Использование проверки лиц с Проверенные учетные данные Microsoft Entra и разблокировкой проверки высокой надежности в масштабе

Проверка лиц — это конфиденциальное сопоставление лиц. Это позволяет предприятиям безопасно выполнять проверки высокой надежности, просто и в масштабе. Проверка лиц добавляет критически важный уровень доверия, выполняя сопоставление лиц между селфи пользователя в режиме реального времени и фотографией. Сопоставление лиц осуществляется службами ИИ Azure. Face Check защищает конфиденциальность пользователей, предоставляя общий доступ только к результатам соответствия, а не конфиденциальным данным удостоверения, позволяя организациям быть уверены, что пользователь, утверждая, что удостоверение действительно им.

Необходимые компоненты

Проверка лиц — это функция "Премиум" в проверенном идентификаторе. Перед проверкой лиц необходимо включить надстройку проверки лиц в настройке Проверенные учетные данные Microsoft Entra перед проверкой лиц.

• Перед использованием проверки лиц убедитесь, что Проверенные учетные данные Microsoft Entra настроены в клиенте.
• Добавьте или свяжите подписку Azure с вашим клиентом Microsoft Entra
• Убедитесь, что пользователь, настроив проверку лиц, имеет роль участника для подписки Azure

Настройка проверки лиц с помощью Проверенные учетные данные Microsoft Entra

Надстройка проверки лиц может быть включена двумя способами из Центра администрирования Microsoft Entra или с помощью REST API Azure Resource Manager (ARM). Если вы собираетесь использовать проверку лиц в клиенте с лицензией Microsoft Entra Suite, проверка лиц включена на уровне клиента, а конфигурация применяется ко всем властям этого клиента. Для любых других лицензий вы можете включить проверку лиц по отдельности каждым центром в клиенте с помощью REST API Azure Resource Manager (ARM).

Примечание.

REST API ARM для Проверенные учетные данные Microsoft Entra в настоящее время находится в общедоступной предварительной версии.

Настройка проверки лиц с помощью Проверенные учетные данные Microsoft Entra в Центре администрирования

1. На странице обзора проверенного идентификатора прокрутите вниз до нового раздела надстроек и Enable надстройки проверки лиц.

2. На шаге "Связать подписку" выберите подписку, группу ресурсов и расположение ресурса. Затем выберите Validate. Если нет подписок, см. статью "Что делать, если не удается найти подписку?"

3. После проверки вы можете добавить Enable надстройку.

Теперь вы можете начать использовать проверку лиц в корпоративных приложениях.

Настройка проверки лиц с помощью Проверенные учетные данные Microsoft Entra с помощью REST API Azure Resource Manager (ARM)

Примечание.

REST API ARM для Проверенные учетные данные Microsoft Entra в настоящее время находится в общедоступной предварительной версии.

Чтобы настроить надстройку проверки лиц для данного центра, необходимо иметь средства Azure PowerShell на компьютере. Приведенный ниже механизм упаковывает вызов REST. Кроме того, можно использовать REST API Azure Resource Manager (ARM) PUT соответствующим образом.

1. В PowerShell выполните следующую команду:

  az login --tenant  <tenant ID>

1. Выберите подписку, в которой требуется включить выставление счетов по проверке лиц

2. Выполните следующую команду.

  az rest --method PUT --uri /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.VerifiedId/authorities/<authority-id>?api-version=2024-01-26-preview --body "{'location':'<rp-location>'}"

• замените <subscription-id> идентификатор подписки
• замените <resource-group-name> имя группы ресурсов
• замените <authority-id> идентификатором центра. Вы можете получить authority-id вызов GET Центра из API администрирования.
• замените <rp-location> одно из следующих двух значений:
  • Для клиентов ЕС используйте northeurope
  • Для использования, отличного от ЕС westus2

Надстройка "Проверка лиц" теперь включена в клиенте.

Начало работы с проверкой лиц с помощью MyAccount

Вы можете легко приступить к работе с проверкой лиц с помощью MyAccount, которая может выдавать VerifiedEmployee учетные данные и общедоступное тестовое приложение, которое корпорация Майкрософт предоставляет. Чтобы приступить к работе, необходимо выполнить следующие действия:

1. Создание тестового пользователя в клиенте Microsoft Entra и отправка фотографии себя
2. Перейдите в MyAccount, войдите в качестве тестового пользователя и устраните VerifiedEmployee учетные данные для пользователя.
3. Используйте общедоступное тестовое приложение для представления VerifiedEmployee учетных данных с помощью проверки лиц.

Когда Microsoft Authenticator получает запрос презентации, включая проверку лиц, после ввода учетных данных пользователю будет предложено предоставить общий доступ. Когда пользователь выбирает этот элемент, выполняется фактическая проверка лиц, а затем пользователь может предоставить доступ к запрошенным учетным данным и оценку достоверности проверки с общедоступным тест-приложением (проверяющей стороной). Вы можете просмотреть результаты в тестовом приложении.

Начало работы с проверкой лиц с помощью API службы запросов

Приложения могут использовать API службы запросов для создания запроса для пользователей для проверки лиц с VerifiedEmployee учетными данными, идентификатора государственных организаций или пользовательских цифровых учетных данных с доверенной фотографией. Например, служба технической поддержки может запросить проверку лиц по VerifiedEmployee учетным данным, чтобы быстро и безопасно проверить удостоверение, чтобы включить широкий спектр сценариев самообслуживания, включая активацию секретного ключа или сброс пароля. Чтобы снизить риск соответствия требованиям, приложения получают оценку достоверности для сопоставления с фотографией из требуемых учетных данных, не получая доступа к данным о жизни.

Выдача проверенных учетных данных идентификатора с фотографией

Пользовательские типы учетных данных с помощью потока аттестации idTokenHint также могут выдавать проверенные идентификаторы, содержащие фотографию. Определение учетных данных должно иметь определение отображения и правил для утверждения фотографии.

Определение отображения для утверждения фотографии должно иметь тип, чтобы image/jpg;base64url разрешить Microsoft Authenticator понимать, что оно должно быть правильно отрисовывается как фотография.

{ 
  "claim": "vc.credentialSubject.photo", 
  "label": "User picture", 
  "type": "image/jpg;base64url" 
} 

При задании фактического значения утверждения фотографии оно должно быть в формате UrlEncode(Base64Encode(JPEG image)).

{ 
  "outputClaim": "photo", 
  "required": false, 
  "inputClaim": "photo", 
  "indexed": false 
} 

Запросы презентации, включая проверку лиц

Полезные данные JSON в API службы запросов для создания запроса необходимо указать, что необходимо выполнить проверку лиц. Утверждение, содержащее фотографию, должно быть названо, и при необходимости можно указать порог достоверности в качестве целого числа от 50 до 100. Значение по умолчанию — 70.

// POST https://verifiedid.did.msidentity.com/v1.0/verifiableCredentials/createPresentationRequest
...
  "requestedCredentials": [
    {
      "type": "VerifiedEmployee",
      "acceptedIssuers": [ "did:web:yourdomain.com" ],
      "configuration": {
        "validation": {
          "allowRevoked": false,
          "validateLinkedDomain": true,
          "faceCheck": {
            "sourcePhotoClaimName": "photo",
            "matchConfidenceThreshold": 70
          }
        }

Успешное событие обратного вызова с проверкой лиц presentation_verified

Полезные данные JSON для presentation_verified получения дополнительных данных при успешной проверке лиц во время презентации учетных данных проверенного идентификатора. Добавлен раздел faceCheck, содержащий сопоставлениеConfidenceScore. Обратите внимание, что невозможно запрашивать и получать квитанцию о презентации, когда запрос включает faceCheck.

  "verifiedCredentialsData": [ 
    { 
      "issuer": "did:web:yourdomain.com", 
      "type": [ "VerifiableCredential", "VerifiedEmployee" ], 
      "claims": { 
        ... 
      }, 
      ... 
      "faceCheck": { 
        "matchConfidenceScore": 86.314159,
        "sourcePhotoQuality": "HIGH"
      } 
    } 
  ], 

Сбой события обратного вызова проверки лиц

Если оценка достоверности ниже порогового значения, запрос презентации завершается ошибкой и presentation_error возвращается. Проверяющее приложение не получает возвращаемую оценку.

{ 
  "requestId": "...", 
  "requestStatus": "presentation_error", 
  "state": "...", 
  "error": { 
    "code": "claimValidationError", 
    "message": "Match confidence score failing to meet the threshold." 
  } 
} 

В приложении Authenticator отображается сообщение об ошибке, информирующее пользователя о том, что оценка достоверности не удалось достичь порогового значения.

Часто задаваемые вопросы о проверке лиц с помощью Проверенные учетные данные Microsoft Entra

Что такое проверка лиц?

Проверка лиц с Проверенные учетные данные Microsoft Entra — это функция premium в проверенном идентификаторе, используемом для сопоставления лиц с учетом конфиденциальности. Это позволяет предприятиям безопасно выполнять проверки высокой надежности, просто и в масштабе. Проверка лиц добавляет критически важный уровень доверия, выполняя сопоставление лиц между селфи пользователя в режиме реального времени и фотографией. Сопоставление лиц осуществляется службами ИИ Azure.

Что такое разница между проверкой лиц и идентификатором лица?

Идентификатор лица — это вариант биометрической безопасности на основе биометрических данных в продуктах Apple для разблокировки устройства для доступа к мобильному приложению. Проверка лиц — это Проверенные учетные данные Microsoft Entra функция, которая также использует технологию искусственного интеллекта на основе визуального зрения, но сравнивает пользователя с представленным проверенным идентификатором. Проверка лиц определяет удостоверение пользователя в широком диапазоне онлайн-сценариев, где требуется высокий уровень надежности доступа. Некоторые примеры, которые являются ценными бизнес-процессами или доступом к конфиденциальной информации компании. Оба механизма требуют, чтобы пользователь столкнулся с камерой в процессе, но работает разными способами.

Выполняется ли проверка биометрического зрения на мобильном устройстве?

№ Биометрическая проверка между фотографией и данными о активности выполняется в облаке с помощью API распознавания распознавания искусственного интеллекта Azure. Запись селфи пользователя во время процесса не предоставляется совместно с запрашивающим идентификатором проверяющего сайта.

Что такое проверка активности лиц?

Проверка лиц с помощью Проверенные учетные данные Microsoft Entra использует проверку активности API распознавания лиц Azure ai Vision, чтобы убедиться, что это реальный человек в кадрах селфи с камеры на устройстве пользователя. Эта проверка помогает убедиться, что статическое фото или 2D-видео пользователя не может использоваться вместо своего динамического себя.

Что происходит с данными о активности?

Когда камера включена на мобильном устройстве, на мобильном устройстве записываются живые кадры. Затем эти кадры передаются в проверенный идентификатор, который использует его для вызова служб ИИ Azure.

Данные не хранятся ни в одной из служб Microsoft Authenticator, проверенного идентификатора или искусственного интеллекта Azure. Кроме того, кадры не передаются приложению проверяющего средства. Приложение проверяющего средства возвращает только оценку достоверности. В системе на основе искусственного интеллекта оценка достоверности — это ответ на процент вероятности для запроса к системе. В этом сценарии оценка достоверности — это вероятность того, что фотография проверенного пользователя с идентификатором соответствует записи пользователя на мобильном устройстве. Здесь можно найти данные и конфиденциальность для служб ИИ Azure.

Сколько стоит проверка лиц?

Последние сведения о выставлении счетов и ценах на использование см. в разделе о ценах Microsoft Entra.

Что делать, если не удается найти подписку

Если в области Связывание подписки нет доступных подписок, вот несколько возможных причин:

У вас нет соответствующих разрешений. Не забудьте войти с помощью учетной записи Azure по крайней мере роль участника в подписке или группе ресурсов в подписке.

Подписка существует, но она еще не связана с каталогом. Вы можете связать существующую подписку с клиентом , а затем повторить шаги по связыванию подписки с клиентом.

Подписка не существует. В области "Связывание подписки" можно создать подписку, выбрав ссылку, если у вас еще нет подписки, которую вы можете создать здесь. После создания новой подписки необходимо создать группу ресурсов в новой подписке, а затем повторить действия по связыванию ее с клиентом.

Часто задаваемые вопросы для разработчиков проверки лиц

Требуется ли проверка лиц MS Authenticator?

Да. Проверка лиц ограничена использованием проверенного идентификатора с MS Authenticator. Это ограничение применяется для предотвращения атаки на внедрение при проверке лиц. Для сценариев проверки лиц пакет SDK для кошелька доступен другим проверенным решениям по идентификаторам. Дополнительные сведения см. здесь

Что такое совпадение с процентом достоверности и что означает уверенность?

Организации могут выбрать порог оценки достоверности для своего приложения, чтобы принять проверку распознавания лиц. Более высокий порог означает, что это менее вероятно для олицетворения ложного принятия. По умолчанию оценка достоверности составляет 50%, вероятность того, что человек в динамическом селфи не является правильным владельцем учетных данных в 100 000. Требуемый уровень зависит от конкретного сценария, того, как общедоступна точка входа и запланированные пользователи. На 90% оценки достоверности, что вероятность ложноположительных пользователей составляет один миллиард. Более высокое пороговое значение приводит к увеличению потенциального отклонения авторизованного пользователя из-за более высокой конфиденциальности приложения. Важно найти правильный баланс между настройкой порога оценки достоверности, который защищает приложение, не делая его таким высоким, что часто отклоняет авторизованных пользователей из-за незначительных изменений внешнего вида или визуальных условий их окружения, таких как освещение.

Дополнительные сведения об API распознавания лиц Azure.

Что такое API распознавания лиц Azure AI?

Azure AI — это набор облачных служб на платформе Azure. API распознавания лиц Azure AI предлагает службы для обнаружения лиц, распознавания лиц, сопоставления лиц и проверки активности. Проверенные учетные данные Microsoft Entra использует службы обнаружения лиц, сопоставления лиц и проверки активности лиц при выполнении FaceCheck. Дополнительные сведения см . здесь.

Насколько справедливо API распознавания лиц Azure AI?

Корпорация Майкрософт провела тестирование справедливости API распознавания лиц. Команда служб искусственного интеллекта Azure постоянно стремится обеспечить ответственное и инклюзивное использование ИИ. Просмотрите отчет о справедливости API распознавания лиц.

Вы соответствуете уровню 2 iBeta?

Да. ИИ API распознавания лиц Azure и проверка лиц соответствуют уровню 2 iBeta, чтобы быть устойчивыми к различным стилям атак для олицетворения пользователя. Узнайте больше о тестировании обнаружения атак iso в iBeta.

Насколько справедливо API распознавания лиц Azure AI?

Корпорация Майкрософт провела тестирование справедливости API распознавания лиц. Команда служб искусственного интеллекта Azure постоянно стремится обеспечить ответственное и инклюзивное использование биометрического ИИ. Отчет о справедливости API распознавания лиц доступен здесь.

Если пользователь недавно получил стрижку, побрил свои волосы на лице или иначе изменил свой физический вид, он не сможет завершить проверку лица?

Проверка лиц сравнивает селфи пользователя с фотографией, связанной с проверенным идентификатором. Чем меньше пользователь выглядит так, на фото, тем ниже оценка соответствия. Принимается ли проверка лиц или не зависит от того, насколько иначе отображается пользователь с ранее сохраненной фотографии и насколько высокий порог оценки достоверности приложения. Если приложение имеет относительно высокий порог, рекомендуется сохранить физический вид, который соответствует их отправленной фотографии проверенного идентификатора или заменить фотографию на нее, которая отражает текущий внешний вид пользователя.

Когда я использую проверку лиц, куда идут мои данные? Где он хранится?

Изображения, используемые во время проверки лиц, не хранятся в долгосрочной перспективе. Во время запроса проверки лиц селфи записывается с мобильного устройства пользователя. Затем этот образ передается в проверенный идентификатор, который использует его для вызова служб ИИ API распознавания лиц Azure. После завершения обработки образ селфи удаляется и не сохраняется на любом устройстве или службе. Microsoft Authenticator, проверенный идентификатор и службы ИИ Azure не будут хранить или хранить эти данные. Кроме того, захваченный образ селфи не предоставляется приложению проверяющего средства. Приложение проверяющего объекта получает только оценку достоверности результирующего совпадения.

Здесь можно найти данные и конфиденциальность для служб ИИ Azure.

Происходит ли проверка лиц с помощью Проверенные учетные данные Microsoft Entra проверки подлинности в кошельке или в облаке?

Служба проверенных идентификаторов выполняет процесс проверки в облаке, а не на устройстве. Учетные данные хранятся на устройстве пользователя, чтобы они имели полный контроль над использованием учетных данных. Пользователь должен предоставить общий доступ к учетным данным проверяющего средства для обработки для проверки.

Каковы требования к фотографии в проверенном идентификаторе?

Фотография должна быть четкой и резкой в качестве и не меньше 200 пикселей x 200 пикселей. Лицо должно быть центрировано в пределах изображения и неуправляемо из представления. Максимальный размер фотографии в учетных данных составляет 1 МБ.

Дополнительные сведения о том, как улучшить точность обработки фотографий, см . здесь

Дополнительные сведения об ограничениях размера проверяемых учетных данных см . здесь

Следующие шаги

• Узнайте, как настроить клиент для Проверенные учетные данные Microsoft Entra и использовать MyAccount.
• Узнайте, как выдавать Проверенные учетные данные Microsoft Entra учетные данные из веб-приложения.
• Узнайте, как проверить Проверенные учетные данные Microsoft Entra учетные данные.