Dela via

Använda ansiktskontroll med Microsoft Entra – verifierat ID och låsa upp verifieringar med hög säkerhet i stor skala

  • Artikel

Ansiktskontroll är en ansiktsmatchning med sekretessrespekt. Det gör det möjligt för företag att utföra högsäkerhetsverifieringar på ett säkert, enkelt och i stor skala. Ansiktskontrollen lägger till ett kritiskt förtroendelager genom att utföra ansiktsmatchning mellan en användares selfie i realtid och ett foto. Ansiktsmatchningen drivs av Azure AI-tjänster. Ansiktskontrollen skyddar användarsekretessen genom att endast dela matchningsresultaten och inte några känsliga identitetsdata, samtidigt som organisationer kan vara säkra på att personen som hävdar en identitet verkligen är dem.

Skärmbild av användning av ansiktskontroll.

Förutsättningar

Ansiktskontroll är en premiumfunktion i verifierat ID. Du måste aktivera tillägget Ansiktskontroll i din Microsoft Entra – verifierat ID innan du utför ansiktskontrollsverifieringar.

Konfigurera ansiktskontroll med Microsoft Entra – verifierat ID

Tillägget Ansiktskontroll kan aktiveras på två sätt från Administrationscenter för Microsoft Entra eller med hjälp av Rest-API:et för Azure Resource Manager (ARM) via CLI. Om du ska använda Ansiktskontroll i en klientorganisation med Microsoft Entra Suite-licensen aktiveras Ansiktskontroll på klientorganisationsnivå och konfigurationen gäller för alla myndigheter i klientorganisationen. För andra licenser kan du aktivera Ansiktskontroll individuellt av varje myndighet på din klient med hjälp av Azure Resource Manager REST API (ARM).

Kommentar

ARM Rest API för Microsoft Entra – verifierat ID finns för närvarande i offentlig förhandsversion.

Konfigurera ansiktskontroll med Microsoft Entra – verifierat ID i administrationscentret

  1. På översiktssidan För verifierat ID rullar du ned till det nya avsnittet Tillägg och Enable tillägget Ansiktskontroll.

Skärmbild av tillägget Ansiktskontroll.

  1. I steget Länka en prenumeration väljer du en prenumeration, en resursgrupp och resursplatsen. Välj Validatesedan . Om det inte finns några prenumerationer i listan kan du läsa Vad händer om jag inte kan hitta en prenumeration?

Skärmbild av prenumerationslänkning för Ansiktskontroll.

  1. När du har verifierat det kan Enable du lägga till tillägget.

Skärmbild av tillägg för ansiktskontroll aktiverat.

Nu kan du börja använda Ansiktskontroll i dina företagsprogram.

Konfigurera ansiktskontroll med Microsoft Entra – verifierat ID med hjälp av REST-API:et för Azure Resource Manager (ARM)

Kommentar

ARM Rest API för Microsoft Entra – verifierat ID finns för närvarande i offentlig förhandsversion.

Om du vill konfigurera tillägget Ansiktskontroll på en viss utfärdare måste du ha Azure PowerShell-verktygen på datorn. Den här mekanismen omsluter REST-anropet. Du kan också använda REST-API:et för Azure Resource Manager (ARM) i enlighet med detta

  1. Kör följande kommando i PowerShell
  az login --tenant  <tenant ID>

  1. Välj den prenumeration som du vill aktivera fakturering för ansiktskontroll på

  2. Kör följande kommando

  az rest --method PUT --uri /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.VerifiedId/authorities/<authority-id>?api-version=2024-01-26-preview --body "{'location':'<rp-location>'}"
  • ersätt <subscription-id> med ditt prenumerations-ID
  • ersätt <resource-group-name> med resursgruppens namn
  • ersätt <authority-id> med ditt utfärdar-ID. Du kan hämta med hjälp av authority-id GET-myndighetsanropet från administratörs-API:et.
  • ersätt <rp-location> med något av följande två värden:
    • För EU-klienter använder du northeurope
    • För icke-EU-användning westus2

Tillägget Ansiktskontroll är nu aktiverat i klientorganisationen.

Kom igång med Ansiktskontroll med MyAccount

Du kan enkelt komma igång med ansiktskontroll med hjälp av MyAccount, som kan utfärda VerifiedEmployee autentiseringsuppgifter och en offentlig testapp som Microsoft tillhandahåller. För att komma igång måste du utföra följande steg:

  1. Skapa en testanvändare i din Microsoft Entra-klientorganisation och ladda upp ett foto av dig själv
  2. Gå till MyAccount, logga in som testanvändare och utfärda en VerifiedEmployee autentiseringsuppgift för användaren.
  3. Använd den offentliga testappen för att presentera dina VerifiedEmployee autentiseringsuppgifter med ansiktskontroll.

När Microsoft Authenticator får en presentationsbegäran, inklusive en ansiktskontroll, finns det ett extra objekt efter den typ av autentiseringsuppgifter som användaren uppmanas att dela. När användaren väljer det objektet utförs den faktiska ansiktskontrollen och användaren kan sedan dela den begärda autentiseringsuppgiften och konfidenspoängen för kontrollen med den offentliga testappen (förlitande part). Du kan granska resultaten i testappen.

Kommentar

MyAccount använder Användarprofilfotot för Entra-ID när du utfärdar autentiseringsuppgifterna för VerifiedEmployee. Du kan hämta ditt foto via Microsoft Graph API https://graph.microsoft.com/v1.0/me/photos/240x240/$value

Kom igång med ansiktskontroll med api för begärandetjänsten

Appar kan använda API :et för begärandetjänsten för att skapa en begäran om att användare ska utföra en ansiktskontroll mot VerifiedEmployee autentiseringsuppgifter, statligt utfärdat myndighets-ID eller en anpassad digital autentiseringsuppgift med ett betrott foto. En supporttjänst kan till exempel begära en ansiktskontroll mot en VerifiedEmployee autentiseringsuppgift för att snabbt och säkert verifiera identiteten för att möjliggöra en mängd olika självbetjäningsscenarier, inklusive aktivering av en nyckel eller återställning av ett lösenord. För att minska efterlevnadsrisken får appar en konfidenspoäng för matchning mot fotot från önskad autentiseringsuppgift, utan att få åtkomst till liveness-data.

Utfärda en verifierad ID-autentiseringsuppgift med ett foto

Anpassade typer av autentiseringsuppgifter med hjälp av idTokenHint-attesteringsflödet kan också utfärda en verifierad ID-autentiseringsuppgift som innehåller ett foto. Definitionen av autentiseringsuppgifter måste ha definitionen för visning och regler för fotoanspråket.

Visningsdefinitionen för fotoanspråket ska ha typen inställd image/jpg;base64url på för att Låta Microsoft Authenticator förstå att den ska återges som ett foto korrekt.

{ 
  "claim": "vc.credentialSubject.photo", 
  "label": "User picture", 
  "type": "image/jpg;base64url" 
}

När du anger det faktiska anspråksvärdet för fotot ska det vara i formatet UrlEncode(Base64Encode(JPEG image)).

{ 
  "outputClaim": "photo", 
  "required": false, 
  "inputClaim": "photo", 
  "indexed": false 
}

Kommentar

När du utfärdar en anpassad autentiseringsuppgift med ett foto är det apparnas ansvar att tillhandahålla JPEG som ska användas och koda den.

Presentationsförfrågningar inklusive ansiktskontroll

JSON-nyttolasten till API:et för begärandetjänsten för att skapa en presentationsbegäran måste ange att en ansiktskontroll ska utföras. Anspråket som innehåller fotot måste namnges och du kan också ange ditt förtroendetröskelvärde som ett heltal mellan 50 och 100. Standardvärdet är 70.

// POST https://verifiedid.did.msidentity.com/v1.0/verifiableCredentials/createPresentationRequest
...
  "requestedCredentials": [
    {
      "type": "VerifiedEmployee",
      "acceptedIssuers": [ "did:web:yourdomain.com" ],
      "configuration": {
        "validation": {
          "allowRevoked": false,
          "validateLinkedDomain": true,
          "faceCheck": {
            "sourcePhotoClaimName": "photo",
            "matchConfidenceThreshold": 70
          }
        }

Lyckad händelse för ansiktskontroll presentation_verified motringning

JSON-nyttolasten för presentation_verified innehåller mer data när en ansiktskontroll lyckades under en presentation av verifierade ID-autentiseringsuppgifter. Avsnittet faceCheck läggs till som innehåller en matchConfidenceScore. Observera att det inte går att begära och ta emot presentationskvittot när begäran innehåller faceCheck.

  "verifiedCredentialsData": [ 
    { 
      "issuer": "did:web:yourdomain.com", 
      "type": [ "VerifiableCredential", "VerifiedEmployee" ], 
      "claims": { 
        ... 
      }, 
      ... 
      "faceCheck": { 
        "matchConfidenceScore": 86.314159,
        "sourcePhotoQuality": "HIGH"
      } 
    } 
  ],

Misslyckad återanropshändelse för ansiktskontroll

När konfidenspoängen är lägre än tröskelvärdet misslyckas presentationsbegäran och en presentation_error returneras. Det verifierande programmet får inte poängen returnerad.

{ 
  "requestId": "...", 
  "requestStatus": "presentation_error", 
  "state": "...", 
  "error": { 
    "code": "claimValidationError", 
    "message": "Match confidence score failing to meet the threshold." 
  } 
}

Authenticator visar ett felmeddelande som informerar användaren om att konfidenspoängen inte uppfyllde tröskelvärdet.

Skärmbild av låg konfidenspoäng i Ansiktskontroll.

Vanliga frågor och svar om ansiktskontroll med Microsoft Entra – verifierat ID

Vad är ansiktskontroll?

Ansiktskontroll med Microsoft Entra – verifierat ID är en premiumfunktion i verifierat ID som används för ansiktsmatchning med sekretessrelevnad. Det gör det möjligt för företag att utföra högsäkerhetsverifieringar på ett säkert, enkelt och i stor skala. Ansiktskontrollen lägger till ett kritiskt förtroendelager genom att utföra ansiktsmatchning mellan en användares selfie i realtid och ett foto. Ansiktsmatchningen drivs av Azure AI-tjänster.

Vad är skillnaden mellan ansiktskontroll och ansikts-ID?

Ansikts-ID är ett visionsbaserat biometriskt säkerhetsalternativ för Apple-produkter för att låsa upp en enhet för åtkomst till en mobilapp. Ansiktskontroll är en Microsoft Entra – verifierat ID funktion som också använder visionsbaserad AI-teknik, men jämför användaren med det visade verifierade ID:t. Ansiktskontroll avgör användaridentiteten i en mängd olika onlinescenarier där högsäkerhetsåtkomst krävs. Några exempel på som är värdefulla affärsprocesser eller åtkomst till känslig företagsinformation. Båda mekanismerna kräver att en användare möter en kamera i processen men fungerar på olika sätt.

Utförs kontrollen av biometrisk syn i ansiktskontrollen på den mobila enheten?

Nej. Den biometriska kontrollen mellan fotot och livenessdata som samlas in utförs i molnet med hjälp av Ansikts-API:et för Azure AI Vision. Användarens selfie-avbildning under processen delas inte med den begärande ID-verifierande webbplatsen.

Vad är Ansikts liveness Check?

Ansiktskontroll med Microsoft Entra – verifierat ID använder Liveness-kontrollen för Ansikts-API för Azure AI Vision för att verifiera att det är en riktig person i selfiebilderna från kameran på användarens enhet. Den här kontrollen hjälper till att säkerställa att ett statiskt foto eller en 2D-video av en användare inte kan användas i stället för sitt levande jag.

Vad händer med liveness-data som tas?

När kameran är påslagen på den mobila enheten fångas livebilder på den mobila enheten. Den här filmen skickas sedan till verifierat ID som använder det för att anropa tjänster i Azure AI-tjänster.

Data lagras inte av eller sparas av någon av tjänsterna Microsoft Authenticator, Verifierat ID eller Azure AI. Dessutom delas inte bilderna med kontrollantprogrammet heller. Kontrollantprogrammet får bara konfidenspoängen i gengäld. I ett AI-baserat system är konfidenspoängen sannolikhetsprocentsvaret för en fråga till systemet. I det här scenariot är konfidenspoängen sannolikheten för att användarfotot verifierat ID matchar användarfångst på den mobila enheten. Data och sekretess för Azure AI Services finns här.

Hur mycket kostar ansiktskontroll?

Den senaste informationen om användningsfakturering och priser finns i Microsoft Entra-priser.

Vad händer om jag inte kan hitta en prenumeration?

Om inga prenumerationer är tillgängliga i fönstret Länka en prenumeration finns här några möjliga orsaker:

Du har inte rätt behörigheter. Se till att logga in med Azure-kontot åtminstone har rollen Deltagare i prenumerationen eller en resursgrupp i prenumerationen.

Det finns en prenumeration, men den är inte associerad med din katalog ännu. Du kan associera en befintlig prenumeration med din klientorganisation och sedan upprepa stegen för att länka den till din klientorganisation.

Det finns ingen prenumeration. I fönstret Länka en prenumeration kan du skapa en prenumeration genom att välja länken om du inte redan har en prenumeration som du kan skapa här. När du har skapat en ny prenumeration måste du skapa en resursgrupp i den nya prenumerationen och sedan upprepa stegen för att länka den till din klientorganisation.

Vanliga frågor och svar för utvecklare av ansiktskontroll

Kräver ansiktskontrollen MS-autentisering?

Ja. Ansiktskontrollen är begränsad till verifierad ID-användning med MS Authenticator. Den här begränsningen är på plats för att förhindra inmatningsattacker vid ansiktskontroll. För scenarier som inte är ansiktskontroll är en Wallet SDK tillgänglig för andra verifierade ID-lösningar. Mer information finns här

Vad är konfidensprocentmatchningen och vad betyder konfidens?

Organisationer kan välja tröskelvärdet för konfidenspoäng för sitt program för att acceptera en ansiktskontrollverifiering. Ett högre tröskelvärde innebär att det är mindre troligt att en personifierare godkänns felaktigt. Vid standardkonfidenspoängen på 50 % är chansen att personen i den levande selfien inte är den rättmätiga ägaren av autentiseringsuppgifter en av 100 000. Vilken nivå som krävs beror på det specifika scenariot, hur offentlig startpunkten är och de planerade användarna. Vid en konfidenspoäng på 90 % är den falska positiva användarchansen en på en miljard. Ett högre tröskelvärde leder till ökad potential för att en behörig användare avvisas på grund av programmets högre känslighet. Det är viktigt att hitta rätt balans mellan att ange ett tröskelvärde för hög konfidenspoäng som skyddar ditt program utan att göra det så högt att det ofta avvisar behöriga användare på grund av små ändringar i utseendet eller de visuella förhållandena i deras omgivning, till exempel belysning.

Läs mer om Azure Face API.

Vad är Ansikts-API för Azure AI Vision?

Azure AI är en uppsättning molntjänster på Azure Platform. Ansikts-API:et för Azure AI Vision erbjuder tjänster för ansiktsigenkänning, ansiktsigenkänning, ansiktsmatchning och liveness-kontroll. Microsoft Entra – verifierat ID använder tjänster för ansiktsidentifiering, ansiktsmatchning och ansikts liveness när ansiktskontrollen utförs. Mer information kan finnas här.

Hur rättvist är Ansikts-API för Azure AI Vision?

Microsoft har genomfört rättvisetestning av ansikts-API:et. Azure AI-tjänsteteamet strävar ständigt efter att säkerställa ansvarsfull och inkluderande användning av AI. Visa rapporten Face API Fairness (Rättvisa för ansikts-API).

Är du iBeta Level 2-konform?

Ja. Azure Ansikts-API AI och Ansiktskontroll är iBeta Level 2-kompatibilitet för att vara resistenta mot olika presentationsformat för angrepp för att personifiera en användare. Läs mer om iBetas ISO-presentationstestning av attackidentifiering.

Hur rättvist är Ansikts-API för Azure AI Vision?

Microsoft genomförde rättvisetestning av ansikts-API:et. Azure AI Services-teamet strävar kontinuerligt efter att säkerställa ansvarsfull och inkluderande användning av biometrisk AI. Rapporten Face API Fairness (Rättvisa för ansikts-API) finns här.

Om en användare nyligen fick en frisyr, rakade sitt ansiktshår eller på annat sätt ändrade sitt fysiska utseende, kommer de inte att kunna slutföra en ansiktskontrollverifiering?

Ansiktskontrollen jämför en användares live-selfie med fotot som är associerat med ditt verifierade ID. Ju mindre användaren ser ut som det fotot, desto lägre är deras matchningspoäng. Om verifieringen av ansiktskontrollen godkänns eller inte beror på hur annorlunda användaren för närvarande visas från det tidigare sparade fotot och hur högt tröskelvärde för konfidenspoäng programmet har. Om ditt program har ett relativt högt tröskelvärde rekommenderar vi att användarna behåller ett fysiskt utseende som överensstämmer med deras uppladdade verifierade ID-foto eller ersätter fotot med ett som återspeglar användarens aktuella utseende.

Vart tar mina data vägen när jag använder Ansiktskontroll? Var lagras den?

Bilder som används under ansiktskontrollen lagras inte på lång sikt. Under en begäran om ansiktskontroll hämtas en selfie från användarens mobila enhet. Den här avbildningen skickas sedan till verifierat ID som använder den för att anropa Azure Face API AI-tjänster. När bearbetningen är klar ignoreras selfiebilden och sparas inte på någon enhet eller tjänst. Microsoft Authenticator, Verifierat ID och Azure AI-tjänster lagrar inte eller behåller inte dessa data. Dessutom delas inte den insamlade selfiebilden med kontrollantprogrammet heller. Kontrollantprogrammet får bara en konfidenspoäng för den resulterande matchningen.

Data och sekretess för Azure AI-tjänster finns här.

Sker ansiktskontrollen med Microsoft Entra – verifierat ID verifiering i plånboken eller i molnet?

Tjänsten Verifierat ID kör verifieringsprocessen i molnet, inte på enheten. Autentiseringsuppgifter lagras på en användares enhet så att de har fullständig kontroll över autentiseringsuppgifternas användning. En användare måste välja att dela en autentiseringsuppgift med en kontrollant för att den ska kunna bearbetas för verifiering.

Vilka är kraven för fotot i verifierat ID?

Fotot ska vara tydligt och skarpt i kvalitet och inte mindre än 200 bildpunkter x 200 bildpunkter. Ansiktet ska centreras i bilden och fristeras från vyn. Den maximala storleken på fotot i autentiseringsuppgifterna är 1 MB. Observera att en större avbildning inte garanterar ett bättre resultat. Ett bra mindre foto är bättre än ett stort dåligt.

Mer information om hur du förbättrar noggrannheten för bildbearbetning finns här

Mer information om storleksgränser för verifierbara autentiseringsuppgifter finns här

Nästa steg