Microsoft Entra 확인된 ID Face Check를 사용하고 대규모로 높은 보증 확인 잠금 해제
얼굴 확인은 개인 정보를 존중하는 얼굴 일치입니다. 이를 통해 엔터프라이즈는 안전하고 간단하며 대규모로 높은 수준의 검증을 수행할 수 있습니다. 얼굴 확인은 사용자의 실시간 셀카와 사진 간의 얼굴 일치를 수행하여 중요한 신뢰 계층을 추가합니다. 얼굴 일치는 Azure AI 서비스를 기반으로 합니다. Face Check는 중요한 ID 데이터가 아닌 일치 결과만 공유하여 사용자 개인 정보를 보호하는 동시에 조직에서 ID를 주장하는 사람이 실제로 해당인지 확인할 수 있도록 합니다.
필수 조건
Face Check는 확인된 ID 내의 프리미엄 기능입니다. Face Check 확인을 수행하기 전에 Microsoft Entra 확인된 ID 설정에서 Face Check 추가 기능을 사용하도록 설정해야 합니다.
- Face Check를 사용하기 전에 테넌트에서 Microsoft Entra 확인된 ID 설정되었는지 확인합니다.
- Azure 구독을 Microsoft Entra 테넌트에 연결 또는 추가
- Face Check 를 설정하는 사용자에게 Azure 구독에 대한 기여자 역할이 있는지 확인합니다.
Microsoft Entra 확인된 ID 사용하여 Face Check 설정
Face Check 추가 기능은 Microsoft Entra 관리 센터에서 또는 CLI를 통해 ARM(Azure Resource Manager) Rest API를 사용하여 두 가지 방법으로 사용하도록 설정할 수 있습니다. Microsoft Entra Suite 라이선스를 사용하여 테넌트에서 Face Check를 사용하려는 경우, Face Check는 테넌트 수준에서 사용하도록 설정되며 해당 테넌트 내의 모든 기관에 구성이 적용됩니다. 다른 라이선스의 경우 ARM(Azure Resource Manager) Rest API를 사용하여 테넌트에서 각 기관에서 개별적으로 Face Check를 사용하도록 설정할 수 있습니다.
참고 항목
Microsoft Entra 확인된 ID ARM Rest API는 현재 공개 미리 보기로 제공됩니다.
관리 센터에서 Microsoft Entra 확인된 ID Face Check 설정
- 확인된 ID 개요 페이지에서 새 추가 기능 섹션 및
EnableFace Check 추가 기능까지 아래로 스크롤합니다.
- 구독 연결 단계에서 구독, 리소스 그룹 및 리소스 위치를 선택합니다. 그런 다음,
Validate를 선택합니다. 나열된 구독이 없는 경우 구독을 찾을 수 없으면 어떻게 하나요?
- 유효성이 검사되면 추가 기능을 사용할 수 있습니다
Enable.
이제 엔터프라이즈 애플리케이션에서 Face Check 사용을 시작할 수 있습니다.
ARM(Azure Resource Manager) Rest API를 사용하여 Microsoft Entra 확인된 ID Face Check 설정
참고 항목
Microsoft Entra 확인된 ID ARM Rest API는 현재 공개 미리 보기로 제공됩니다.
지정된 기관에서 Face Check 추가 기능을 설정하려면 컴퓨터에 Azure PowerShell 도구가 있어야 합니다. 이 메커니즘은 REST 호출을 래핑합니다. 또는 그에 따라 ARM(Azure Resource Manager) Rest API PUT을 사용할 수 있습니다.
- PowerShell에서 다음 명령을 실행합니다.
az login --tenant <tenant ID>
Face Check 청구를 사용하도록 설정할 구독을 선택합니다.
다음 명령을 실행합니다.
az rest --method PUT --uri /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.VerifiedId/authorities/<authority-id>?api-version=2024-01-26-preview --body "{'location':'<rp-location>'}"
-
<subscription-id>을(를) 귀하의 구독 ID로 바꾸세요. - 리소스 그룹 이름으로 바꾸기
<resource-group-name> - 을 기관 ID로 대체
<authority-id>합니다. 관리자 API에서 GET Authoritiesauthority-id가져올 수 있습니다. - 다음 두 값 중 하나를 사용하여 바꾸기
<rp-location>:- EU 테넌트인 경우
northeurope - 비 EU 사용의 경우
westus2
- EU 테넌트인 경우
이제 테넌트에서 Face Check 추가 기능을 사용할 수 있습니다.
MyAccount를 사용하여 얼굴 확인 시작
자격 증명을 발급할 수 있는 VerifiedEmployee와 Microsoft에서 제공하는 공용 테스트 앱을 사용하면 얼굴 확인 사용을 쉽게 시작할 수 있습니다. 시작하려면 다음 단계를 수행해야 합니다.
- Microsoft Entra 테넌트에서 테스트 사용자를 만들고 본인의 사진을 업로드합니다.
-
내 계정으로 이동하여 테스트 사용자로 로그인하고 해당 사용자에 대한
VerifiedEmployee자격 증명을 발급합니다. -
공용 테스트 앱을 사용하여 얼굴 확인을 통해
VerifiedEmployee자격 증명을 제시합니다.
Microsoft Authenticator가 얼굴 확인을 포함한 프레젠테이션 요청을 가져오면 사용자에게 공유를 요청하는 자격 증명 유형 뒤에 추가 항목이 있습니다. 사용자가 해당 항목을 선택하면 실제 Face Check가 수행되고 사용자는 요청된 자격 증명 및 검사의 신뢰도 점수를 공개 테스트 앱(신뢰 당사자)과 공유할 수 있습니다. 테스트 앱에서 결과를 검토할 수 있습니다.
참고 항목
MyAccount는 VerifiedEmployee 자격 증명을 발급할 때 Entra ID 사용자 프로필 사진을 사용합니다. Microsoft Graph API https://graph.microsoft.com/v1.0/me/photos/240x240/$value 통해 사진을 검색할 수 있습니다.
요청 서비스 API를 사용하여 얼굴 확인 시작
앱은 요청 서비스 API를 사용하여 사용자가 VerifiedEmployee 자격 증명, 주정부 발급 정부 ID 또는 신뢰할 수 있는 사진이 포함된 사용자 지정 디지털 자격 증명에 대해 얼굴 확인을 수행하도록 요청을 만들 수 있습니다. 예를 들어, 지원 센터 서비스에서는 VerifiedEmployee 자격 증명에 대해 얼굴 확인을 요청하여 ID를 빠르고 안전하게 확인함으로써 암호 활성화 또는 암호 초기화를 포함한 다양한 셀프 서비스 시나리오를 사용하도록 설정할 수 있습니다. 준수 위험을 줄이기 위해 앱은 활성 데이터에 액세스하지 않고도 원하는 자격 증명의 사진과 일치하는 신뢰도 점수를 받습니다.
사진과 함께 확인된 ID 자격 증명 발급
idTokenHint 증명 흐름을 사용하는 사용자 지정 자격 증명 유형은 사진이 포함된 확인된 ID 자격 증명을 발급할 수도 있습니다. 자격 증명 정의에는 사진 클레임에 대한 표시 및 규칙 정의가 있어야 합니다.
Microsoft Authenticator가 사진으로 올바르게 렌더링되어야 함을 이해할 수 있도록 사진 소유권 클레임에 대한 디스플레이 정의의 형식은 image/jpg;base64url로 설정되어야 합니다.
{
"claim": "vc.credentialSubject.photo",
"label": "User picture",
"type": "image/jpg;base64url"
}
사진의 실제 클레임 값을 설정할 때 형식은 UrlEncode(Base64Encode(JPEG image))여야 합니다.
{
"outputClaim": "photo",
"required": false,
"inputClaim": "photo",
"indexed": false
}
참고 항목
사진과 함께 사용자 지정 자격 증명을 발급할 때 사용할 JPEG를 제공하고 인코딩하는 것은 앱의 책임입니다.
Face Check를 포함한 프레젠테이션 요청
프레젠테이션 요청을 만들기 위한 요청 서비스 API에 대한 JSON 페이로드는 얼굴 확인을 수행해야 함을 지정해야 합니다. 사진이 포함된 클레임의 이름을 지정해야 하며 필요에 따라 신뢰도 임계값을 50-100 사이의 정수로 지정할 수 있습니다. 기본값은 70입니다.
// POST https://verifiedid.did.msidentity.com/v1.0/verifiableCredentials/createPresentationRequest
...
"requestedCredentials": [
{
"type": "VerifiedEmployee",
"acceptedIssuers": [ "did:web:yourdomain.com" ],
"configuration": {
"validation": {
"allowRevoked": false,
"validateLinkedDomain": true,
"faceCheck": {
"sourcePhotoClaimName": "photo",
"matchConfidenceThreshold": 70
}
}
성공적인 얼굴 확인 presentation_verified 콜백 이벤트
presentation_verified에 대한 JSON 페이로드에는 확인된 ID 자격 증명 프레젠테이션 중에 얼굴 확인이 성공적으로 이루어졌을 때 더 많은 데이터가 있습니다. matchConfidenceScore가 포함된 faceCheck 섹션이 추가되었습니다. 요청에 faceCheck가 포함된 경우 프레젠테이션 영수증을 요청하고 받을 수 없습니다.
"verifiedCredentialsData": [
{
"issuer": "did:web:yourdomain.com",
"type": [ "VerifiableCredential", "VerifiedEmployee" ],
"claims": {
...
},
...
"faceCheck": {
"matchConfidenceScore": 86.314159,
"sourcePhotoQuality": "HIGH"
}
}
],
얼굴 확인 콜백 이벤트 실패
신뢰도 점수가 임계값보다 낮으면 프레젠테이션 요청이 실패하고 presentation_error가 반환됩니다. 확인 애플리케이션에서는 점수가 반환되지 않습니다.
{
"requestId": "...",
"requestStatus": "presentation_error",
"state": "...",
"error": {
"code": "claimValidationError",
"message": "Match confidence score failing to meet the threshold."
}
}
Authenticator는 신뢰도 점수가 임계값을 충족하지 못했음을 사용자에게 알리는 오류 메시지를 표시합니다.
Microsoft Entra 확인된 ID Face Check에 대한 질문과 대답
얼굴 확인이란?
Microsoft Entra 확인된 ID Face Check는 개인 정보 보호를 존중하는 얼굴 일치에 사용되는 확인된 ID 내의 프리미엄 기능입니다. 이를 통해 엔터프라이즈는 안전하고 간단하며 대규모로 높은 수준의 검증을 수행할 수 있습니다. 얼굴 확인은 사용자의 실시간 셀카와 사진 간의 얼굴 일치를 수행하여 중요한 신뢰 계층을 추가합니다. 얼굴 일치는 Azure AI 서비스를 기반으로 합니다.
얼굴 확인과 Face ID의 차이점은 무엇인가요?
Face ID는 모바일 앱에 액세스하기 위해 디바이스 잠금을 해제하기 위해 Apple 제품에 제공되는 비전 기반 생체 인식 보안 옵션입니다. 얼굴 확인은 비전 기반 AI 기술을 사용하지만 사용자를 제시된 인증 ID와 비교하는 Microsoft Entra 인증 ID 기능입니다. Face Check는 높은 보증 액세스가 필요한 광범위한 온라인 시나리오에서 사용자 ID를 결정합니다. 그 예는 높은 가치의 비즈니스 프로세스 또는 중요한 회사 정보에 대한 액세스입니다. 두 메커니즘 모두 사용자가 프로세스에서 카메라를 향해야 하지만 작동 방식은 다릅니다.
얼굴 확인 생체 인식 시력 검사는 모바일 디바이스에서 진행되나요?
아니요. 사진과 캡처된 생체 인식 데이터 간의 생체 인식 검사는 Azure AI 비전 Face API를 사용하여 클라우드에서 수행됩니다. 이 과정에서 사용자 셀카 캡처는 요청한 ID 확인 사이트와 공유되지 않습니다.
얼굴 활동성 검사란?
Microsoft Entra 확인된 ID Face Check는 Azure AI Vision Face API 활동성 검사를 사용하여 사용자의 디바이스에 있는 카메라의 셀카 영상에서 실제 사용자인지 확인합니다. 이 검사는 사용자의 정적 사진 또는 2D 비디오를 라이브 자체 대신 사용할 수 없도록 하는 데 도움이 됩니다.
수집된 생체 데이터는 어떻게 되나요?
모바일 디바이스에서 카메라를 켜면 실시간 장면이 모바일 디바이스에서 캡처됩니다. 그런 다음 이 장면은 Azure AI 서비스를 호출하는 데 사용하는 확인된 ID로 전달됩니다.
데이터는 Microsoft Authenticator, 확인된 ID 또는 Azure AI 서비스에 의해 저장되거나 유지되지 않습니다. 또한 장면은 검증 애플리케이션과도 공유되지 않습니다. 검증자 애플리케이션은 그 대가로 신뢰도 점수만 가져옵니다. AI 기반 시스템에서 신뢰도 점수는 시스템에 대한 쿼리에 대한 확률 백분율 응답입니다. 이 시나리오에서 신뢰도 점수는 확인된 ID 사용자 사진이 모바일 디바이스에서 사용자 캡처와 일치할 가능성이 높습니다. Azure AI 서비스에 대한 데이터 및 개인 정보 보호는 여기에서 확인할 수 있습니다.
얼굴 확인 비용은 얼마인가요?
사용량 청구 및 가격 책정에 대한 최신 정보는 Microsoft Entra 가격 책정을 참조하세요.
구독을 찾을 수 없는 경우 어떻게 해야 하나요?
구독 연결 창에 사용할 수 있는 구독이 없는 경우 몇 가지 가능한 이유는 다음과 같습니다.
적절한 사용 권한이 없습니다. Azure 계정으로 로그인해야 합니다. 적어도 구독 내의 기여자 역할 또는 구독 내의 리소스 그룹이 있어야 합니다.
구독이 있지만 아직 디렉터리에 연결되지 않았습니다. 기존 구독을 테넌트에 연결한 다음 테넌트에 연결하는 단계를 반복할 수 있습니다.
구독이 없습니다. 구독 연결 창에서 구독을 만들 수 있는 구독이 아직 없는 경우 링크를 선택하여 구독을 만들 수 있습니다. 새 구독을 만든 후에는 새 구독에서 리소스 그룹을 만든 다음 테넌트에 연결하는 단계를 반복해야 합니다.
Face Check 개발자를 위한 질문과 대답
얼굴 확인에는 MS 인증이 필요하나요?
예. Face Check는 MS Authenticator를 사용한 확인된 ID 사용으로 제한됩니다. 이 제한은 Face Check에서 삽입 공격을 방지하기 위해 적용됩니다. 얼굴 확인이 아닌 시나리오의 경우 Wallet SDK를 다른 인증된 ID 솔루션으로 사용할 수 있습니다. 여기에서 자세한 내용 참고
신뢰도 일치율이란 무엇이며 신뢰도란 무엇을 의미하나요?
조직은 애플리케이션에 대한 신뢰도 점수 임계값을 선택하여 Face Check 확인을 수락할 수 있습니다. 임계값이 높을수록 가장자가 잘못 수락될 가능성이 적습니다. 기본 신뢰도 점수 50%에서 라이브 셀카에 있는 사람이 정당한 자격 증명 소유자가 아닐 확률은 100,000명 중 하나입니다. 필요한 수준은 특정 시나리오, 진입점이 공개되는 방식 및 계획된 사용자에 따라 달라집니다. 90%의 신뢰도 점수에서 가양성 사용자 기회는 10억 명 중 하나입니다. 임계값이 높을수록 애플리케이션의 민감도가 높아서 권한이 부여된 사용자가 거부될 가능성이 높아질 수 있습니다. 애플리케이션을 보호하는 높은 신뢰도 점수 임계값을 설정하는 것 사이의 적절한 균형을 찾는 것이 중요합니다. 이렇게 높게 설정하지 않으면서 약간의 외관 변경이나 조명과 같은 주변 환경의 시각적 조건으로 인해 승인된 사용자를 거부하는 경우가 많습니다.
Azure Face API에 대해 자세히 알아봅니다.
Azure AI 비전 페이스 API란?
Azure AI는 Azure Platform의 클라우드 서비스 도구 모음입니다. Azure AI 비전 Face API는 얼굴 인식, 얼굴 인식, 얼굴 일치 및 생체 확인을 위한 서비스를 제공합니다. Microsoft Entra 확인된 ID는 FaceCheck를 수행할 때 얼굴 감지, 얼굴 일치, 얼굴 활동성 검사 서비스를 사용합니다. 자세한 내용은 여기에서 확인합니다.
Azure AI 비전 Face API는 얼마나 공정한가요?
Microsoft는 Face API의 공정성 테스트를 실시했습니다. Azure AI 서비스 팀은 책임 있고 포괄적인 AI 사용을 보장하기 위해 지속적으로 노력하고 있습니다. Face API 공정성 보고서를 봅니다.
iBeta 수준 2를 준수하나요?
예. Azure Face API AI 및 Face Check는 사용자를 가장하기 위한 다양한 표시 스타일의 공격에 저항하는 iBeta 수준 2입니다. iBeta의 ISO 프레젠테이션 공격 감지 테스트에 대해 자세히 알아봅니다.
Azure AI 비전 Face API는 얼마나 공정한가요?
Microsoft는 Face API의 공정성 테스트를 수행했습니다. Azure AI 서비스 팀은 생체 인식 AI의 책임감 있고 포괄적인 사용을 보장하기 위해 지속적으로 노력하고 있습니다. Face API 공정성 보고서는 여기에서 확인할 수 있습니다.
사용자가 최근에 헤어 스타일을 가지고, 자신의 얼굴 머리를 면도, 또는 그렇지 않으면 자신의 외모를 변경하는 경우, 그들은 얼굴 확인 확인을 완료 할 수 없습니다?
Face Check는 사용자의 라이브 셀카를 확인된 ID와 연결된 사진과 비교합니다. 사용자가 해당 사진처럼 보이지 않는 경우 일치 점수가 낮아집니다. Face Check 확인이 허용되는지 여부는 사용자가 이전에 저장된 사진과 현재 표시되는 방식과 애플리케이션의 신뢰도 점수 임계값이 얼마나 높은지에 따라 달라집니다. 애플리케이션에 상대적으로 높은 임계값이 있는 경우 사용자가 업로드된 확인된 ID 사진과 일치하는 실제 모양을 유지하거나 사용자의 현재 모양을 반영하는 사진으로 바꾸는 것이 좋습니다.
Face Check를 사용하면 데이터가 어디로 이동하나요? 저장되는 위치는 어디인가요?
Face Check 중에 사용되는 이미지는 장기적으로 저장되지 않습니다. Face Check 요청 중에 사용자의 모바일 장치에서 셀카가 캡처됩니다. 그런 다음, 이 이미지는 Azure Face API AI 서비스를 호출하는 데 사용하는 확인된 ID에 전달됩니다. 처리가 완료되면 셀카 이미지가 삭제되고 디바이스 또는 서비스에 저장되지 않습니다. Microsoft Authenticator, 확인된 ID 및 Azure AI 서비스는 이 데이터를 저장하거나 유지하지 않습니다. 또한 캡처된 셀카 이미지도 검증 도구 애플리케이션과 공유되지 않습니다. 검증 도구 애플리케이션은 결과 일치 항목의 신뢰도 점수만 받습니다.
Azure AI 서비스에 대한 데이터 및 개인 정보는 여기에서 찾을 수 있습니다.
Microsoft Entra 확인된 ID 확인을 통해 Face Check는 지갑이나 클라우드에서 발생하나요?
확인된 ID 서비스는 디바이스가 아닌 클라우드에서 확인 프로세스를 실행합니다. 자격 증명은 자격 증명의 사용을 완전히 제어할 수 있도록 사용자의 디바이스에 저장됩니다. 사용자는 검증을 위해 자격 증명을 처리할 검증 도구와 공유하도록 선택해야 합니다.
확인된 ID의 사진에 대한 요구 사항은 무엇인가요?
사진은 품질이 명확하고 선명해야 하며 200픽셀 x 200픽셀보다 작지 않아야 합니다. 얼굴은 이미지의 가운데에 배치되고 보기에서 방해받지 않아야 합니다. 자격 증명에서 사진의 최대 크기는 1MB입니다. 이미지가 클수록 더 나은 결과가 보장되지는 않습니다. 좋은 작은 사진은 큰 나쁜 것보다 낫다.
사진 처리 정확도를 개선하는 방법에 대한 자세한 내용은 여기를 참조 하세요.
확인 가능한 자격 증명 크기 조정 제한에 대한 자세한 내용은 여기를 참조 하세요.
다음 단계
- Microsoft Entra 확인 ID에 대한 테넌트를 구성하고 MyAccount를 사용하는 방법을 알아봅니다.
- 웹 애플리케이션에서 Microsoft Entra 확인된 ID 자격 증명을 발급하는 방법을 알아봅니다.
- Microsoft Entra 확인된 ID 자격 증명을 확인하는 방법을 알아봅니다.