Usando o Face Check com o Microsoft Entra Verified ID e desbloqueando verificações de alta garantia em escala

O Face Check é uma combinação facial que respeita a privacidade. Ele permite que as empresas realizem verificações de alta garantia de forma segura, simples e em escala. O Face Check adiciona uma camada crítica de confiança ao realizar a correspondência facial entre a selfie em tempo real de um usuário e uma foto. A correspondência facial é alimentada pelos serviços de IA do Azure. O Face Check protege a privacidade do usuário compartilhando apenas os resultados da correspondência e não quaisquer dados confidenciais de identidade, permitindo que as organizações tenham certeza de que a pessoa que reivindica uma identidade é realmente ela.

Pré-requisitos

A Verificação Facial é um recurso premium dentro da Identificação Verificada. Você precisa ativar o complemento Face Check na configuração do Microsoft Entra Verified ID antes de fazer as verificações do Face Check.

• Certifique-se de que o Microsoft Entra Verified ID está configurado no seu inquilino antes de utilizar o Face Check.
• Associar ou adicionar uma subscrição do Azure ao seu inquilino Microsoft Entra
• Verifique se o usuário que está configurando o Face Check tem a função de Colaborador para a assinatura do Azure

Configurar o Face Check com o Microsoft Entra Verified ID

O Complemento de Verificação Facial pode ser habilitado de duas maneiras no Centro de Administração do Microsoft Entra ou usando a API Rest do Azure Resource Manager (ARM) via CLI. Se você vai usar o Face Check em um locatário com a licença do Microsoft Entra Suite, o Face Check é habilitado no nível do locatário e a configuração se aplica a todas as autoridades dentro desse locatário. Para quaisquer outras licenças, você pode habilitar o Face Check individualmente por cada autoridade em seu locatário usando a API Rest do Azure Resource Manager (ARM).

Nota

A API REST ARM para Microsoft Entra Verified ID está atualmente em pré-visualização pública.

Configurar o Face Check com o Microsoft Entra Verified ID no Centro de Administração

1. Na página Visão geral da ID verificada, role para baixo até a nova seção Complementos e Enable o complemento Verificação facial.

2. Na etapa Vincular uma assinatura, selecione uma Assinatura, um grupo de Recursos e o Local do recurso. Em seguida, selecione Validate. Se não houver assinaturas listadas, consulte E se eu não conseguir encontrar uma assinatura?

3. Uma vez validado, você pode Enable o complemento.

Agora você pode começar a usar o Face Check em seus aplicativos corporativos.

Configurando o Face Check com a ID Verificada do Microsoft Entra usando a API Rest do Azure Resource Manager (ARM)

Nota

A API REST ARM para Microsoft Entra Verified ID está atualmente em pré-visualização pública.

Para configurar o Complemento de Verificação Facial em uma determinada autoridade, você deve ter as ferramentas do Azure PowerShell em sua máquina. Este mecanismo encapsula a chamada REST. Como alternativa, você pode usar a API PUT Rest do Azure Resource Manager (ARM) de acordo

1. Execute o seguinte comando no PowerShell

  az login --tenant  <tenant ID>

1. Selecione a subscrição em que pretende ativar a faturação do Face Check

2. Execute o seguinte comando

  az rest --method PUT --uri /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.VerifiedId/authorities/<authority-id>?api-version=2024-01-26-preview --body "{'location':'<rp-location>'}"

• substitua <subscription-id> pelo seu ID de subscrição
• substituir <resource-group-name> pelo nome do grupo de recursos
• substitua <authority-id> pelo seu ID de autoridade. Você pode obter o authority-id uso da chamada GET Authorities na API Admin.
• Substitua <rp-location> usando um dos dois valores a seguir:
  • Para inquilinos da UE, use northeurope
  • Para utilização fora da UE westus2

O Complemento de Verificação Facial agora está habilitado em seu locatário.

Introdução ao Face Check usando MyAccount

Você pode começar a usar facilmente o Face Check usando MyAccount, que pode emitir VerifiedEmployee credenciais, e um aplicativo de teste público fornecido pela Microsoft. Para começar, você precisa executar as seguintes etapas:

1. Crie um usuário de teste em seu locatário do Microsoft Entra e carregue uma foto sua
2. Vá para MyAccount, entre como o usuário de teste e emita uma VerifiedEmployee credencial para o usuário.
3. Use o aplicativoVerifiedEmployeeFace Check.

Quando o Microsoft Authenticator recebe uma solicitação de apresentação, incluindo uma Verificação facial, há um item extra após o tipo de credencial que o usuário é solicitado a compartilhar. Quando o usuário seleciona esse item, a verificação facial real é executada e o usuário pode compartilhar a credencial solicitada e a pontuação de confiança da verificação com o aplicativo de teste público (terceira parte confiável). Você pode revisar os resultados no aplicativo Teste.

Nota

MyAccount usa a foto de perfil do usuário do Entra ID ao emitir a credencial VerifiedEmployee. Você pode recuperar sua foto por meio da API do Microsoft Graph https://graph.microsoft.com/v1.0/me/photos/240x240/$value

Introdução ao Face Check usando a API de Solicitação de Serviço

Os aplicativos podem usar a API do Serviço de Solicitação para criar uma solicitação para que os usuários realizem uma Verificação Facial em relação a uma VerifiedEmployee credencial, ID do Governo Emitido pelo Estado ou uma credencial digital personalizada com uma foto confiável. Por exemplo, um serviço de suporte técnico pode solicitar uma verificação facial em relação a uma VerifiedEmployee credencial para verificar a identidade de forma rápida e segura para permitir uma ampla variedade de cenários de autoatendimento, incluindo a ativação de uma chave de acesso ou a redefinição de uma senha. Para reduzir o risco de conformidade, os aplicativos recebem uma pontuação de confiança para correspondência com a foto da credencial desejada, sem obter acesso aos dados de vivacidade.

Emitir uma credencial de Identificação Verificada com uma foto

Os tipos de credenciais personalizados que usam o fluxo de atestado idTokenHint também podem emitir uma credencial de ID Verificada contendo uma foto. A definição de credencial precisa ter a definição de exibição e regras para a declaração de foto.

A definição de exibição para a declaração de foto deve ter o tipo definido para image/jpg;base64url permitir que o Microsoft Authenticator entenda que ela deve ser processada como uma foto corretamente.

{ 
  "claim": "vc.credentialSubject.photo", 
  "label": "User picture", 
  "type": "image/jpg;base64url" 
} 

Ao definir o valor real da reivindicação da foto, ela deve estar no formato UrlEncode(Base64Encode(JPEG image)).

{ 
  "outputClaim": "photo", 
  "required": false, 
  "inputClaim": "photo", 
  "indexed": false 
} 

Nota

Ao emitir uma credencial personalizada com uma foto, é responsabilidade dos aplicativos fornecer o JPEG a ser usado e codificá-lo.

Pedidos de apresentação, incluindo Face Check

A carga JSON para a API do Serviço de Solicitação para criar uma solicitação de apresentação precisa especificar que uma verificação facial deve ser executada. A declaração que contém a foto deve ser nomeada e, opcionalmente, você pode especificar seu limite de confiança como um número inteiro entre 50 e 100. O padrão é 70.

// POST https://verifiedid.did.msidentity.com/v1.0/verifiableCredentials/createPresentationRequest
...
  "requestedCredentials": [
    {
      "type": "VerifiedEmployee",
      "acceptedIssuers": [ "did:web:yourdomain.com" ],
      "configuration": {
        "validation": {
          "allowRevoked": false,
          "validateLinkedDomain": true,
          "faceCheck": {
            "sourcePhotoClaimName": "photo",
            "matchConfidenceThreshold": 70
          }
        }

Evento de retorno de chamada bem-sucedido do Face Check presentation_verified

A carga JSON para o presentation_verified tem mais dados quando uma verificação facial foi bem-sucedida durante uma apresentação de credenciais de ID verificada. É adicionada a secção faceCheck que contém um matchConfidenceScore. Tenha em atenção que não é possível solicitar e receber o recibo de apresentação quando o pedido inclui o faceCheck.

  "verifiedCredentialsData": [ 
    { 
      "issuer": "did:web:yourdomain.com", 
      "type": [ "VerifiableCredential", "VerifiedEmployee" ], 
      "claims": { 
        ... 
      }, 
      ... 
      "faceCheck": { 
        "matchConfidenceScore": 86.314159,
        "sourcePhotoQuality": "HIGH"
      } 
    } 
  ], 

Evento de retorno de chamada do Face Check com falha

Quando a pontuação de confiança é inferior ao limite, a solicitação de apresentação é reprovada e um presentation_error é retornado. O aplicativo de verificação não recebe a pontuação devolvida.

{ 
  "requestId": "...", 
  "requestStatus": "presentation_error", 
  "state": "...", 
  "error": { 
    "code": "claimValidationError", 
    "message": "Match confidence score failing to meet the threshold." 
  } 
} 

O Autenticador exibe uma mensagem de erro informando ao usuário que a pontuação de confiança não atingiu o limite.

Perguntas frequentes sobre o Face Check com o Microsoft Entra Verified ID

O que é o Face Check?

O Face Check com o Microsoft Entra Verified ID é um recurso premium dentro do Verified ID usado para correspondência facial que respeita a privacidade. Ele permite que as empresas realizem verificações de alta garantia de forma segura, simples e em escala. O Face Check adiciona uma camada crítica de confiança ao realizar a correspondência facial entre a selfie em tempo real de um usuário e uma foto. A correspondência facial é alimentada pelos serviços de IA do Azure.

Qual é a diferença entre Face Check e Face ID?

O Face ID é uma opção de segurança biométrica baseada em visão oferecida em produtos Apple para desbloquear um dispositivo para acessar um aplicativo móvel. O Face Check é um recurso de ID Verificado do Microsoft Entra que também usa tecnologia de IA baseada em visão, mas compara o usuário com o ID Verificado apresentado. O Face Check determina a identidade do usuário em uma ampla gama de cenários on-line onde o acesso de alta garantia é necessário. Alguns exemplos disso são processos de negócios de alto valor ou acesso a informações confidenciais da empresa. Ambos os mecanismos exigem que um usuário enfrente uma câmera no processo, mas operam de maneiras diferentes.

A verificação de visão biométrica Face Check é realizada no dispositivo móvel?

N.º A verificação biométrica entre a foto e os dados de vivacidade capturados é realizada na nuvem, usando a API do Azure AI Vision Face. A captura de selfie do usuário durante o processo não é compartilhada com o site de verificação de ID solicitante.

O que é o Face Liveness Check?

O Face Check com a ID Verificada do Microsoft Entra usa a verificação de vivacidade da API do Azure AI Vision Face para verificar se é uma pessoa real nas imagens de selfie da câmera no dispositivo do usuário. Essa verificação ajuda a garantir que uma foto estática ou um vídeo 2D de um usuário não possa ser usado no lugar de seu eu ao vivo.

O que acontece aos dados de vivacidade recolhidos?

Quando a câmera é ligada no dispositivo móvel, imagens ao vivo são capturadas no dispositivo móvel. Essa filmagem é passada para a ID Verificada, que a usa para invocar serviços de serviços de IA do Azure.

Os dados não são armazenados ou mantidos por nenhum dos serviços Microsoft Authenticator, Verified ID ou Azure AI. Além disso, as imagens também não são compartilhadas com o aplicativo verificador. O aplicativo verificador recebe apenas a pontuação de confiança em troca. Em um sistema baseado em IA, a pontuação de confiança é a porcentagem de probabilidade de resposta para uma consulta ao sistema. Para esse cenário, a pontuação de confiança é a probabilidade de a foto do usuário de ID verificada corresponder à captura do usuário no dispositivo móvel. Os dados e a privacidade dos Serviços de IA do Azure podem ser encontrados aqui.

Quanto custa o Face Check?

Para obter as informações mais recentes sobre faturamento e preços de uso, consulte Preços do Microsoft Entra.

E se eu não conseguir encontrar uma assinatura?

Se nenhuma assinatura estiver disponível no painel Vincular uma assinatura, aqui estão alguns motivos possíveis:

Você não tem as permissões apropriadas. Certifique-se de entrar com a conta do Azure pelo menos tem a função de Colaborador dentro da assinatura ou um grupo de recursos dentro da assinatura.

Existe uma assinatura, mas ela ainda não está associada ao seu diretório. Pode associar uma subscrição existente ao seu inquilino e, em seguida, repetir os passos para a associar ao seu inquilino.

Não existe subscrição. No painel Vincular uma assinatura, você pode criar uma assinatura selecionando o link se ainda não tiver uma assinatura, você pode criar uma aqui. Depois de criar uma nova assinatura, você precisará criar um grupo de recursos na nova assinatura e repetir as etapas para vinculá-la ao seu locatário.

Perguntas frequentes para desenvolvedores do Face Check

A verificação facial requer o MS Authenticator?

Sim. O Face Check está limitado ao uso de Verified ID com o MS Authenticator. Esta limitação está em vigor para evitar ataques de injeção no Face Check. Para cenários que não sejam de Face Check, um SDK de Carteira está disponível em outras soluções de Identificação Verificada. Mais informações aqui

O que é a correspondência percentual de confiança e o que significa confiança?

As organizações podem escolher seu limite de pontuação de confiança para que seu aplicativo aceite uma verificação de verificação facial. Um limite mais alto significa que é menos provável que um imitador seja falsamente aceito. Na pontuação de confiança padrão de 50%, a chance de a pessoa na selfie ao vivo não ser o legítimo proprietário da credencial é de uma em 100.000. O nível necessário depende do cenário específico, do quão público é o ponto de entrada e dos usuários planejados. Com uma pontuação de confiança de 90%, essa chance de usuário falso positivo é de uma em um bilhão. Um limite mais alto resulta no aumento do potencial de rejeição de um usuário autorizado devido à maior sensibilidade do aplicativo. É importante encontrar o equilíbrio certo entre definir um limite de pontuação de confiança alto que proteja seu aplicativo sem torná-lo tão alto que muitas vezes rejeite usuários autorizados devido a pequenas mudanças na aparência ou nas condições visuais de seus arredores, como iluminação.

Saiba mais sobre a API do Azure Face.

O que é a API do Azure AI Vision Face?

A IA do Azure é um conjunto de serviços de nuvem na Plataforma Azure. A API do Azure AI Vision Face oferece serviços para deteção de rosto, reconhecimento facial, correspondência facial e verificação de vivacidade. O Microsoft Entra Verified ID usa os serviços de deteção de rosto, correspondência facial e verificação de vivacidade facial ao executar o FaceCheck. Mais informações podem ser obtidas aqui.

Quão justa é a API do Azure AI Vision Face?

A Microsoft realizou testes de equidade da API Face. A equipe de serviços de IA do Azure está continuamente se esforçando para garantir o uso responsável e inclusivo da IA. Veja o relatório Face API Fairness.

Você está em conformidade com iBeta Nível 2?

Sim. A IA da API do Azure Face e o Face Check são compatíveis com iBeta Nível 2 para serem resistentes a vários estilos de apresentação de ataque para se passar por um utilizador. Saiba mais sobre os testes ISO Presentation Attack Detection da iBeta.

Quão justa é a API do Azure AI Vision Face?

A Microsoft realizou testes de equidade da API do Face. A equipe dos Serviços de IA do Azure está continuamente se esforçando para garantir o uso responsável e inclusivo da IA biométrica. O relatório Face API Fairness está disponível aqui.

Se um usuário recentemente cortou o cabelo, raspou os pelos faciais ou alterou sua aparência física, ele não poderá concluir uma verificação de verificação facial?

O Face Check compara a selfie ao vivo de um utilizador com a fotografia associada à sua Identificação Verificada. Quanto menos o usuário se parece com essa foto, menor é a pontuação da partida. Se a verificação do Face Check é aceita ou não, dependerá de quão diferente o usuário aparece atualmente de sua foto salva anteriormente e quão alto de um limite de pontuação de confiança o aplicativo tem. Se o seu aplicativo tiver um limite relativamente alto, é recomendável que os usuários mantenham uma aparência física consistente com a foto de identificação verificada carregada ou substituam a foto por uma que reflita a aparência atual do usuário.

Depois de utilizar o Face Check, para onde vão os meus dados? Onde é armazenado?

As imagens usadas durante o Face Check não são armazenadas a longo prazo. Durante uma solicitação de Face Check, uma selfie é capturada do dispositivo móvel do usuário. Em seguida, essa imagem é passada para a ID Verificada, que a usa para invocar os serviços de IA da API do Azure Face. Uma vez feito o processamento, a imagem da selfie é descartada e não salva em nenhum dispositivo ou serviço. Os serviços Microsoft Authenticator, ID Verificada e Azure AI NÃO armazenarão ou manterão esses dados. Além disso, a imagem de selfie capturada também não é compartilhada com o aplicativo verificador. O aplicativo verificador recebe apenas uma pontuação de confiança da correspondência resultante.

Os dados e a privacidade dos serviços de IA do Azure podem ser encontrados aqui.

A verificação do Face Check com o Microsoft Entra Verified ID acontece na carteira ou na nuvem?

O serviço de ID Verificada executa o processo de verificação na nuvem, não no dispositivo. As credenciais são armazenadas no dispositivo de um usuário para que ele tenha controle total do uso de uma credencial. Um usuário deve optar por compartilhar uma credencial com um verificador para que ela seja processada para verificação.

Quais são os requisitos para a foto na Identificação Verificada?

A foto deve ser clara e nítida em qualidade e não inferior a 200 pixels x 200 pixels. O rosto deve estar centralizado dentro da imagem e desobstruído da vista. O tamanho máximo da foto na credencial é de 1 MB. Note que ter uma imagem maior não garante um resultado melhor. Uma boa foto menor é melhor do que uma grande ruim.

Mais informações sobre como melhorar a precisão do processamento de fotos podem ser encontradas aqui

Mais informações sobre limites de dimensionamento de credenciais verificáveis podem ser encontradas aqui

Próximos passos

• Saiba como configurar o seu inquilino para o Microsoft Entra Verified ID e utilizar MyAccount.
• Saiba como emitir credenciais de ID Verificada do Microsoft Entra a partir de um aplicativo Web.
• Saiba como verificar as credenciais de ID Verificada do Microsoft Entra.