Używanie funkcji Face Check z Zweryfikowany identyfikator Microsoft Entra i odblokowywanie weryfikacji wysokiej gwarancji na dużą skalę

Face Check to zgodne z prywatnością dopasowanie twarzy. Dzięki niej przedsiębiorstwa mogą bezpiecznie, po prostu i na dużą skalę przeprowadzać weryfikacje o wysokiej gwarancji. Funkcja Face Check dodaje krytyczną warstwę zaufania, wykonując dopasowywanie twarzy między selfie użytkownika w czasie rzeczywistym a zdjęciem. Dopasowywanie twarzy jest obsługiwane przez usługi Azure AI. Funkcja Face Check chroni prywatność użytkowników, udostępniając tylko wyniki dopasowania, a nie żadnych poufnych danych tożsamości, jednocześnie umożliwiając organizacjom upewnienie się, że osoba, która twierdzi, że tożsamość jest naprawdę nimi.

Wymagania wstępne

Funkcja sprawdzania twarzy to funkcja premium w ramach zweryfikowanego identyfikatora. Przed przeprowadzeniem weryfikacji twarzy należy włączyć dodatek sprawdzania twarzy w konfiguracji Zweryfikowany identyfikator Microsoft Entra.

• Przed użyciem funkcji sprawdzania twarzy upewnij się, że Zweryfikowany identyfikator Microsoft Entra jest skonfigurowana w dzierżawie.
• Kojarzenie lub dodawanie subskrypcji Azure do posiadanej dzierżawy Microsoft Entra
• Upewnij się, że użytkownik konfigurujący sprawdzanie twarzy ma rolę Współautor dla subskrypcji platformy Azure

Konfigurowanie sprawdzania twarzy przy użyciu Zweryfikowany identyfikator Microsoft Entra

Dodatek do sprawdzania twarzy można włączyć na dwa sposoby w centrum administracyjnym firmy Microsoft lub przy użyciu interfejsu API REST usługi Azure Resource Manager (ARM) za pośrednictwem interfejsu wiersza polecenia. Jeśli zamierzasz używać funkcji Face Check w dzierżawie z licencją pakietu Microsoft Entra Suite, sprawdzanie twarzy jest włączone na poziomie dzierżawy, a konfiguracja ma zastosowanie do wszystkich urzędów w tej dzierżawie. W przypadku innych licencji możesz włączyć funkcję Face Check indywidualnie dla każdego autorytetu w dzierżawie za pomocą interfejsu ARM REST API usługi Azure Resource Manager (ARM).

Uwaga

Interfejs API REST usługi ARM dla Zweryfikowany identyfikator Microsoft Entra jest obecnie w publicznej wersji zapoznawczej.

Konfigurowanie sprawdzania twarzy przy użyciu Zweryfikowany identyfikator Microsoft Entra w Centrum administracyjnym

1. Na stronie Przegląd zweryfikowanego identyfikatora przewiń w dół do nowej sekcji Dodatki i Enable dodatek Do sprawdzania twarzy.

2. W kroku Łączenie subskrypcji wybierz subskrypcję, grupę zasobów i lokalizację zasobu. Następnie wybierz pozycję Validate. Jeśli nie ma żadnych subskrypcji na liście, zobacz Co zrobić, jeśli nie mogę znaleźć subskrypcji?

3. Po zweryfikowaniu można Enable dodać.

Teraz możesz rozpocząć korzystanie z funkcji Face Check w aplikacjach dla przedsiębiorstw.

Konfigurowanie sprawdzania twarzy przy użyciu Zweryfikowany identyfikator Microsoft Entra przy użyciu interfejsu API REST usługi Azure Resource Manager (ARM)

Uwaga

Interfejs API REST usługi ARM dla Zweryfikowany identyfikator Microsoft Entra jest obecnie w publicznej wersji zapoznawczej.

Aby skonfigurować dodatek do sprawdzania twarzy w danym urzędzie, musisz mieć narzędzia programu Azure PowerShell na maszynie. Ten mechanizm opakowuje wywołanie REST. Alternatywnie możesz użyć interfejsu API REST usługi Azure Resource Manager (ARM) PUT odpowiednio

1. Uruchom następujące polecenie w programie PowerShell

  az login --tenant  <tenant ID>

1. Wybierz subskrypcję, dla której chcesz włączyć rozliczenia sprawdzania twarzy

2. Uruchom następujące polecenie

  az rest --method PUT --uri /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.VerifiedId/authorities/<authority-id>?api-version=2024-01-26-preview --body "{'location':'<rp-location>'}"

• zastąp <subscription-id> identyfikatorem subskrypcji
• zastąp <resource-group-name> ciąg nazwą grupy zasobów
• zastąp <authority-id> ciąg identyfikatorem urzędu. Możesz uzyskać metodę authority-id przy użyciu wywołania GET Authorities z interfejsu API administratora.
• zastąp <rp-location> jedną z następujących dwóch wartości:
  • W przypadku dzierżaw z UE użyj polecenia northeurope
  • Do użytku poza UE westus2

Dodatek do sprawdzania twarzy jest teraz włączony w dzierżawie.

Wprowadzenie do sprawdzania twarzy przy użyciu konta MyAccount

Możesz łatwo rozpocząć korzystanie z funkcji Sprawdzania twarzy przy użyciu konta MyAccount, które może wystawiać VerifiedEmployee poświadczenia i publiczną aplikację testową udostępnianą przez firmę Microsoft. Aby rozpocząć pracę, należy wykonać następujące kroki:

1. Tworzenie użytkownika testowego w dzierżawie firmy Microsoft Entra i przekazywanie zdjęcia samodzielnie
2. Przejdź do pozycji MyAccount, zaloguj się jako użytkownik testowy i wystaw VerifiedEmployee poświadczenia dla użytkownika.
3. Użyj publicznej aplikacji testowej, aby przedstawić VerifiedEmployee swoje poświadczenia przy użyciu funkcji Sprawdzania twarzy.

Gdy aplikacja Microsoft Authenticator otrzymuje żądanie prezentacji, w tym sprawdzanie twarzy, jest dostępny dodatkowy element po wpisaniu poświadczeń, który użytkownik zostanie poproszony o udostępnienie. Gdy użytkownik wybierze ten element, jest wykonywane rzeczywiste sprawdzanie twarzy, a użytkownik może następnie udostępnić żądane poświadczenia i wskaźnik ufności sprawdzenia z publiczną aplikacją testową (jednostki uzależnionej). Możesz przejrzeć wyniki w aplikacji Test.

Uwaga

MyAccount używa zdjęcia profilu użytkownika Entra ID podczas wystawiania poświadczenia VerifiedEmployee. Zdjęcie można pobrać za pomocą interfejsu API programu Microsoft Graph https://graph.microsoft.com/v1.0/me/photos/240x240/$value

Wprowadzenie do sprawdzania twarzy przy użyciu interfejsu API usługi żądania

Aplikacje mogą używać interfejsu API usługi żądań do tworzenia żądań dla użytkowników w celu przeprowadzenia sprawdzania twarzy względem VerifiedEmployee poświadczeń, identyfikatora wydanego przez państwo lub niestandardowego poświadczenia cyfrowego z zaufanym zdjęciem. Na przykład usługa pomocy technicznej może zażądać sprawdzenia twarzy względem VerifiedEmployee poświadczeń, aby szybko i bezpiecznie zweryfikować tożsamość, aby włączyć szeroką gamę scenariuszy samoobsługi, w tym aktywowanie klucza dostępu lub zresetowanie hasła. Aby zmniejszyć ryzyko zgodności, aplikacje otrzymują współczynnik ufności dla dopasowania względem zdjęcia z żądanych poświadczeń bez uzyskiwania dostępu do danych na żywo.

Wystawianie poświadczeń zweryfikowanego identyfikatora ze zdjęciem

Niestandardowe typy poświadczeń przy użyciu przepływu zaświadczania idTokenHint mogą również wystawiać poświadczenia zweryfikowanego identyfikatora zawierające zdjęcie. Definicja poświadczeń musi mieć definicję wyświetlania i reguł dla oświadczenia zdjęcia.

Definicja wyświetlania oświadczenia zdjęcia powinna mieć ustawiony image/jpg;base64url typ , aby umożliwić aplikacji Microsoft Authenticator zrozumienie, że powinno być renderowane jako zdjęcie poprawnie.

{ 
  "claim": "vc.credentialSubject.photo", 
  "label": "User picture", 
  "type": "image/jpg;base64url" 
} 

Podczas ustawiania rzeczywistej wartości oświadczenia zdjęcia powinna być w formacie UrlEncode(Base64Encode(JPEG image)).

{ 
  "outputClaim": "photo", 
  "required": false, 
  "inputClaim": "photo", 
  "indexed": false 
} 

Uwaga

W przypadku wystawiania poświadczeń niestandardowych ze zdjęciem aplikacje są odpowiedzialne za udostępnienie pliku JPEG do użycia i zakodowanie go.

Żądania prezentacji, w tym sprawdzanie twarzy

Ładunek JSON do interfejsu API usługi żądań na potrzeby tworzenia żądania prezentacji musi określać, że należy wykonać sprawdzanie twarzy. Oświadczenie zawierające zdjęcie musi być nazwane i opcjonalnie można określić próg ufności jako liczbę całkowitą z zakresu od 50 do 100. Wartość domyślna to 70.

// POST https://verifiedid.did.msidentity.com/v1.0/verifiableCredentials/createPresentationRequest
...
  "requestedCredentials": [
    {
      "type": "VerifiedEmployee",
      "acceptedIssuers": [ "did:web:yourdomain.com" ],
      "configuration": {
        "validation": {
          "allowRevoked": false,
          "validateLinkedDomain": true,
          "faceCheck": {
            "sourcePhotoClaimName": "photo",
            "matchConfidenceThreshold": 70
          }
        }

Pomyślne sprawdzenie twarzy presentation_verified zdarzenia wywołania zwrotnego

Ładunek JSON dla elementu presentation_verified ma więcej danych, gdy sprawdzanie twarzy zostało pomyślnie wykonane podczas prezentacji poświadczeń zweryfikowanego identyfikatora. Dodano sekcję faceCheck zawierającą element matchConfidenceScore. Należy pamiętać, że nie jest możliwe zażądanie i odebranie potwierdzenia prezentacji, gdy żądanie zawiera faceCheck.

  "verifiedCredentialsData": [ 
    { 
      "issuer": "did:web:yourdomain.com", 
      "type": [ "VerifiableCredential", "VerifiedEmployee" ], 
      "claims": { 
        ... 
      }, 
      ... 
      "faceCheck": { 
        "matchConfidenceScore": 86.314159,
        "sourcePhotoQuality": "HIGH"
      } 
    } 
  ], 

Zdarzenie wywołania zwrotnego sprawdzania twarzy nie powiodło się

Gdy współczynnik ufności jest niższy niż próg, żądanie prezentacji nie powiedzie się i presentation_error zostanie zwrócone. Aplikacja weryfikując nie otrzymuje zwróconej oceny.

{ 
  "requestId": "...", 
  "requestStatus": "presentation_error", 
  "state": "...", 
  "error": { 
    "code": "claimValidationError", 
    "message": "Match confidence score failing to meet the threshold." 
  } 
} 

Aplikacja Authenticator wyświetla komunikat o błędzie informujący użytkownika, że wynik ufności nie spełnia progu.

Często zadawane pytania dotyczące sprawdzania twarzy przy użyciu Zweryfikowany identyfikator Microsoft Entra

Co to jest sprawdzanie twarzy?

Funkcja sprawdzania twarzy z Zweryfikowany identyfikator Microsoft Entra jest funkcją premium w ramach zweryfikowanego identyfikatora używanego do dopasowywania twarzy do przestrzegania prywatności. Dzięki niej przedsiębiorstwa mogą bezpiecznie, po prostu i na dużą skalę przeprowadzać weryfikacje o wysokiej gwarancji. Funkcja Face Check dodaje krytyczną warstwę zaufania, wykonując dopasowywanie twarzy między selfie użytkownika w czasie rzeczywistym a zdjęciem. Dopasowywanie twarzy jest obsługiwane przez usługi Azure AI.

Jaka jest różnica między sprawdzaniem twarzy i funkcją Face ID?

Face ID to oparta na wizji oferta opcji zabezpieczeń biometrycznych w produktach firmy Apple umożliwiająca odblokowanie urządzenia w celu uzyskania dostępu do aplikacji mobilnej. Funkcja face Check to funkcja Zweryfikowany identyfikator Microsoft Entra, która korzysta również z technologii sztucznej inteligencji opartej na obrazie, ale porównuje użytkownika z przedstawionym zweryfikowanym identyfikatorem. Funkcja face Check określa tożsamość użytkownika w wielu różnych scenariuszach online, w których wymagany jest wysoki poziom bezpieczeństwa. Niektóre przykłady, które są procesami biznesowymi o wysokiej wartości lub dostępem do poufnych informacji firmowych. Oba mechanizmy wymagają od użytkownika stawienia czoła kamerze w procesie, ale działają na różne sposoby.

Czy kontrola biometryczna funkcji Face Check jest wykonywana na urządzeniu przenośnym?

L.p. Biometryczne sprawdzanie między zdjęciem a przechwyconym danymi na żywo odbywa się w chmurze przy użyciu interfejsu API rozpoznawania twarzy usługi Azure AI Vision. Przechwytywanie selfie użytkownika podczas procesu nie jest udostępniane żądającej witrynie weryfikacji identyfikatora.

Co to jest kontrola liveness twarzy?

Funkcja Face Check with Zweryfikowany identyfikator Microsoft Entra używa sprawdzania aktualności interfejsu API rozpoznawania twarzy usługi Azure AI Vision, aby sprawdzić, czy jest to prawdziwa osoba w nagraniu selfie z aparatu na urządzeniu użytkownika. To sprawdzenie pomaga upewnić się, że statyczne zdjęcie lub wideo 2D użytkownika nie może być używane zamiast własnego życia.

Co się stanie z danymi o utrzymaniu?

Gdy aparat jest włączony na urządzeniu przenośnym, nagrania na żywo są przechwytywane na urządzeniu przenośnym. Ten materiał jest następnie przekazywany do zweryfikowanego identyfikatora, który używa go do wywoływania usług azure AI.

Dane nie są przechowywane ani przechowywane przez żadną z usług Microsoft Authenticator, Zweryfikowany identyfikator ani Sztuczna inteligencja platformy Azure. Ponadto nagranie nie jest udostępniane aplikacji weryfikatora. Aplikacja weryfikatora pobiera tylko współczynnik ufności w zamian. W systemie opartym na sztucznej inteligencji współczynnik ufności jest odpowiedzią procentową prawdopodobieństwa dla zapytania do systemu. W tym scenariuszu współczynnik ufności to prawdopodobieństwo, że zdjęcie użytkownika zweryfikowanego identyfikatora jest zgodne z przechwyceniem użytkownika na urządzeniu przenośnym. Dane i prywatność usług Azure AI Services można znaleźć tutaj.

Ile kosztuje sprawdzanie twarzy?

Aby uzyskać najnowsze informacje na temat rozliczeń i cen użycia, zobacz Cennik firmy Microsoft Entra.

Co zrobić, jeśli nie mogę znaleźć subskrypcji?

Jeśli w okienku Łączenie subskrypcji nie są dostępne żadne subskrypcje, oto kilka możliwych powodów:

Nie masz odpowiednich uprawnień. Pamiętaj, aby zalogować się przy użyciu konta platformy Azure, co najmniej ma rolę Współautor w ramach subskrypcji lub grupy zasobów w ramach subskrypcji.

Istnieje subskrypcja, ale nie jest jeszcze skojarzona z katalogiem. Możesz skojarzyć istniejącą subskrypcję z dzierżawą , a następnie powtórzyć kroki łączenia jej z dzierżawą.

Żadna subskrypcja nie istnieje. W okienku Łączenie subskrypcji możesz utworzyć subskrypcję, wybierając link, jeśli nie masz jeszcze subskrypcji, którą możesz utworzyć tutaj. Po utworzeniu nowej subskrypcji należy utworzyć grupę zasobów w nowej subskrypcji, a następnie powtórzyć kroki łączenia jej z dzierżawą.

Często zadawane pytania dotyczące deweloperów sprawdzania twarzy

Czy sprawdzanie twarzy wymaga programu MS Authenticator?

Tak. Sprawdzanie twarzy jest ograniczone do zweryfikowanego użycia identyfikatora w aplikacji MS Authenticator. To ograniczenie ma miejsce, aby zapobiec atakowi iniekcyjnemu na sprawdzanie twarzy. W przypadku scenariuszy sprawdzania twarzy zestaw SDK portfela jest dostępny w innych rozwiązaniach zweryfikowanych identyfikatorów. Więcej informacji można znaleźć tutaj

Co to jest dopasowanie procentu ufności i co oznacza pewność?

Organizacje mogą wybrać próg wskaźnika ufności dla aplikacji, aby akceptowała weryfikację sprawdzania twarzy. Wyższy próg oznacza, że jest mniej prawdopodobne, aby personifikator został fałszywie zaakceptowany. W domyślnym współczynniku ufności 50%, prawdopodobieństwo, że osoba w dynamicznym selfie nie jest prawowitym właścicielem poświadczeń, jest jeden na 100 000. Wymagany poziom zależy od konkretnego scenariusza, sposobu publicznego punktu wejścia i planowanych użytkowników. W 90% współczynnik ufności, że fałszywie dodatnia szansa użytkownika wynosi jeden na miliard. Wyższy próg powoduje zwiększenie potencjału odrzucenia autoryzowanego użytkownika ze względu na większą wrażliwość aplikacji. Ważne jest, aby znaleźć właściwą równowagę między ustawieniem wysokiego progu wskaźnika ufności, który zabezpiecza aplikację, jednocześnie nie czyniąc jej tak wysokim, że często odrzuca autoryzowanych użytkowników z powodu niewielkich zmian w wyglądzie lub warunków wizualnych otoczenia, takich jak oświetlenie.

Dowiedz się więcej o interfejsie API rozpoznawania twarzy platformy Azure.

Co to jest interfejs API rozpoznawania twarzy usługi Azure AI Vision?

Azure AI to pakiet usług w chmurze na platformie Azure. Interfejs API rozpoznawania twarzy usługi Azure AI Vision oferuje usługi wykrywania twarzy, rozpoznawania twarzy, dopasowywania twarzy i sprawdzania aktualności. Zweryfikowany identyfikator Microsoft Entra używa usług wykrywania twarzy, dopasowywania twarzy i sprawdzania aktualności twarzy podczas wykonywania sprawdzania twarzy. Więcej informacji można znaleźć tutaj.

Jak sprawiedliwe jest interfejs API rozpoznawania twarzy usługi Azure AI Vision?

Firma Microsoft przeprowadziła testowanie sprawiedliwości interfejsu API rozpoznawania twarzy. Zespół usług sztucznej inteligencji platformy Azure nieustannie dąży do zapewnienia odpowiedzialnego i inkluzywnego korzystania ze sztucznej inteligencji. Wyświetl raport Fairness interfejsu API rozpoznawania twarzy.

Czy jesteś zgodny z iBeta Level 2?

Tak. Sztuczna inteligencja interfejsu API rozpoznawania twarzy platformy Azure i funkcja sprawdzania twarzy są zgodne z standardem iBeta Level 2, które są odporne na różne style prezentacji ataku w celu personifikacji użytkownika. Dowiedz się więcej na temat testowania wykrywania ataków prezentacji ISO w usłudze iBeta.

Jak sprawiedliwe jest interfejs API rozpoznawania twarzy usługi Azure AI Vision?

Firma Microsoft przeprowadziła testowanie sprawiedliwości interfejsu API rozpoznawania twarzy. Zespół usług Azure AI Services nieustannie dąży do zapewnienia odpowiedzialnego i inkluzywnego korzystania z biometrycznej sztucznej inteligencji. Raport Fairness interfejsu API rozpoznawania twarzy jest dostępny tutaj.

Jeśli użytkownik niedawno dostał fryzurę, ogolił zarost lub w inny sposób zmienił swój wygląd fizyczny, czy nie będzie mógł ukończyć weryfikacji sprawdzania twarzy?

Funkcja Face Check porównuje selfie użytkownika na żywo ze zdjęciem skojarzonym z zweryfikowanym identyfikatorem. Im mniej użytkownik wygląda jak to zdjęcie, im niższy jest wynik dopasowania. Niezależnie od tego, czy weryfikacja sprawdzania twarzy jest akceptowana, czy nie zależy od tego, jak różni się obecnie użytkownik od wcześniej zapisanego zdjęcia i jak wysoki jest próg wskaźnika ufności aplikacji. Jeśli aplikacja ma stosunkowo wysoki próg, zaleca się, aby użytkownicy zachowywali wygląd fizyczny zgodny z przekazanym zdjęciem zweryfikowanego identyfikatora lub zastąpili zdjęcie bieżącym wyglądem użytkownika.

Kiedy używam funkcji Sprawdzania twarzy, gdzie idą moje dane? Gdzie jest przechowywany?

Obrazy używane podczas sprawdzania twarzy nie są przechowywane długoterminowo. Podczas żądania sprawdzania twarzy selfie jest przechwytywane z urządzenia przenośnego użytkownika. Ten obraz jest następnie przekazywany do zweryfikowanego identyfikatora, który używa go do wywoływania usług AI interfejsu API rozpoznawania twarzy platformy Azure. Po zakończeniu przetwarzania obraz selfie zostanie odrzucony i nie zostanie zapisany na żadnym urządzeniu lub usłudze. Microsoft Authenticator, zweryfikowany identyfikator i usługi Azure AI nie będą przechowywać ani przechowywać tych danych. Ponadto przechwycony obraz selfie nie jest udostępniany aplikacji weryfikatora. Aplikacja weryfikatora otrzymuje tylko współczynnik ufności wynikowego dopasowania.

Dane i prywatność usług Azure AI można znaleźć tutaj.

Czy sprawdzanie twarzy przy użyciu weryfikacji Zweryfikowany identyfikator Microsoft Entra jest wykonywane w portfelu, czy w chmurze?

Usługa Zweryfikowany identyfikator wykonuje proces weryfikacji w chmurze, a nie na urządzeniu. Poświadczenia są przechowywane na urządzeniu użytkownika, aby mieć pełną kontrolę nad użyciem poświadczeń. Użytkownik musi zdecydować się na udostępnienie poświadczeń weryfikatorowi do przetworzenia na potrzeby weryfikacji.

Jakie są wymagania dotyczące zdjęcia w zweryfikowanych identyfikatorach?

Zdjęcie powinno być jasne i ostre w jakości i nie mniejsze niż 200 pikseli x 200 pikseli. Twarz powinna być wyśrodkowana w obrębie obrazu i niezniszczona z widoku. Maksymalny rozmiar zdjęcia w poświadczeniu to 1 MB. Należy pamiętać, że posiadanie większego obrazu nie gwarantuje lepszego wyniku. Dobre mniejsze zdjęcie jest lepsze niż duży zły.

Więcej informacji na temat ulepszania dokładności przetwarzania zdjęć można znaleźć tutaj

Więcej informacji na temat weryfikowalnych limitów rozmiaru poświadczeń można znaleźć tutaj

Następne kroki

• Dowiedz się, jak skonfigurować dzierżawę pod kątem Zweryfikowany identyfikator Microsoft Entra i używać konta MyAccount.
• Dowiedz się, jak wydać poświadczenia Zweryfikowany identyfikator Microsoft Entra z aplikacji internetowej.
• Dowiedz się, jak zweryfikować Zweryfikowany identyfikator Microsoft Entra poświadczenia.