las organizaciones pueden elegir su umbral de puntuación de confianza para que su aplicación acepte una comprobación de Face Check. Un umbral mayor significa que es menos probable que un suplantador se acepte falsamente. Con la puntuación de confianza por defecto del 50 %, la probabilidad de que la persona que aparece en el selfie en directo no sea el propietario legítimo de la credencial es de una entre 100 000. El nivel necesario depende del escenario específico, de lo público que sea el punto de entrada y los usuarios planeados. Con una puntuación de confianza del 90 %, esa probabilidad de usuario falso positivo es de una en mil millones. Un umbral mayor da como resultado el posible aumento de rechazo de un usuario autorizado debido a la mayor sensibilidad de la aplicación. Es importante encontrar el equilibrio adecuado entre establecer un umbral de puntuación de confianza alto que protege la aplicación mientras no lo hace tan alto que a menudo rechaza a los usuarios autorizados debido a pequeños cambios en la apariencia o las condiciones visuales de sus alrededores, como la iluminación.

Más información sobre API de Azure Face.

¿Qué es Face API de Azure AI Vision?

Azure AI es un conjunto de servicios en la nube de la plataforma Azure. Face API de Azure AI Vision ofrece servicios para la detección de caras, el reconocimiento facial, la coincidencia facial y la comprobación de vida. Id. verificada por Microsoft Entra usa servicios de detección de caras, coincidencia de caras y comprobación de viveza facial al realizar comprobaciones faciales. Puede encontrar más información aquí.

¿En qué medida es justa Face API de Azure AI Vision?

Microsoft ha realizado pruebas de equidad de Face API. El equipo de Servicios de Azure AI se esfuerza continuamente por garantizar el uso responsable e inclusivo de la inteligencia artificial. Vea el informe de equidad de Face API.

¿Es compatible con iBeta nivel 2?

Sí. Azure Face API AI y Face Check son de conformidad con el nivel 2 de iBeta para resistir a varios tipos de presentación de ataques de suplantación de identidad. Obtenga más información sobre las pruebas de detección de ataques de presentación ISO de iBeta.

¿En qué medida es justa Face API de Azure AI Vision?

Microsoft ha realizado pruebas de equidad de Face API. El equipo de Servicios de Azure AI se esfuerza continuamente por garantizar el uso responsable e inclusivo de la inteligencia artificial biométrica. El informe de equidad de Face API está disponible aquí.

Si un usuario acaba de cortarse el pelo, se ha afeitado la barba o el bigote o ha cambiado su apariencia física de alguna manera, ¿no podrá completar una comprobación de Face Check?

Face Check compara el selfie en directo de un usuario con la foto asociada con su Id. comprobado. Cuanto menos el usuario parezca esa foto, menor será su puntuación de coincidencia. Si la comprobación de Face Check se acepta o no dependerá del nivel de diferencia del aspecto del usuario con respecto a la foto guardada anteriormente y de lo alto que sea el umbral de puntuación de confianza que tiene la aplicación. Si la aplicación tiene un umbral relativamente alto, se recomienda que los usuarios mantengan una apariencia física coherente con su foto de id. comprobado cargada o reemplace la foto por una que refleje la apariencia actual del usuario.

Cuando uso Face Check, ¿dónde van mis datos? ¿Dónde se almacenan?

Las imágenes usadas durante Face Check no se almacenan a largo plazo. Durante una solicitud de Face Check, se captura un selfie desde el dispositivo móvil del usuario. Después, esta imagen se pasa al Id. comprobado que la usa para invocar los servicios de IA de la API de Azure Face. Una vez realizado el procesamiento, la imagen de selfie se descarta y no se guarda en ningún dispositivo o servicio. Microsoft Authenticator, el Id. comprobado y los servicios de Azure AI no almacenan ni conservan estos datos. Además, la imagen de selfie capturada tampoco se comparte con la aplicación de comprobador. La aplicación de comprobación solo recibe una puntuación de confianza de la coincidencia resultante.

Los datos y la privacidad de los servicios de Azure AI se pueden encontrar aquí.

¿Se produce la comprobación de Face Check con el Id. comprobado de Microsoft Entra en la cartera o en la nube?

El servicio de Id. comprobado ejecuta el proceso de comprobación en la nube, no en el dispositivo. Las credenciales se almacenan en el dispositivo del usuario para que tenga control total del uso de la credencial. Un usuario debe elegir compartir una credencial con un comprobador para que se procese para su comprobación.

¿Cuáles son los requisitos para la foto en la Id. verificada?

La foto debe tener una calidad clara y nítida y no ser inferior a 200 píxeles x 200 píxeles. La cara debe estar centrada dentro de la imagen y la vista debe ser despejada. El tamaño máximo de la foto en la credencial es de 1 MB. Tenga en cuenta que tener una imagen más grande no garantiza un mejor resultado. Una buena foto más pequeña es mejor que una grande mala.

Puedes encontrar más información sobre cómo mejorar la precisión del procesamiento de fotos aquí.

Puedes encontrar más información sobre los límites de dimensionamiento de credenciales verificables aquí

Pasos siguientes

• Aprenda a configurar el inquilino para Id. verificada por Microsoft Entra y usar MyAccount.
• Aprenda a emitir credenciales de Id. verificada por Microsoft Entra desde una aplicación web.
• Descubra cómo comprobar las credenciales de Id. verificada por Microsoft Entra.