Usando a verificação facial com a ID verificada do Microsoft Entra e desbloqueando verificações de alta garantia em escala
A Verificação Facial é uma correspondência facial que respeita a privacidade. Ela permite que as empresas realizem verificações de alta garantia com segurança, simplicidade e em escala. A Verificação Facial adiciona uma camada crítica de confiança fazendo a correspondência facial entre a selfie em tempo real de um usuário e uma foto. A correspondência facial pertence à plataforma de serviços de IA do Azure. A Verificação Facial protege a privacidade do usuário compartilhando apenas os resultados da correspondência e não os dados de identidade confidenciais, permitindo que as organizações verifiquem se a pessoa que alega uma identidade é realmente eles.
Pré-requisitos
A Verificação Facial é um recurso premium disponível na ID Verificada. Você precisa habilitar o Complemento de Verificação Facial na configuração da ID Verificada do Microsoft Entra antes de fazer verificações de Verificação Facial.
- Verifique se a ID verificada do Microsoft Entra está configurada em seu locatário antes de usar a Verificação Facial.
- Associar ou adicionar uma assinatura do Azure ao locatário do Microsoft Entra
- O usuário que estiver configurando a Verificação Facial precisa ter a função Colaborador na assinatura do Azure
Configurando a verificação facial com a ID verificada do Microsoft Entra
O Complemento de Verificação Facial pode ser habilitado de duas maneiras no Centro de Administração do Microsoft Entra ou usando a API Rest do ARM (Azure Resource Manager) por meio da CLI. Se você vai usar o Face Check-in em um locatário com a licença do Microsoft Entra Suite, a Verificação Facial está habilitada no nível do locatário e a configuração se aplica a todas as autoridades dentro desse locatário. Para qualquer outra licença, você pode habilitar a Verificação Facial individualmente por cada autoridade em seu locatário usando a API Rest do ARM (Azure Resource Manager).
Observação
A API REST do ARM para a ID Verificada do Microsoft Entra está atualmente em versão prévia pública.
Configurando a verificação facial com a ID verificada do Microsoft Entra no Centro de Administração
- Na página de visão geral da ID Verificada, role para baixo até a nova seção Complementos e
Enableo complemento de Verificação Facial.
- Na etapa de vinculação de uma assinatura, selecione uma Assinatura, um Grupo de recursos e o Local do recurso. Em seguida, selecione
Validate. Se não houver nenhuma assinatura listada, consulte E se eu não conseguir encontrar uma assinatura?
- Depois da validação, você pode
Enableo complemento.
Agora você já pode começar a usar a Verificação Facial em seus aplicativos empresariais.
Configurando a verificação facial com a ID verificada do Microsoft Entra usando a API Rest do ARM (Azure Resource Manager)
Observação
A API REST do ARM para a ID Verificada do Microsoft Entra está atualmente em versão prévia pública.
Para configurar o Complemento de Verificação Facial em uma determinada autoridade, você deve ter as ferramentas do Azure PowerShell em seu computador. O mecanismo abaixo encapsula a chamada REST. Como alternativa, você pode usar a API REST do ARM (Azure Resource Manager) PUT adequadamente
- Execute o comando a seguir no PowerShell
az login --tenant <tenant ID>
Selecione a assinatura na qual você deseja habilitar a cobrança de Verificação Facial
Executar o seguinte comando
az rest --method PUT --uri /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.VerifiedId/authorities/<authority-id>?api-version=2024-01-26-preview --body "{'location':'<rp-location>'}"
- substitua
<subscription-id>por sua ID de assinatura - substituir
<resource-group-name>pelo nome do grupo de recursos - substitua
<authority-id>por sua ID de autoridade. Você pode obter aauthority-idusando a chamada GET Authorities da API de Administrador. - substitua
<rp-location>usando um dos dois valores a seguir:- Para locatários da UE, use
northeurope - Para uso fora da UE
westus2
- Para locatários da UE, use
O Complemento de Verificação Facial agora está habilitado em seu locatário.
Introdução à Verificação Facial usando MyAccount
Você pode começar facilmente a usar a Verificação Facial usando MyAccount, que pode emitir credenciais VerifiedEmployee e um aplicativo de teste público que a Microsoft fornece. Para começar, você precisa realizar as seguintes etapas:
- Crie um usuário de teste no seu locatário do Microsoft Entra e carregue uma foto de você mesmo
- Vá para MyAccount, entre como o usuário de teste e emita uma credencial
VerifiedEmployeepara o usuário. - Use o aplicativo de teste público para apresentar sua credencial
VerifiedEmployeeusando a Verificação Facial.
Quando o Microsoft Authenticator recebe uma solicitação de apresentação, incluindo uma Verificação Facial, há um item extra após o tipo de credencial que o usuário é solicitado a compartilhar. Quando o usuário seleciona esse item, a Verificação Facial real é executada, e o usuário pode compartilhar a credencial solicitada e a pontuação de confiança da verificação com o aplicativo de teste público (terceira parte confiável). Você pode examinar os resultados no aplicativo de teste.
Introdução à Verificação Facial usando a API do Serviço de Solicitação
Os aplicativos podem usar a API do Serviço de Solicitação para criar uma solicitação para que os usuários executem uma Verificação Facial em relação a uma credencial VerifiedEmployee, ID do Governo Emitida pelo Estado ou uma credencial digital personalizada com uma foto confiável. Por exemplo, um serviço de suporte técnico pode solicitar uma Verificação Facial em relação a uma credencial VerifiedEmployee para verificar a identidade de forma rápida e segura e habilitar uma ampla variedade de cenários de autoatendimento, incluindo ativar uma chave de transferência ou redefinir uma senha. Para reduzir o risco de conformidade, os aplicativos recebem uma pontuação de confiança para correspondência com a foto da credencial desejada, sem obter acesso aos dados de vida.
Emitindo uma credencial de ID verificada com uma foto
Tipos de credencial personalizados usando o fluxo de atestado idTokenHint também podem emitir uma credencial de ID verificada contendo uma foto. A definição de credencial precisa ter a definição de exibição e regras para a declaração de foto.
A definição de exibição para a declaração de foto deve ter o tipo definido como image/jpg;base64url para permitir que o Microsoft Authenticator entenda que ela deva ser renderizada como uma foto.
{
"claim": "vc.credentialSubject.photo",
"label": "User picture",
"type": "image/jpg;base64url"
}
Ao definir o valor real da declaração da foto, ela deve estar em formato UrlEncode(Base64Encode(JPEG image)).
{
"outputClaim": "photo",
"required": false,
"inputClaim": "photo",
"indexed": false
}
Solicitações de apresentação, incluindo Verificação Facial
Para criar uma solicitação de apresentação, o conteúdo JSON para a API do Serviço de Solicitação precisa especificar que uma Verificação Facial deve ser executada. A declaração que contém a foto deve ser nomeada e você pode, opcionalmente, especificar seu limite de confiança como um inteiro entre 50 e 100. O padrão é 70.
// POST https://verifiedid.did.msidentity.com/v1.0/verifiableCredentials/createPresentationRequest
...
"requestedCredentials": [
{
"type": "VerifiedEmployee",
"acceptedIssuers": [ "did:web:yourdomain.com" ],
"configuration": {
"validation": {
"allowRevoked": false,
"validateLinkedDomain": true,
"faceCheck": {
"sourcePhotoClaimName": "photo",
"matchConfidenceThreshold": 70
}
}
Evento de retorno de chamada presentation_verified de Verificação Facial bem-sucedido
O conteúdo JSON para presentation_verified tem mais dados quando uma Verificação Facial foi bem-sucedida durante uma apresentação de credencial de ID verificada. A seção faceCheck é adicionada. Ela contém um matchConfidenceScore. Observe que não é possível solicitar e receber o recibo da apresentação quando a solicitação inclui faceCheck.
"verifiedCredentialsData": [
{
"issuer": "did:web:yourdomain.com",
"type": [ "VerifiableCredential", "VerifiedEmployee" ],
"claims": {
...
},
...
"faceCheck": {
"matchConfidenceScore": 86.314159,
"sourcePhotoQuality": "HIGH"
}
}
],
Falha do evento de retorno de chamada de Verificação Facial
Quando a pontuação de confiança é menor que o limite, a solicitação de apresentação falha e um presentation_error é retornado. O aplicativo de verificação não recebe a pontuação retornada.
{
"requestId": "...",
"requestStatus": "presentation_error",
"state": "...",
"error": {
"code": "claimValidationError",
"message": "Match confidence score failing to meet the threshold."
}
}
O Authenticator exibe uma mensagem de erro informando ao usuário que a pontuação de confiança não conseguiu atingir o limite.
Perguntas frequentes sobre a Verificação Facial com a ID Verificada do Microsoft Entra
O que é a Verificação Facial?
A Verificação Facial com a ID Verificada do Microsoft Entra é uma funcionalidade premium dentro da ID Verificada usada para reconhecimento facial que respeita a privacidade. Ela permite que as empresas realizem verificações de alta garantia com segurança, simplicidade e em escala. A Verificação Facial adiciona uma camada crítica de confiança fazendo a correspondência facial entre a selfie em tempo real de um usuário e uma foto. A correspondência facial pertence à plataforma de serviços de IA do Azure.
Qual é a diferença entre a Verificação Facial e o Face ID?
O Face ID é uma oferta de opção de segurança biométrica baseada em visão em produtos da Apple para desbloquear um dispositivo ao acessar um aplicativo móvel. A Verificação Facial é um recurso de ID verificada do Microsoft Entra que também usa a tecnologia de IA baseada em visão, mas compara o usuário com a ID verificada apresentada. A Verificação Facial determina a identidade do usuário em uma ampla variedade de cenários online em que o acesso de alta garantia é necessário. Alguns exemplos disso são processos de negócios de alto valor ou o acesso a informações confidenciais da empresa. Ambos os mecanismos exigem que um usuário olhe para uma câmera no processo, mas opera de maneiras diferentes.
A verificação de visão biométrica de Verificação Facial é executada no dispositivo móvel?
Não. A verificação biométrica entre a foto e os dados de vida capturados é executada na nuvem, usando a API de Detecção Facial da Visão de IA do Azure. A captura da selfie do usuário durante o processo não é compartilhada com o site que solicitou a verificação de ID.
O que é a verificação de vivacidade facial?
A Verificação Facial com a ID Verificada do Microsoft Entra usa a API de Detecção Facial da Visão de IA do Azure para verificar se a pessoa no vídeo selfie capturado pela câmera do dispositivo do usuário é real. Essa verificação ajuda a garantir que fotos estáticas ou vídeos 2D não sejam usados para simular a presença real do usuário.
O que acontece com os dados de vida obtidos?
Quando a câmera é ativada no dispositivo móvel, as imagens ao vivo são capturadas no dispositivo móvel. Essa filmagem é então passada para a ID verificada que a usa para invocar serviços de serviços de IA do Azure.
Os dados não são armazenados ou mantidos por nenhum dos seguintes serviços: Microsoft Authenticator, ID Verificada ou IA do Azure. Além disso, as imagens também não são compartilhadas com o aplicativo verificador. O aplicativo verificador obtém apenas a pontuação de confiança em troca. Em um sistema baseado em IA, a pontuação de confiança é a resposta percentual de probabilidade para uma consulta ao sistema. Para esse cenário, a pontuação de confiança é a probabilidade de a foto do usuário de ID verificada corresponder à captura do usuário no dispositivo móvel. Os dados e a privacidade dos Serviços de IA do Azure podem ser encontrados aqui.
Quanto custa a Verificação Facial?
Para obter as informações mais recentes sobre cobrança de uso e preços, consulte Preços do Microsoft Entra.
E se eu não encontrar uma assinatura?
Se não houver assinaturas disponíveis no painel Vincular uma assinatura, estes serão alguns motivos possíveis:
Você não tem as permissões apropriadas. Certifique-se de entrar com a conta do Azure pelo menos tem a função colaborador dentro da assinatura ou de um grupo de recursos dentro da assinatura.
Há uma assinatura, mas ainda não está associada ao diretório. Você pode associar uma assinatura existente ao seu locatário e, em seguida, repetir as etapas para vinculá-la a ele.
Não ná nenhuma assinatura. No painel Vincular uma assinatura, você pode criar uma assinatura selecionando o link; se ainda não tiver uma assinatura, poderá criá-la aqui. Depois de criar uma assinatura, você precisará criar um grupo de recursos na nova assinatura e, em seguida, repetir as etapas para vinculá-la ao seu locatário.
Perguntas frequentes para Desenvolvedores de Verificação Facial
A verificação facial requer o Microsoft Authenticator?
Sim. O uso da Verificação Facial está limitada à ID Verificada com o MS Authenticator. Essa restrição existe para evitar ataques de injeção na Verificação Facial. Para cenários de verificação não facial, um Wallet SDK está disponível para outras soluções da ID verificada. Mais informações aqui
O que é a porcentagem de confiança e o que significa confiança?
As organizações podem escolher seu limite de pontuação de confiança para que seu aplicativo aceite uma verificação de detecção facial. Um limite mais alto significa que é menos provável que um representador seja falsamente aceito. Na pontuação de confiança padrão de 50%, a chance de que a pessoa na selfie ao vivo não seja o proprietário da credencial de direito é uma em 100.000. O nível necessário depende do cenário específico, do quão público é o ponto de entrada e dos usuários planejados. Com uma pontuação de confiança de 90%, essa chance de usuário falso positivo é de uma em um bilhão. Um limite mais alto resulta no aumento do potencial de rejeição de um usuário autorizado devido à maior sensibilidade do aplicativo. É importante encontrar o equilíbrio certo entre definir um limite de pontuação de confiança alta que protege seu aplicativo, ao mesmo tempo em que não o torna tão alto que geralmente rejeita usuários autorizados devido a pequenas alterações na aparência ou às condições visuais de seus arredores, como iluminação.
Saiba mais sobre a API de Detecção Facial do Azure.
O que é a API de Detecção Facial da Visão de IA do Azure?
A IA do Azure é um conjunto de serviços de nuvem na Plataforma do Azure. A API de Detecção Facial da Visão de IA do Azure oferece serviços para detecção facial, reconhecimento facial, correspondência facial e verificação de atividade. O Microsoft Entra Verified ID usa os serviços de detecção facial, correspondência facial e verificação de atividade facial ao executar o FaceCheck. Mais informações podem ser aqui.
Quão imparcial é a API de Detecção Facial da Visão de IA do Azure?
A Microsoft realizou testes de imparcialidade na API de Detecção Facial. A equipe dos serviços de IA do Azure está empenhada em garantir o uso responsável e inclusivo da IA. Confira o relatório de imparcialidade da API de Detecção Facial.
Ela é compatível com o iBeta Level 2?
Sim. A API de Detecção Facial de IA do Azure e a Verificação Facial estão em conformidade com o nível 2 do iBeta, resistindo a diferentes estilos de apresentação de ataques que tentam usurpar a identidade de um usuário. Saiba mais sobre o teste de Detecção de Ataques de Apresentação ISO da iBeta.
Quão imparcial é a API de Detecção Facial da Visão de IA do Azure?
A Microsoft realizou testes de imparcialidade na API de Detecção Facial. A equipe dos Serviços de IA do Azure está continuamente se esforçando para garantir o uso responsável e inclusivo da IA biométrica. O relatório de Imparcialidade da API de Detecção Facial está disponível aqui.
Se um usuário cortou o cabelo, raspou os pelos faciais ou alterou sua aparência física recentemente, ele não poderá concluir uma verificação de Detecção Facial?
A Verificação de Detecção Facial compara a selfie ao vivo de um usuário com a foto associada ao seu ID Verificado. Quanto menos o usuário se parecer com essa foto, menor será a pontuação de correspondência. Se a Verificação de Detecção Facial é aceita ou não, dependerá de quão diferente o usuário aparece atualmente em relação à sua foto salva anteriormente e quão alto é o limite de pontuação de confiança do aplicativo. Se o aplicativo tiver um limite relativamente alto, é recomendável que os usuários mantenham uma aparência física consistente com a foto de ID verificada carregada ou substituam a foto por uma que reflita a aparência atual do usuário.
Depois de usar a Detecção Facial, para onde vão meus dados? Onde eles são armazenados?
As imagens usadas durante a Verificação Facial não são armazenadas a longo prazo. Durante uma solicitação de verificação de Detecção Facial, uma selfie é capturada do dispositivo móvel do usuário. Essa imagem é então passada para a ID Verificada, que a usa para invocar os serviços de IA de API de Detecção Facial do Azure. Uma vez concluído o processamento, a imagem da selfie é descartada e não é salva em nenhum dispositivo ou serviço. O Microsoft Authenticator, a ID verificada e os Serviços de IA do Azure NÃO armazenam ou mantêm esses dados. Além disso, a imagem de selfie capturada também não é compartilhada com o aplicativo verificador. O aplicativo verificador recebe apenas uma pontuação de confiança da correspondência resultante.
Os dados e a privacidade dos Serviços de IA do Azure podem ser encontrados aqui.
A verificação da Detecção Facial com a verificação de ID verificada do Microsoft Entra acontece na carteira ou na nuvem?
O serviço de ID verificada executa o processo de verificação na nuvem, não no dispositivo. As credenciais são armazenadas no dispositivo de um usuário para que ele tenha controle total do uso de uma credencial. Um usuário deve optar por compartilhar uma credencial com um verificador para que ela seja processada para verificação.
Quais são os requisitos para a foto de uma ID verificada?
A foto deve ser clara, de alta qualidade e ter no mínimo 200 pixels x 200 pixels. O rosto deve estar centralizado e visível na imagem. O tamanho máximo da foto na credencial é de 1 MB.
Mais informações sobre como melhorar a precisão do processamento de fotos podem ser encontradas aqui
Mais informações sobre os limites de dimensionamento de credenciais verificáveis podem ser encontradas aqui
Próximas etapas
- Saiba como configurar seu locatário da ID Verificada do Microsoft Entra e usar o MyAccount.
- Saiba como emitir credenciais de ID Verificada do Microsoft Entra usando um aplicativo Web.
- Saiba como verificar as credenciais da ID Verificada do Microsoft Entra.