Uso di Face Check con ID verificato di Microsoft Entra e sblocco di verifiche ad alta garanzia su larga scala
Face Check è una corrispondenza facciale che rispetta la privacy. Consente alle aziende di eseguire verifiche ad alta garanzia in modo sicuro, semplice e su larga scala. Face Check aggiunge un livello critico di attendibilità eseguendo la corrispondenza facciale tra il selfie in tempo reale di un utente e una foto. La corrispondenza facciale è basata sui servizi di intelligenza artificiale di Azure. Face Check protegge la privacy degli utenti condividendo solo i risultati della corrispondenza e non i dati di identità sensibili, consentendo alle organizzazioni di essere sicuri che la persona che dichiara un'identità sia effettivamente loro.
Prerequisiti
Face Check è una funzionalità premium all'interno dell'ID verificato. È necessario abilitare il componente aggiuntivo Verifica viso nella configurazione ID verificato di Microsoft Entra prima di eseguire le verifiche di Verifica viso.
- Assicurarsi che ID verificato di Microsoft Entra sia configurato nel tenant prima di usare Face Check.
- Associare o aggiungere una sottoscrizione di Azure al tenant di Microsoft Entra
- Assicurarsi che l'utente che configura Face Check abbia il ruolo Collaboratore per la sottoscrizione di Azure
Configurazione di Face Check con ID verificato di Microsoft Entra
Il componente aggiuntivo Verifica viso può essere abilitato in due modi dall'interfaccia di amministrazione di Microsoft Entra o usando l'API REST di Azure Resource Manager (ARM) tramite l'interfaccia della riga di comando. Se si intende usare Verifica viso in un tenant con la licenza di Microsoft Entra Suite, Face Check è abilitato a livello di tenant e la configurazione si applica a tutte le autorità all'interno di tale tenant. Per qualsiasi altra licenza, è possibile abilitare la verifica facciale singolarmente per ciascuna autorità nel proprio tenant usando l'API REST di Azure Resource Manager (ARM).
Nota
L'API REST arm per ID verificato di Microsoft Entra è attualmente in anteprima pubblica.
Configurazione di Face Check con ID verificato di Microsoft Entra nell'interfaccia di amministrazione
- Nella pagina di panoramica dell'ID verificato scorrere verso il basso fino alla nuova sezione Componenti aggiuntivi e
Enableal componente aggiuntivo Verifica viso.
- Nel passaggio Collega una sottoscrizione selezionare una sottoscrizione, un gruppo di risorse e il percorso della risorsa. Selezionare quindi
Validate. Se non sono elencate sottoscrizioni, vedere Cosa accade se non è possibile trovare una sottoscrizione?
- Dopo la convalida, è possibile
Enableaggiungere il componente aggiuntivo.
È ora possibile iniziare a usare Face Check nelle applicazioni aziendali.
Configurazione di Face Check con ID verificato di Microsoft Entra usando l'API REST di Azure Resource Manager (ARM)
Nota
L'API REST arm per ID verificato di Microsoft Entra è attualmente in anteprima pubblica.
Per configurare il componente aggiuntivo Verifica viso in una determinata autorità, è necessario disporre degli strumenti di Azure PowerShell nel computer. Questo meccanismo gestisce la chiamata REST. In alternativa, è possibile usare l'API REST di Azure Resource Manager (ARM) put di conseguenza
- In PowerShell eseguire questo comando
az login --tenant <tenant ID>
Selezionare la sottoscrizione in cui si vuole abilitare la fatturazione di Verifica viso
Eseguire il comando seguente
az rest --method PUT --uri /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.VerifiedId/authorities/<authority-id>?api-version=2024-01-26-preview --body "{'location':'<rp-location>'}"
- sostituire
<subscription-id>con l'ID sottoscrizione - sostituire
<resource-group-name>con il nome del gruppo di risorse - sostituire
<authority-id>con l'ID autorità. È possibile ottenere l'oggettoauthority-idusando la chiamata GET Authorities dall'API Admin. - sostituire
<rp-location>usando uno dei due valori seguenti:- Per i tenant dell'UE, usare
northeurope - Per l'uso non ue
westus2
- Per i tenant dell'UE, usare
Il componente aggiuntivo Verifica viso è ora abilitato nel tenant.
Introduzione a Face Check con MyAccount
È possibile iniziare facilmente a usare Face Check usando MyAccount, che può rilasciare VerifiedEmployee credenziali e un'app di test pubblica fornita da Microsoft. Per iniziare, è necessario eseguire i passaggi seguenti:
- Creare un utente di test nel tenant di Microsoft Entra e caricare una foto di se stessi
- Passare a MyAccount, accedere come utente di test ed emettere credenziali
VerifiedEmployeeper l'utente. - Usare l'app di test pubblica per presentare le
VerifiedEmployeecredenziali usando Face Check.
Quando Microsoft Authenticator ottiene una richiesta di presentazione che include un controllo viso, è presente un elemento aggiuntivo dopo che viene chiesto all'utente di condividere il tipo di credenziale. Quando l'utente seleziona tale elemento, viene eseguito il controllo viso effettivo e l'utente può quindi condividere le credenziali richieste e il punteggio di attendibilità del controllo con l'app di test pubblica (relying party). È possibile esaminare i risultati nell'app Test.
Nota
MyAccount usa la foto del profilo utente Entra ID quando si emettono le credenziali VerifiedEmployee. È possibile recuperare la foto tramite l'API Microsoft Graph https://graph.microsoft.com/v1.0/me/photos/240x240/$value
Introduzione a Face Check con l'API del servizio di richiesta
Le app possono usare l'API del servizio di richiesta per creare una richiesta per gli utenti di eseguire un controllo viso in base a credenzialiVerifiedEmployee, id governo emesso dallo stato o credenziali digitali personalizzate con una foto attendibile. Ad esempio, un servizio help desk può richiedere un controllo viso su una VerifiedEmployee credenziale per verificare l'identità in modo rapido e sicuro per abilitare un'ampia gamma di scenari self-service, tra cui l'attivazione di una passkey o la reimpostazione di una password. Per ridurre i rischi di conformità, le app ricevono un punteggio di attendibilità per la corrispondenza con la foto dalle credenziali desiderate, senza ottenere l'accesso ai dati di attività.
Emissione di credenziali ID verificate con una foto
I tipi di credenziali personalizzati che usano il flusso di attestazione idTokenHint possono anche emettere credenziali ID verificate contenenti una foto. La definizione delle credenziali deve avere la definizione di visualizzazione e regole per l'attestazione foto.
La definizione di visualizzazione per l'attestazione foto deve avere il tipo impostato su image/jpg;base64url per consentire a Microsoft Authenticator di comprendere che deve essere eseguito correttamente il rendering come foto.
{
"claim": "vc.credentialSubject.photo",
"label": "User picture",
"type": "image/jpg;base64url"
}
Quando si imposta il valore effettivo dell'attestazione della foto, deve essere in formato UrlEncode(Base64Encode(JPEG image)).
{
"outputClaim": "photo",
"required": false,
"inputClaim": "photo",
"indexed": false
}
Nota
Quando si emettono credenziali personalizzate con una foto, è responsabilità delle app fornire il JPEG da usare e codificarlo.
Richieste di presentazione che includono Face Check
Il payload JSON per l'API del servizio di richiesta per la creazione di una richiesta di presentazione deve specificare che deve essere eseguito un controllo viso. L'attestazione contenente la foto deve essere denominata e facoltativamente è possibile specificare la soglia di attendibilità come numero intero compreso tra 50 e 100. Il valore predefinito è 70.
// POST https://verifiedid.did.msidentity.com/v1.0/verifiableCredentials/createPresentationRequest
...
"requestedCredentials": [
{
"type": "VerifiedEmployee",
"acceptedIssuers": [ "did:web:yourdomain.com" ],
"configuration": {
"validation": {
"allowRevoked": false,
"validateLinkedDomain": true,
"faceCheck": {
"sourcePhotoClaimName": "photo",
"matchConfidenceThreshold": 70
}
}
Esito positivo di Face Check presentation_verified evento di callback
Il payload JSON per ha presentation_verified più dati quando un controllo viso è stato eseguito correttamente durante una presentazione delle credenziali ID verificate. Viene aggiunta la sezione faceCheck che contiene una corrispondenzaConfidenceScore. Si noti che non è possibile richiedere e ricevere la ricevuta di presentazione quando la richiesta include faceCheck.
"verifiedCredentialsData": [
{
"issuer": "did:web:yourdomain.com",
"type": [ "VerifiableCredential", "VerifiedEmployee" ],
"claims": {
...
},
...
"faceCheck": {
"matchConfidenceScore": 86.314159,
"sourcePhotoQuality": "HIGH"
}
}
],
Evento di callback Face Check non riuscito
Quando il punteggio di attendibilità è inferiore alla soglia, la richiesta di presentazione non è riuscita e viene restituito un presentation_error valore . L'applicazione di verifica non ottiene il punteggio restituito.
{
"requestId": "...",
"requestStatus": "presentation_error",
"state": "...",
"error": {
"code": "claimValidationError",
"message": "Match confidence score failing to meet the threshold."
}
}
L'autenticatore visualizza un messaggio di errore che informa l'utente che il punteggio di attendibilità non è riuscito a soddisfare la soglia.
Domande frequenti su Face Check with ID verificato di Microsoft Entra
Che cos'è Face Check?
Verifica viso con ID verificato di Microsoft Entra è una funzionalità premium all'interno dell'ID verificato usato per la corrispondenza facciale per il rispetto della privacy. Consente alle aziende di eseguire verifiche ad alta garanzia in modo sicuro, semplice e su larga scala. Face Check aggiunge un livello critico di attendibilità eseguendo la corrispondenza facciale tra il selfie in tempo reale di un utente e una foto. La corrispondenza facciale è basata sui servizi di intelligenza artificiale di Azure.
Qual è la differenza tra Face Check e Face ID?
Face ID è un'opzione di sicurezza biometrica basata su visione sui prodotti Apple per sbloccare un dispositivo per l'accesso a un'app per dispositivi mobili. Face Check è una funzionalità di ID verificato di Microsoft Entra che usa anche la tecnologia di intelligenza artificiale basata sulla visione, ma confronta l'utente con l'ID verificato presentato. Face Check determina l'identità utente in un'ampia gamma di scenari online in cui è richiesto l'accesso ad alta garanzia. Alcuni esempi di processi aziendali di valore elevato o l'accesso alle informazioni aziendali riservate. Entrambi i meccanismi richiedono a un utente di affrontare una fotocamera nel processo, ma operano in modi diversi.
Il controllo della visione biometrica di Verifica viso viene eseguito sul dispositivo mobile?
No. Il controllo biometrico tra la foto e i dati di attività acquisiti viene eseguito nel cloud usando l'API Viso di Visione artificiale di Azure. L'acquisizione selfie dell'utente durante il processo non viene condivisa con l'ID richiedente che verifica il sito.
Che cos'è Face Liveness Check?
Face Check with ID verificato di Microsoft Entra usa l'API Viso di Visione artificiale di Azure per verificare che si tratti di una persona reale nel filmato selfie dalla fotocamera nel dispositivo dell'utente. Questo controllo consente di garantire che una foto statica o un video 2D di un utente non possa essere usato al posto del proprio self live.
Cosa succede ai dati di attività acquisiti?
Quando la fotocamera è accesa sul dispositivo mobile, le riprese live vengono acquisite sul dispositivo mobile. Questo filmato viene quindi passato all'ID verificato che lo usa per richiamare i servizi dei servizi di Intelligenza artificiale di Azure.
I dati non vengono archiviati né conservati da nessuno dei servizi Microsoft Authenticator, Id verificato o intelligenza artificiale di Azure. Inoltre, il filmato non viene condiviso con l'applicazione di verifica. L'applicazione di verifica ottiene solo il punteggio di attendibilità restituito. In un sistema basato su intelligenza artificiale, il punteggio di attendibilità è la risposta percentuale di probabilità per una query al sistema. Per questo scenario, il punteggio di attendibilità è la probabilità che la foto utente con ID verificato corrisponda all'acquisizione dell'utente nel dispositivo mobile. I dati e la privacy per i servizi di intelligenza artificiale di Azure sono disponibili qui.
Quanto costa Face Check?
Per informazioni più recenti sulla fatturazione basata sull’utilizzo e sui relativi prezzi, vedere Prezzi di Microsoft Entra.
Cosa accade se non è possibile trovare una sottoscrizione?
Se nel riquadro Collega una sottoscrizione non sono disponibili sottoscrizioni, ecco alcuni possibili motivi:
Non si dispone delle autorizzazioni appropriate. Assicurarsi di accedere con l'account Azure almeno ha il ruolo Collaboratore all'interno della sottoscrizione o di un gruppo di risorse all'interno della sottoscrizione.
Esiste una sottoscrizione, ma non è ancora associata alla directory. È possibile associare una sottoscrizione esistente al tenant e quindi ripetere i passaggi per collegarlo al tenant.
Non esiste alcuna sottoscrizione. Nel riquadro Collega una sottoscrizione è possibile creare una sottoscrizione selezionando il collegamento se non si ha già una sottoscrizione, è possibile crearne una qui. Dopo aver creato una nuova sottoscrizione, è necessario creare un gruppo di risorse nella nuova sottoscrizione e quindi ripetere i passaggi per collegarlo al tenant.
Domande frequenti per gli sviluppatori di Face Check
Il controllo viso richiede l'autenticazione MS?
Sì. Face Check è limitato all'utilizzo dell'ID verificato con MS Authenticator. Questa limitazione è stata applicata per evitare attacchi injection su Face Check. Per gli scenari non Face Check, è disponibile un SDK portafoglio per altre soluzioni ID verificate. Altre informazioni sono reperibili qui
Qual è la corrispondenza percentuale di attendibilità e qual è la probabilità?
Le organizzazioni possono scegliere la soglia del punteggio di attendibilità per l'applicazione per accettare una verifica del controllo viso. Una soglia più elevata indica che è meno probabile che un rappresentazione venga erroneamente accettato. Al punteggio di attendibilità predefinito del 50%, la probabilità che la persona nel selfie live non sia il proprietario delle credenziali giuste è uno in 100.000. Il livello richiesto dipende dallo scenario specifico, dal modo in cui il punto di ingresso pubblico è e dagli utenti pianificati. Con un punteggio di attendibilità del 90%, la probabilità di un utente falso positivo è di un miliardo. Una soglia più elevata comporta un aumento del potenziale di rifiuto di un utente autorizzato a causa della maggiore sensibilità dell'applicazione. È importante trovare il giusto equilibrio tra l'impostazione di una soglia di punteggio di attendibilità elevata che protegge l'applicazione senza renderla così elevata che spesso rifiuta gli utenti autorizzati a causa di lievi variazioni di aspetto o delle condizioni visive dell'ambiente circostante, ad esempio l'illuminazione.
Altre informazioni sull'API Viso di Azure.
Che cos'è l'API Viso di Visione artificiale di Azure?
L'intelligenza artificiale di Azure è una suite di servizi cloud nella piattaforma Azure. L'API Viso di Visione artificiale di Azure offre servizi per il rilevamento dei visi, il riconoscimento dei volti, la corrispondenza del viso e il controllo dell'attività. ID verificato di Microsoft Entra usa i servizi di rilevamento viso, corrispondenza del viso e controllo del viso durante l'esecuzione di FaceCheck. Altre informazioni sono disponibili qui.
In che modo è equa l'API Viso di Visione artificiale di Azure?
Microsoft ha condotto test di equità dell'API Viso. Il team dei servizi di intelligenza artificiale di Azure si impegna costantemente per garantire un uso responsabile e inclusivo dell'IA. Visualizzare il report Di equità dell'API Viso.
Sei conforme a iBeta Level 2?
Sì. L'API Viso di Azure per intelligenza artificiale e Face Check sono conformi a iBeta Level 2 per essere resistenti a vari stili di presentazione di attacco per rappresentare un utente. Altre informazioni sui test di rilevamento degli attacchi di presentazione ISO di iBeta.
In che modo è equa l'API Viso di Visione artificiale di Azure?
Microsoft ha eseguito test di equità dell'API Viso. Il team di Servizi di intelligenza artificiale di Azure si impegna costantemente per garantire l'uso responsabile e inclusivo dell'IA biometrica. Il report Equità API Viso è disponibile qui.
Se un utente ha recentemente ottenuto un taglio di capelli, rasato i capelli del viso o ha cambiato il loro aspetto fisico, non sarà in grado di completare una verifica del controllo del viso?
Face Check confronta il selfie live di un utente con la foto associata all'ID verificato. Minore è l'aspetto dell'utente, minore è il punteggio di corrispondenza. Se la verifica del controllo viso viene accettata o meno dipende dalla modalità di visualizzazione dell'utente dalla foto salvata in precedenza e dall'altezza della soglia del punteggio di attendibilità dell'applicazione. Se l'applicazione ha una soglia relativamente elevata, è consigliabile che gli utenti mantengano un aspetto fisico coerente con la foto dell'ID verificato caricato o sostituisci la foto con quella che riflette l'aspetto corrente dell'utente.
Dopo aver usato Face Check, dove vanno i miei dati? Dove è archiviato?
Le immagini usate durante il controllo viso non vengono archiviate a lungo termine. Durante una richiesta di verifica del viso, un selfie viene acquisito dal dispositivo mobile dell'utente. Questa immagine viene quindi passata all'ID verificato che lo usa per richiamare i servizi di intelligenza artificiale dell'API Viso di Azure. Una volta completata l'elaborazione, l'immagine selfie viene scartata e non salvata in alcun dispositivo o servizio. I servizi Microsoft Authenticator, Verified ID e Azure AI non archivieranno o manterranno questi dati. Inoltre, l'immagine selfie acquisita non viene condivisa con l'applicazione di verifica. L'applicazione di verifica riceve solo un punteggio di attendibilità della corrispondenza risultante.
I dati e la privacy per i servizi di intelligenza artificiale di Azure sono disponibili qui.
Il controllo viso con ID verificato di Microsoft Entra verifica avviene nel portafoglio o nel cloud?
Il servizio ID verificato esegue il processo di verifica nel cloud, non nel dispositivo. Le credenziali vengono archiviate nel dispositivo di un utente in modo che abbiano il controllo completo dell'utilizzo delle credenziali. Un utente deve scegliere di condividere una credenziale con un verificatore affinché venga elaborata per la verifica.
Quali sono i requisiti per la foto nell'ID verificato?
La foto deve essere chiara e nitida in qualità e non inferiore a 200 pixel x 200 pixel. Il viso deve essere centrato all'interno dell'immagine e non viene impedito dalla visualizzazione. La dimensione massima della foto nella credenziale è 1 MB. Si noti che la presenza di un'immagine più grande non garantisce un risultato migliore. Una buona foto piccola è meglio di una grande cattiva.
Altre informazioni su come migliorare l'accuratezza dell'elaborazione foto sono disponibili qui
Altre informazioni sui limiti di ridimensionamento delle credenziali verificabili sono disponibili qui
Passaggi successivi
- Informazioni su come configurare il tenant per ID verificato di Microsoft Entra e usare MyAccount.
- Informazioni su come rilasciare le credenziali ID verificato di Microsoft Entra da un'applicazione Web.
- Informazioni su come verificare le credenziali ID verificato di Microsoft Entra.