Použití kontroly obličeje s ověřeným ID Microsoft Entra a odemknutí ověření vysoké důvěryhodnosti ve velkém měřítku

Porovnávání obličeje s respektem k ochraně osobních údajů. Umožňuje podnikům bezpečně provádět ověřování s vysokou jistotou, jednoduše a ve velkém měřítku. Kontrola tváře přidává kritickou vrstvu důvěryhodnosti tím, že provádí porovnávání tváří mezi fotkou uživatele v reálném čase a fotkou. Porovnávání tváří využívá služby Azure AI. Kontrola tváře chrání ochranu osobních údajů uživatelů tím, že sdílí jenom výsledky shody a ne žádná citlivá data identity, a zároveň umožňuje organizacím zajistit, aby osoba, která tvrdí identitu, byla skutečně jejich identitou.

Požadavky

Kontrola tváře je prémiová funkce v rámci ověřeného ID. Před ověřením kontroly tváře musíte v nastavení Ověřené ID Microsoft Entra povolit doplněk Kontrola tváře.

• Před použitím kontroly tváře se ujistěte, že je ve vašem tenantovi nastavené Ověřené ID Microsoft Entra.
• Přidružení nebo přidání předplatného Azure k tenantovi Microsoft Entra
• Ujistěte se, že uživatel, který nastavuje kontrolu tváře, má pro předplatné Azure roli Přispěvatel.

Nastavení ověření tváře systémem Ověřené ID Microsoft Entra

Doplněk Face Check lze povolit dvěma způsoby: z Centra pro správu Microsoft Entra nebo pomocí rozhraní REST API Azure Resource Manager (ARM) prostřednictvím CLI. Pokud budete používat kontrolu tváře v tenantovi s licencí Microsoft Entra Suite, je kontrola tváře povolená na úrovni tenanta a konfigurace se vztahuje na všechny autority v rámci daného tenanta. Pro všechny ostatní licence můžete povolit kontrolu tváře jednotlivě podle každé autority ve vašem tenantovi pomocí rozhraní REST API Azure Resource Manageru (ARM).

Poznámka:

Rozhraní REST API ARM pro Ověřené ID Microsoft Entra je aktuálně ve verzi Public Preview.

Nastavení kontroly obličeje pomocí ověřeného ID Microsoft Entra v Centru pro správu

1. Na stránce Přehled ověřených ID se posuňte dolů k novému oddílu Doplňky a klikněte na doplněk Kontrola tváře.

2. V kroku Propojit předplatné vyberte předplatné, skupinu prostředků a umístění prostředku. Pak vyberte Validate. Pokud nejsou uvedená žádná předplatná, podívejte se, co když nemůžu najít předplatné?

3. Po ověření můžete Enable doplněk.

Teď můžete začít používat funkci Face Check v podnikových aplikacích.

Nastavení ověřování obličejem pomocí Microsoft Entra Verified ID s využitím REST API Azure Resource Manageru (ARM)

Poznámka:

Rozhraní REST API ARM pro Ověřené ID Microsoft Entra je aktuálně ve verzi Public Preview.

Pokud chcete u dané autority nastavit doplněk Kontrola tváře, musíte mít na svém počítači nástroje Azure PowerShellu. Tento mechanismus zabalí volání REST. Alternativním způsobem můžete použít rozhraní REST API AZURE Resource Manageru (ARM) PUT.

1. V PowerShellu spusťte následující příkaz.

az login --tenant  <tenant ID>

1. Vyberte předplatné, u kterého chcete povolit fakturaci služby Face Check.

2. Spusťte následující příkaz

az rest --method PUT --uri /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.VerifiedId/authorities/<authority-id>?api-version=2024-01-26-preview --body "{'location':'<rp-location>'}"

• nahraďte <subscription-id> svým ID předplatného.
• nahraďte <resource-group-name> názvem vaší skupiny prostředků.
• nahraďte <authority-id> ID vašeho oprávnění. Můžete získat authority-id pomocí volání GET Authorities z rozhraní správy API.
• nahraďte <rp-location> některou z následujících dvou hodnot:
  • Pro tenanty EU použijte northeurope
  • Pro použití mimo EU westus2

Doplněk Pro kontrolu tváře je teď ve vašem tenantovi povolený.

Začínáme se službou Face Check s využitím MyAccount

Pomocí účtu MyAccount můžete snadno začít používat funkci Face Check, která může vydávat VerifiedEmployee přihlašovací údaje a veřejnou testovací aplikaci, kterou Microsoft poskytuje. Abyste mohli začít, musíte provést následující kroky:

1. Vytvořte testovacího uživatele ve vašem klientovi Microsoft Entra a nahrajte fotku sebe sama
2. Přejděte na MyAccount, přihlaste se jako testovací uživatel a zadejte VerifiedEmployee přihlašovací údaje pro uživatele.
3. Pomocí veřejné testovací aplikace můžete své přihlašovací údaje prezentovat VerifiedEmployee pomocí kontroly tváře.

Když Microsoft Authenticator obdrží žádost o prezentaci, která zahrnuje kontrolu tváře, po typu přihlašovacích údajů se uživateli zobrazí další položka, která vyžaduje sdílení. Když uživatel vybere tuto položku, provede se skutečná kontrola tváře a uživatel pak může sdílet požadované přihlašovací údaje a skóre spolehlivosti kontroly pomocí veřejné testovací aplikace (předávající strany). Výsledky můžete zkontrolovat v aplikaci Test.

Poznámka:

MyAccount při vydávání přihlašovacích údajů VerifiedEmploye používá fotografii profilu uživatele Entra ID. Fotografii můžete načíst prostřednictvím rozhraní Microsoft Graph API https://graph.microsoft.com/v1.0/me/photos/240x240/$value

Začněte s Face Check pomocí Request Service API

Aplikace můžou pomocí rozhraní Request Service API vytvořit žádost pro uživatele, aby provedli kontrolu tváře vůči oprávnění, vládnímu průkazu totožnosti vydanému státem nebo vlastnímu digitálnímu oprávnění s důvěryhodnou fotkou. Služba helpdesku může například požádat o kontrolu tváře proti přihlašovacím VerifiedEmployee údajům, aby ověřila identitu rychle a bezpečně, aby umožňovala širokou škálu samoobslužných scénářů, včetně aktivace klíče nebo resetování hesla. Aby se snížilo riziko dodržování předpisů, aplikace získají skóre spolehlivosti pro shodu s fotkou z požadovaných přihlašovacích údajů, aniž by získaly přístup k datům o živém stavu.

Vydání osvědčení ověřeného ID s fotografií

Vlastní typy přihlašovacích údajů používající attestační tok idTokenHint mohou také vydat přihlašovací údaje ověřeného ID obsahující fotku. Definice přihlašovacích údajů musí mít definici zobrazení a pravidel pro deklaraci identity fotky.

Definice zobrazení deklarace fotografie by měla mít nastavený image/jpg;base64url typ, aby Microsoft Authenticator pochopil, že ji má správně vykreslit jako fotku.

{ 
  "claim": "vc.credentialSubject.photo", 
  "label": "User picture", 
  "type": "image/jpg;base64url" 
} 

Při nastavování skutečné hodnoty deklarace fotografie by měla být ve formátu UrlEncode(Base64Encode(JPEG image)).

{ 
  "outputClaim": "photo", 
  "required": false, 
  "inputClaim": "photo", 
  "indexed": false 
} 

Poznámka:

Při vydávání vlastních přihlašovacích údajů s fotkou je zodpovědností aplikací poskytnout jpeg, který se má použít a zakódovat.

Žádosti o prezentaci včetně kontroly tváře

Datová část JSON pro rozhraní API služby pro vytváření požadavků na prezentaci musí určit, že se má provést kontrola obličeje. Deklarace identity obsahující fotografii musí být pojmenována a volitelně můžete zadat prahovou hodnotu spolehlivosti jako celé číslo v rozmezí od 50 do 100. Výchozí hodnota je 70.

// POST https://verifiedid.did.msidentity.com/v1.0/verifiableCredentials/createPresentationRequest
...
  "requestedCredentials": [
    {
      "type": "VerifiedEmployee",
      "acceptedIssuers": [ "did:web:yourdomain.com" ],
      "configuration": {
        "validation": {
          "allowRevoked": false,
          "validateLinkedDomain": true,
          "faceCheck": {
            "sourcePhotoClaimName": "photo",
            "matchConfidenceThreshold": 70
          }
        }

Úspěšná kontrola tváře presentation_verified události zpětného volání

Datová část JSON pro presentation_verified obsahuje v odpovědi více dat, když byla kontrola tváře úspěšně provedena během prezentace ověřených přihlašovacích údajů ID. Přidá se oddíl „faceCheck“, který obsahuje hodnotu „matchConfidenceScore“. Mějte na paměti, že není možné požádat a přijmout potvrzení o prezentaci, pokud požadavek zahrnuje faceCheck.

  "verifiedCredentialsData": [ 
    { 
      "issuer": "did:web:yourdomain.com", 
      "type": [ "VerifiableCredential", "VerifiedEmployee" ], 
      "claims": { 
        ... 
      }, 
      ... 
      "faceCheck": { 
        "matchConfidenceScore": 86.314159,
        "sourcePhotoQuality": "HIGH"
      } 
    } 
  ], 

Kontrola tváře presentation_verified potvrzení o události zpětného volání

Pokud byla vytvořena žádost o prezentaci s žádostí o potvrzení , bude zpětné volání presentation_verified obsahovat atribut s názvem faceCheck.

{
  "requestId": "11111111-2222-3333-4444-55555555",
  "requestStatus": "presentation_verified",
  "receipt": {
    ...
    "faceCheck": "eyJhbGc...svw"
  },
  ...
}

Hodnota atributu faceCheck je podepsaný token JWT, který slouží jako zdrojová data pro kontrolu životnosti. Dekódování tokenu JWT base64 poskytuje ověřitelné přihlašovací údaje typu MicrosoftFaceCheckReceipt. sourceVcJti je identifikátor použitý ke kontrole živosti přihlašovacích údajů.

... 
    "type": [
      "VerifiableCredential",
      "MicrosoftFaceCheckReceipt"
    ],
    "credentialSubject": {
      "faceCheckResults": [
        {
          "sourceVcJti": "urn:pic:4f741111222233334444000000000000",
          "matchConfidenceThreshold": 70,
          "matchConfidenceScore": 86.314159,
          "sourcePhotoQuality": "HIGH"
        }
      ]

Neúspěšná událost zpětného volání kontroly tváře

Pokud je skóre spolehlivosti nižší než prahová hodnota, požadavek na prezentaci se nezdaří a presentation_error vrátí se. Ověřovací aplikace nedostane vrácené skóre.

{ 
  "requestId": "...", 
  "requestStatus": "presentation_error", 
  "state": "...", 
  "error": { 
    "code": "claimValidationError", 
    "message": "Match confidence score failing to meet the threshold." 
  } 
} 

Authenticator zobrazí chybovou zprávu informující uživatele, že skóre spolehlivosti nesplní prahovou hodnotu.

Nejčastější dotazy ke kontrole tváře pomocí Ověřené ID Microsoft Entra

Co je kontrola tváře?

Kontrola tváře s Ověřeným ID Microsoft Entra je prémiová funkce v rámci Ověřeného ID, která respektuje ochranu osobních údajů při porovnávání tváří. Umožňuje podnikům bezpečně provádět ověřování s vysokou jistotou, jednoduše a ve velkém měřítku. Kontrola tváře přidává kritickou vrstvu důvěryhodnosti tím, že provádí porovnávání tváří mezi fotkou uživatele v reálném čase a fotkou. Porovnávání tváří využívá služby Azure AI.

Jaký je rozdíl mezi rozpoznáváním tváře a FACE ID?

Face ID je nabídka biometrického zabezpečení založená na vizi na produktech Apple, která umožňuje odemknout zařízení pro přístup k mobilní aplikaci. Kontrola tváře je funkce Ověřené ID Microsoft Entra, která také používá technologii AI založenou na zpracování obrazu, ale porovnává uživatele s prezentovaným ověřeným ID. Kontrola tváře určuje identitu uživatele v široké škále online scénářů, ve kterých je vyžadován přístup s vysokou zárukou. Příkladem toho jsou vysoce hodnotné obchodní procesy nebo přístup k citlivým firemním informacím. Oba mechanismy vyžadují, aby uživatel v procesu čelil fotoaparátu, ale fungují různými způsoby.

Provádí se biometrická kontrola vidění Face Check na mobilním zařízení?

Ne. Biometrická kontrola mezi fotkou a daty o živosti se provádí v cloudu pomocí Azure AI Vision Face API. Během tohoto procesu se nepořizuje selfie uživatele s webem ověřujícím ID.

Co je kontrola živé tváře?

Kontrola tváře pomocí Microsoft Entra Ověřeného ID využívá kontrolu živosti rozhraní Azure AI Vision Face API ke kontrole, že se jedná o skutečnou osobu na záběrech z kamery na zařízení uživatele. Tato kontrola pomáhá zajistit, aby se statická fotografie nebo 2D video uživatele nemohly použít místo jejich živého zobrazení.

Co se stane s pořízenými daty živosti?

Když je fotoaparát zapnutý na mobilním zařízení, živé záběry se zaznamenávají na mobilním zařízení. Tyto záběry se pak předávají službě Verified ID, která je používá k vyvolání služeb Azure AI.

Data neukládají ani nespravují žádné ze služeb Microsoft Authenticator, Ověřené ID ani Azure AI. Záběry se navíc nesdílejí s ověřitelní aplikací. Aplikaci ověřitele se vrátí pouze skóre spolehlivosti. V systému založeném na umělé inteligenci je skóre spolehlivosti odpovědí na procento pravděpodobnosti pro dotaz do systému. V tomto scénáři představuje skóre spolehlivosti pravděpodobnost, že fotografie uživatele s ověřeným ID se shoduje s pořízeným snímkem uživatele na mobilním zařízení. Data a ochrana osobních údajů pro služby Azure AI najdete tady.

Kolik stojí Face Check?

Nejnovější informace o fakturaci a cenách využití najdete na stránce s cenami Microsoft Entra.

Co když nemůžu najít předplatné?

Pokud nejsou v podokně Propojení předplatného k dispozici žádná předplatná, tady je několik možných důvodů:

Nemáte příslušná oprávnění. Nezapomeňte se přihlásit pomocí účtu Azure, který musí mít alespoň roli Přispěvatele v rámci předplatného nebo ve skupině prostředků v rámci předplatného.

Předplatné existuje, ale ještě není přidružené k vašemu adresáři. Ke svému tenantovi můžete přidružit existující předplatné a potom zopakovat postup pro jeho propojení s Vaším tenantem.

Neexistuje žádné předplatné. V podokně Propojit předplatné můžete vytvořit předplatné tak, že vyberete odkaz, pokud ještě předplatné nemáte, můžete si ho tady vytvořit. Po vytvoření nového předplatného budete muset v novém předplatném vytvořit skupinu prostředků a potom zopakovat kroky pro propojení s vaším tenantem.

Nejčastější dotazy pro vývojáře pro kontrolu tváře

Vyžaduje kontrola tváře aplikaci MS Authenticator?

Ano. Kontrola tváře je omezená na použití ověřených ID u MS Authenticatoru. Toto omezení je zavedeno, aby se zabránilo injektážnímu útoku na ověření obličeje. V případě jiných scénářů než Kontroly tváře je k dispozici sada SDK peněženky, která nabízí další řešení ověřeného ID. Další informace najdete tady.

Jaká je procentuální shoda a co znamená spolehlivost?

Organizace si můžou zvolit prahovou hodnotu skóre spolehlivosti, aby aplikace přijala ověření kontroly tváře. Vyšší prahová hodnota znamená, že je méně pravděpodobné, že podvodník bude falešně přijat. Ve výchozím skóre spolehlivosti 50 % je šance, že osoba v živém selfíčku není vlastníkem správných přihlašovacích údajů, je jedna v 100 000. Požadovaná úroveň závisí na konkrétním scénáři, způsobu zveřejnění vstupního bodu a plánovaných uživatelů. Při 90% skóre spolehlivosti je tato falešně pozitivní pravděpodobnost uživatele jedna v miliardě. Vyšší prahová hodnota vede ke zvýšení potenciálu zamítnutí autorizovaného uživatele z důvodu vyšší citlivosti aplikace. Je důležité najít správnou rovnováhu mezi nastavením prahové hodnoty vysokého skóre spolehlivosti, která aplikaci zabezpečuje, aniž by byla tak vysoká, že často odmítne autorizované uživatele kvůli mírným změnám vzhledu nebo vizuálním podmínkám jejich okolí, jako je osvětlení.

Přečtěte si další informace o rozhraní API pro rozpoznávání tváře Azure.

Co je rozhraní API pro rozpoznávání tváře Azure AI Vision?

Azure AI je sada cloudových služeb na platformě Azure. Rozhraní API pro rozpoznávání tváří Azure AI Vision nabízí služby pro detekci tváří, rozpoznávání tváří, shodu tváří a kontrolu živosti. Ověřené ID Microsoft Entra při provádění kontroly tváře používá detekci obličeje, porovnávání obličejů a kontrolu živosti obličeje. Tady můžou být další informace.

Jak spravedlivé je Azure AI Vision Face API?

Microsoft provedl testování nestrannosti rozhraní API pro rozpoznávání tváře. Tým služeb Azure AI se neustále snaží zajistit zodpovědné a inkluzivní využití AI. Zobrazte sestavu férovosti Face API.

Jste v souladu s úrovní 2 iBeta?

Ano. Rozhraní Azure Face API a kontrola tváře vyhovují standardu iBeta Level 2, aby byly odolné vůči různým způsobům provedení útoků za účelem zosobnění uživatele. Přečtěte si další informace o testování detekce útoků na prezentaci ISO iBeta.

Jak spravedlivé je Azure AI Vision Face API?

Microsoft provedl testování nestrannosti rozhraní API pro rozpoznávání tváře. Tým Služeb Azure AI neustále usiluje o zajištění zodpovědného a inkluzivního využívání biometrické umělé inteligence. Zpráva o nestrannosti Face API je dostupná tady.

Pokud uživatel nedávno dostal účes, oholil své obličejové vlasy nebo jinak změnil svůj fyzický vzhled, nebude moct dokončit ověření kontroly tváře?

Kontrola tváře porovnává živou fotku uživatele s fotkou přidruženou k vašemu ověřenému ID. Tím méně uživatel vypadá jako tato fotka, tím nižší skóre shody je. Jestli se ověření kontroly tváře přijme, nebo nebude záviset na tom, jak jinak se uživatel aktuálně zobrazuje od dříve uložené fotky a na tom, jak vysoká prahová hodnota skóre spolehlivosti aplikace má. Pokud má vaše aplikace relativně vysokou prahovou hodnotu, doporučuje se, aby uživatelé zachovali fyzický vzhled, který je konzistentní s nahranou fotkou ověřeného ID, nebo fotku nahradit fotkou, která odráží aktuální vzhled uživatele.

Jakmile použijem kontrolu tváře, kam se moje data použijí? Kde je uložený?

Obrázky používané při kontrole tváře se neukládají dlouhodobě. Během žádosti o Face Check je pomocí mobilního zařízení uživatele zachycena selfie. Tento obrázek se pak předá ověřenému ID, které jej používá k vyvolání služeb Azure Face API pro rozpoznávání obličeje AI. Po zpracování se selfie fotografie zahodí a neuloží se na žádné zařízení ani službu. Služby Microsoft Authenticator, Ověřené ID a Azure AI nebudou tato data ukládat ani uchovávat. Dále se zachycený selfie obrázek nesdílí ani s ověřovací aplikací. Aplikace ověřovatele obdrží pouze skóre spolehlivosti shody výsledku.

Data a ochrana osobních údajů pro služby Azure AI najdete tady.

Dochází ke kontrole tváře pomocí ověření Microsoft Entra Verified ID v peněžence, nebo v cloudu?

Služba Ověřené ID provádí proces ověření v cloudu, ne na zařízení. Přihlašovací údaje se ukládají na zařízení uživatele, aby měli plnou kontrolu nad používáním přihlašovacích údajů. Uživatel se musí rozhodnout sdílet přihlašovací údaje s ověřovatelem, aby ho bylo možné zpracovat za účelem ověření.

Jaké jsou požadavky na fotku v ověřeném ID?

Fotografie by měla být jasná a ostrá v kvalitě a nesmí být menší než 200 pixelů x 200 pixelů. Tvář by měla být vycentrovaná v obrázku a nezakrytá. Maximální velikost fotky v přihlašovacích údajích je 1 MB. Mějte na paměti, že větší obrázek nezaručuje lepší výsledek. Dobrá menší fotka je lepší než velká špatná.

Další informace o tom, jak zlepšit přesnost zpracování fotek, najdete tady.

Další informace o ověřitelných omezeních velikosti přihlašovacích údajů najdete tady.

Další kroky

• Zjistěte, jak nakonfigurovat klienta pro službu Microsoft Entra Verified ID a používat MyAccount.
• Zjistěte, jak vydat ověřené ID Microsoft Entra z webové aplikace.
• Zjistěte, jak ověřit pověření Microsoft Entra Verified ID.