Face Check gebruiken met Microsoft Entra geverifieerde ID en verificaties met hoge zekerheid op schaal ontgrendelen

Face Check is een privacy-respecterende gezichtskoppeling. Het stelt ondernemingen in staat om veilig en eenvoudig en op schaal verificaties met hoge zekerheid uit te voeren. Face Check voegt een kritieke vertrouwenslaag toe door gezichtskoppeling uit te voeren tussen de realtime selfie en een foto van een gebruiker. De gezichtskoppeling wordt mogelijk gemaakt door Azure AI-services. Face Check beschermt de privacy van gebruikers door alleen de resultaten van de overeenkomst en geen gevoelige identiteitsgegevens te delen, terwijl organisaties ervoor kunnen zorgen dat de persoon die een identiteit claimt, echt is.

Vereisten

Face Check is een premium-functie binnen geverifieerde id. U moet de invoegtoepassing Face Check inschakelen in uw Microsoft Entra geverifieerde ID-installatie voordat u verificaties voor facecontrole uitvoert.

• Zorg ervoor dat Microsoft Entra geverifieerde ID is ingesteld in uw tenant voordat u Face Check gebruikt.
• Een Azure-abonnement koppelen of toevoegen aan uw Microsoft Entra-tenant
• Zorg ervoor dat de gebruiker die Face Check instelt, de rol Inzender heeft voor het Azure-abonnement

Face Check instellen met Microsoft Entra geverifieerde ID

De invoegtoepassing Face Check kan op twee manieren worden ingeschakeld vanuit het Microsoft Entra-beheercentrum of met behulp van de Rest API van Azure Resource Manager (ARM) via CLI. Als u Face Check in een tenant wilt gebruiken met de Microsoft Entra Suite-licentie, wordt Face Check ingeschakeld op tenantniveau en is de configuratie van toepassing op alle autoriteiten binnen die tenant. Voor andere licenties kunt u Face Check afzonderlijk inschakelen door elke instantie in uw tenant met behulp van de REST API van Azure Resource Manager (ARM).

Notitie

De ARM Rest API voor Microsoft Entra geverifieerde ID is momenteel beschikbaar als openbare preview.

Face Check instellen met Microsoft Entra geverifieerde ID in het beheercentrum

1. Schuif op de overzichtspagina geverifieerde id omlaag naar de nieuwe sectie Invoegtoepassingen en Enable de invoegtoepassing Face Check.

2. Selecteer in de stap Een abonnement koppelen een abonnement, een resourcegroep en de resourcelocatie. Selecteer Validatevervolgens . Als er geen abonnementen worden vermeld, raadpleegt u Wat als ik geen abonnement kan vinden?

3. Zodra de invoegtoepassing is gevalideerd, kunt Enable u de invoegtoepassing.

U kunt nu Face Check gaan gebruiken in uw bedrijfstoepassingen.

Face Check instellen met Microsoft Entra geverifieerde ID met behulp van de REST API van Azure Resource Manager (ARM)

Notitie

De ARM Rest API voor Microsoft Entra geverifieerde ID is momenteel beschikbaar als openbare preview.

Als u de invoegtoepassing Face Check wilt instellen op een bepaalde instantie, moet u de Azure PowerShell-hulpprogramma's op uw computer hebben. Dit mechanisme verpakt de REST-aanroep. U kunt ook de REST API PUT van Azure Resource Manager (ARM) dienovereenkomstig gebruiken

1. Voer de volgende opdracht uit in PowerShell

  az login --tenant  <tenant ID>

1. Selecteer het abonnement waarvoor u facturering voor Face Check wilt inschakelen

2. Voer de volgende opdracht uit

  az rest --method PUT --uri /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.VerifiedId/authorities/<authority-id>?api-version=2024-01-26-preview --body "{'location':'<rp-location>'}"

• <subscription-id> vervangen door uw abonnements-id
• vervangen door <resource-group-name> de naam van de resourcegroep
• vervang door <authority-id> uw instantie-id. U kunt de authority-idaanroep GET Authorities verkrijgen via de beheer-API.
• vervang een <rp-location> van de volgende twee waarden:
  • Gebruik voor EU-tenants northeurope
  • Voor niet-EU-gebruik westus2

De invoegtoepassing Face Check is nu ingeschakeld in uw tenant.

Aan de slag met Face Check met MyAccount

U kunt eenvoudig aan de slag met Face Check met behulp van MyAccount, dat referenties kan uitgeven VerifiedEmployee en een openbare test-app die Microsoft biedt. Om aan de slag te gaan, moet u de volgende stappen uitvoeren:

1. Een testgebruiker maken in uw Microsoft Entra-tenant en een foto van uzelf uploaden
2. Ga naar MyAccount, meld u aan als de testgebruiker en geef een VerifiedEmployee referentie voor de gebruiker op.
3. Gebruik de openbare test-app om uw VerifiedEmployee referenties te presenteren met Face Check.

Wanneer de Microsoft Authenticator een presentatieaanvraag ontvangt, inclusief een Face Check, is er een extra item nadat het referentietype is opgegeven dat de gebruiker wordt gevraagd om te delen. Wanneer de gebruiker op dat item selecteert, wordt de werkelijke Face Check uitgevoerd en kan de gebruiker vervolgens de aangevraagde referentie en de betrouwbaarheidsscore van de controle delen met de openbare test-app (relying party). U kunt de resultaten van de test-app bekijken.

Notitie

MyAccount gebruikt de gebruikersprofiel foto van de Entra ID tijdens het verstrekken van de credential VerifiedEmployee. U kunt uw foto ophalen via Microsoft Graph API https://graph.microsoft.com/v1.0/me/photos/240x240/$value

Aan de slag met Face Check met behulp van aanvraagservice-API

Apps kunnen de Aanvraagservice-API gebruiken om een aanvraag te maken voor gebruikers om een Face Check uit te voeren op basis van een VerifiedEmployee referentie, door de staat uitgegeven overheids-id of een aangepaste digitale referentie met een vertrouwde foto. Een helpdeskservice kan bijvoorbeeld een Face Check aanvragen op basis van een VerifiedEmployee referentie om de identiteit snel en veilig te verifiëren om een groot aantal selfservicescenario's mogelijk te maken, waaronder het activeren van een wachtwoord of het opnieuw instellen van een wachtwoord. Om het nalevingsrisico te verminderen, ontvangen apps een betrouwbaarheidsscore voor match met de foto van de gewenste referentie, zonder toegang te krijgen tot livenessgegevens.

Een geverifieerde id-referentie uitgeven met een foto

Aangepaste referentietypen met behulp van de idTokenHint Attestation-stroom kunnen ook een geverifieerde id-referentie met een foto uitgeven. De referentiedefinitie moet de weergave- en regeldefinitie voor de fotoclaim hebben.

De weergavedefinitie voor de fotoclaim moet het type hebben ingesteld image/jpg;base64url om Microsoft Authenticator te laten begrijpen dat deze correct moet worden weergegeven als een foto.

{ 
  "claim": "vc.credentialSubject.photo", 
  "label": "User picture", 
  "type": "image/jpg;base64url" 
} 

Bij het instellen van de werkelijke claimwaarde van de foto moet deze opmaken UrlEncode(Base64Encode(JPEG image)).

{ 
  "outputClaim": "photo", 
  "required": false, 
  "inputClaim": "photo", 
  "indexed": false 
} 

Notitie

Wanneer u een aangepaste referentie met een foto uitgeeft, is het de verantwoordelijkheid van de apps om de JPEG te gebruiken en te coderen.

Presentatieaanvragen met inbegrip van Face Check

De JSON-nettolading naar de aanvraagservice-API voor het maken van een presentatieaanvraag moet opgeven dat er een Face Check moet worden uitgevoerd. De claim met de foto moet een naam hebben en u kunt eventueel uw betrouwbaarheidsdrempel opgeven als een geheel getal tussen 50-100. De standaardwaarde is 70.

// POST https://verifiedid.did.msidentity.com/v1.0/verifiableCredentials/createPresentationRequest
...
  "requestedCredentials": [
    {
      "type": "VerifiedEmployee",
      "acceptedIssuers": [ "did:web:yourdomain.com" ],
      "configuration": {
        "validation": {
          "allowRevoked": false,
          "validateLinkedDomain": true,
          "faceCheck": {
            "sourcePhotoClaimName": "photo",
            "matchConfidenceThreshold": 70
          }
        }

Geslaagde facecontrole presentation_verified callback-gebeurtenis

De JSON-nettolading voor de nettolading presentation_verified bevat meer gegevens wanneer een Face Check is geslaagd tijdens een referentiepresentatie met geverifieerde id's. De sectie faceCheck wordt toegevoegd die een matchConfidenceScore bevat. Houd er rekening mee dat het niet mogelijk is om het ontvangstbewijs van de presentatie aan te vragen en te ontvangen wanneer de aanvraag faceCheck bevat.

  "verifiedCredentialsData": [ 
    { 
      "issuer": "did:web:yourdomain.com", 
      "type": [ "VerifiableCredential", "VerifiedEmployee" ], 
      "claims": { 
        ... 
      }, 
      ... 
      "faceCheck": { 
        "matchConfidenceScore": 86.314159,
        "sourcePhotoQuality": "HIGH"
      } 
    } 
  ], 

Callbackgebeurtenis voor Face Check mislukt

Wanneer de betrouwbaarheidsscore lager is dan de drempelwaarde, wordt de presentatieaanvraag mislukt en wordt er een presentation_error geretourneerd. De controlerende toepassing krijgt de score niet geretourneerd.

{ 
  "requestId": "...", 
  "requestStatus": "presentation_error", 
  "state": "...", 
  "error": { 
    "code": "claimValidationError", 
    "message": "Match confidence score failing to meet the threshold." 
  } 
} 

De Verificator geeft een foutbericht weer waarin de gebruiker wordt geïnformeerd dat de betrouwbaarheidsscore niet voldoet aan de drempelwaarde.

Veelgestelde vragen over Gezichtscontrole met Microsoft Entra geverifieerde ID

Wat is Face Check?

Face Check met Microsoft Entra geverifieerde ID is een premium-functie binnen geverifieerde id die wordt gebruikt voor privacy-respecterende gezichtskoppeling. Het stelt ondernemingen in staat om veilig en eenvoudig en op schaal verificaties met hoge zekerheid uit te voeren. Face Check voegt een kritieke vertrouwenslaag toe door gezichtskoppeling uit te voeren tussen de realtime selfie en een foto van een gebruiker. De gezichtskoppeling wordt mogelijk gemaakt door Azure AI-services.

Wat is het verschil tussen Face Check en Face ID?

Face ID is een visuele, biometrische beveiligingsoptie voor Apple-producten voor het ontgrendelen van een apparaat voor toegang tot een mobiele app. Face Check is een Microsoft Entra geverifieerde ID functie die ook gebruikmaakt van ai-technologie op basis van visie, maar vergelijkt de gebruiker met de gepresenteerde geverifieerde id. Face Check bepaalt de gebruikersidentiteit in een breed scala aan onlinescenario's waarbij hoge zekerheidstoegang vereist is. Enkele voorbeelden hiervan zijn hoogwaardige bedrijfsprocessen of toegang tot gevoelige bedrijfsgegevens. Beide mechanismen vereisen dat een gebruiker een camera in het proces onder ogen moet zien, maar op verschillende manieren werkt.

Wordt de biometrische gezichtscontrole voor gezichtscontrole uitgevoerd op het mobiele apparaat?

Nee De biometrische controle tussen de foto en de vastgelegde livenessgegevens wordt uitgevoerd in de cloud, met behulp van de Face-API van Azure AI Vision. De opname van de selfie van de gebruiker tijdens het proces wordt niet gedeeld met de aanvraag-id die de site verifieert.

Wat is Face Liveness Check?

Gezichtscontrole met Microsoft Entra geverifieerde ID maakt gebruik van livenesscontrole van de Face-API van Azure AI Vision om te controleren of het een echte persoon is in de selfiebeelden van de camera op het apparaat van de gebruiker. Deze controle zorgt ervoor dat een statische foto of een 2D-video van een gebruiker niet kan worden gebruikt in plaats van hun live zelf.

Wat gebeurt er met de levendheidsgegevens die zijn genomen?

Wanneer de camera op het mobiele apparaat is ingeschakeld, worden livebeelden vastgelegd op het mobiele apparaat. Deze beelden worden vervolgens doorgegeven aan geverifieerde id die deze gebruikt om services van Azure AI-services aan te roepen.

Gegevens worden niet opgeslagen door of bewaard door een van de services Microsoft Authenticator, geverifieerde id of Azure AI. Bovendien worden de beelden ook niet gedeeld met de verificatortoepassing. De verificatortoepassing krijgt alleen de betrouwbaarheidsscore als resultaat. In een AI-systeem is de betrouwbaarheidsscore het waarschijnlijkheidspercentage voor een query naar het systeem. Voor dit scenario is de betrouwbaarheidsscore de kans dat de geverifieerde id-gebruikersfoto overeenkomt met de gebruikersopname op het mobiele apparaat. Hier vindt u gegevens en privacy voor Azure AI Services.

Hoeveel kost Face Check?

Zie Microsoft Entra-prijzen voor de meest recente informatie over facturering en prijzen voor gebruik.

Wat gebeurt er als ik geen abonnement kan vinden?

Als er geen abonnementen beschikbaar zijn in het deelvenster Een abonnement koppelen, zijn hier enkele mogelijke redenen:

U beschikt niet over de juiste machtigingen. Zorg ervoor dat u zich aanmeldt met het Azure-account ten minste de rol Inzender binnen het abonnement of een resourcegroep binnen het abonnement heeft.

Er bestaat een abonnement, maar het is nog niet gekoppeld aan uw directory. U kunt een bestaand abonnement aan uw tenant koppelen en vervolgens de stappen herhalen om het aan uw tenant te koppelen.

Er bestaat geen abonnement. In het deelvenster Een abonnement koppelen kunt u een abonnement maken door de koppeling te selecteren als u nog geen abonnement hebt dat u hier kunt maken. Nadat u een nieuw abonnement hebt gemaakt, moet u een resourcegroep maken in het nieuwe abonnement en vervolgens de stappen herhalen voor het koppelen aan uw tenant.

Veelgestelde vragen over Face Check-ontwikkelaars

Is voor gezichtscontrole MS Authenticator vereist?

Ja. Face Check is beperkt tot geverifieerd id-gebruik met MS Authenticator. Deze beperking is ingesteld om injectieaanvallen op Face Check te voorkomen. Voor niet-Face Check-scenario's is een Wallet SDK beschikbaar voor andere geverifieerde id-oplossingen. Meer informatie vindt u hier

Wat is de overeenkomst met het betrouwbaarheidspercentage en wat betekent betrouwbaarheid?

Organisaties kunnen hun drempelwaarde voor betrouwbaarheidsscore voor hun toepassing kiezen om een Face Check-verificatie te accepteren. Een hogere drempelwaarde betekent dat het minder waarschijnlijk is dat een imitator onwaar wordt geaccepteerd. Bij de standaard betrouwbaarheidsscore van 50%, is de kans dat de persoon in de live selfie niet de juiste referentie-eigenaar is één in 100.000. Het vereiste niveau is afhankelijk van het specifieke scenario, hoe openbaar het toegangspunt is en de geplande gebruikers. Bij een betrouwbaarheidsscore van 90% is de kans op fout-positieve gebruikers één in een miljard. Een hogere drempelwaarde resulteert in het toegenomen potentieel voor een geautoriseerde gebruiker die wordt geweigerd vanwege de hogere gevoeligheid van de toepassing. Het is belangrijk om de juiste balans te vinden tussen het instellen van een drempelwaarde voor een hoge betrouwbaarheidsscore die uw toepassing beveiligt en deze niet zo hoog maakt dat geautoriseerde gebruikers vaak worden geweigerd vanwege kleine veranderingen in het uiterlijk of de visuele omstandigheden van hun omgeving, zoals verlichting.

Meer informatie over Azure Face-API.

Wat is De Face-API van Azure AI Vision?

Azure AI is een suite met cloudservices op het Azure-platform. De Azure AI Vision Face-API biedt services voor gezichtsdetectie, gezichtsherkenning, gezichtsmatch en livenesscontrole. Microsoft Entra geverifieerde ID maakt gebruik van gezichtsdetectie, gezichtsmatch en gezichts livenesscontroleservices bij het uitvoeren van de FaceCheck. Meer informatie is hier te vinden.

Hoe eerlijk is de Face-API van Azure AI Vision?

Microsoft heeft eerlijkheidstests uitgevoerd voor de Face-API. Het Azure AI-servicesteam streeft er voortdurend naar om ervoor te zorgen dat AI verantwoordelijk en inclusief wordt gebruikt. Bekijk het fairness-rapport van de Face-API.

Ben je iBeta Level 2 conformant?

Ja. Azure Face API AI en Face Check zijn conform iBeta Level 2 om bestand te zijn tegen verschillende presentatiestijlen van aanvallen om een gebruiker te imiteren. Meer informatie over de ISO-presentatiedetectietests van iBeta.

Hoe eerlijk is de Face-API van Azure AI Vision?

Microsoft heeft eerlijkheidstests uitgevoerd voor de Face-API. Het Azure AI Services-team streeft voortdurend ernaar om verantwoordelijk en inclusief gebruik van biometrische AI te garanderen. Het rapport Face-API Fairness is hier beschikbaar.

Als een gebruiker onlangs een kapsel heeft gekregen, zijn gezichtshaar geschoren of anderszins zijn uiterlijk heeft gewijzigd, kan hij of zij geen gezichtscontrole voltooien?

Face Check vergelijkt de live selfie van een gebruiker met de foto die is gekoppeld aan uw geverifieerde id. Hoe minder de gebruiker eruitziet als die foto, hoe lager de matchscore is. Of de verificatie van facecontrole al dan niet wordt geaccepteerd, is afhankelijk van hoe anders de gebruiker op dit moment wordt weergegeven op basis van de eerder opgeslagen foto en hoe hoog de drempelwaarde voor de betrouwbaarheidsscore van de toepassing is. Als uw toepassing een relatief hoge drempelwaarde heeft, is het raadzaam dat gebruikers een fysiek uiterlijk behouden dat consistent is met hun geüploade geverifieerde id-foto of de foto vervangen door een foto die het huidige uiterlijk van de gebruiker weerspiegelt.

Zodra ik Face Check gebruik, waar gaan mijn gegevens naartoe? Waar wordt het opgeslagen?

Afbeeldingen die tijdens Face Check worden gebruikt, worden niet op lange termijn opgeslagen. Tijdens een Face Check-aanvraag wordt een selfie vastgelegd vanaf het mobiele apparaat van de gebruiker. Deze afbeelding wordt vervolgens doorgegeven aan geverifieerde id die deze gebruikt om AI-services voor Azure Face API aan te roepen. Zodra de verwerking is voltooid, wordt de selfie-afbeelding verwijderd en niet opgeslagen op een apparaat of service. Microsoft Authenticator, geverifieerde id en Azure AI-services slaan deze gegevens niet op of bewaren. Bovendien wordt de vastgelegde selfieafbeelding ook niet gedeeld met de verificatortoepassing. De verificatortoepassing ontvangt alleen een betrouwbaarheidsscore van de resulterende overeenkomst.

Hier vindt u gegevens en privacy voor Azure AI-services.

Gebeurt de Face Check met Microsoft Entra geverifieerde ID verificatie in de portemonnee of in de cloud?

De geverifieerde id-service voert het verificatieproces uit in de cloud, niet op het apparaat. Referenties worden opgeslagen op het apparaat van een gebruiker, zodat ze volledige controle hebben over het gebruik van een referentie. Een gebruiker moet ervoor kiezen om een referentie te delen met een verificator om deze te kunnen verwerken voor verificatie.

Wat zijn de vereisten voor de foto in de geverifieerde id?

De foto moet duidelijk en scherp zijn in kwaliteit en niet kleiner dan 200 pixels x 200 pixels. Het gezicht moet in het midden van de afbeelding worden gecentreerd en niet zichtbaar zijn. De maximale grootte van de foto in de referentie is 1 MB. Houd er rekening mee dat een grotere afbeelding geen beter resultaat garandeert. Een goede kleinere foto is beter dan een grote slechte foto.

Meer informatie over het verbeteren van de nauwkeurigheid van de fotoverwerking vindt u hier

Meer informatie over verifieerbare limieten voor referenties vindt u hier

Volgende stappen

• Meer informatie over het configureren van uw tenant voor Microsoft Entra geverifieerde ID en het gebruik van MyAccount.
• Meer informatie over het uitgeven van Microsoft Entra geverifieerde ID referenties van een webtoepassing.
• Meer informatie over het verifiëren van Microsoft Entra geverifieerde ID referenties.