Tutorial zum Konfigurieren von Onfido mit Azure Active Directory B2C

In diesem Tutorial erfahren Sie, wie Sie Azure Active Directory B2C (Azure AD B2C) mit Onfido integrieren, eine App zur Überprüfung von Ausweispapieren (Dokument-IDs) und Gesichtsbiometriedaten. Verwenden Sie die App, um die Anforderungen hinsichtlich Know Your Customer (Ihre Kunden kennen) und Identitätsprüfung zu erfüllen. Onfido verwendet künstliche Intelligenz (KI), mit der Identitäten überprüft werden, indem ein Lichtbildausweis mit Gesichtsbiometriedaten abglichen wird. Die Lösung verbindet eine digitale Identität mit einer Person, bietet eine zuverlässige Onboardingerfahrung und hilft dabei, Betrug zu reduzieren.

In diesem Tutorial aktivieren Sie den Onfido-Dienst, um die Identität im Registrierungs- oder Anmeldeflow zu überprüfen. Onfido-Ergebnisse liefern eine Grundlage für Entscheidungen, auf welche Produkte oder Dienstleistungen der Benutzer zugreifen darf.

Voraussetzungen

Zunächst benötigen Sie Folgendes:

• Ein Azure-Abonnement

  • Wenn Sie kein Konto haben, können Sie ein kostenloses Azure-Konto erhalten.

• Einen Azure AD B2C-Mandanten, der mit Ihrem Azure-Abonnement verknüpft ist
• Ein Onfido-Testkonto
  • Wechseln Sie zu onfido.com Kontaktieren Sie uns, und füllen Sie das Formular aus.

Beschreibung des Szenarios

Die Onfido-Integration umfasst die folgenden Komponenten:

• Azure AD B2C-Mandant: Dabei handelt es sich um den Autorisierungsserver, der die Anmeldeinformationen von Benutzern auf Grundlage der im Mandanten festgelegten benutzerdefinierten Richtlinien verifiziert. Er wird auch als Identitätsanbieter (IdP) bezeichnet. Er hostet die Onfido-Client-App, die die Benutzerdokumente sammelt und an den Onfido-API-Dienst überträgt.
• Onfido-Client: Ein konfigurierbares JavaScript-Hilfsprogramm zur Clientdokumenterfassung, das auf Webseiten bereitgestellt wird. Es überprüft Details wie Dokumentgröße und -qualität.
• REST-API der mittleren Schicht: Stellt Endpunkte für den Azure AD B2C-Mandanten bereit, um mit dem Onfido-API-Dienst zu kommunizieren. Sie übernimmt die Datenverarbeitung und hält die Sicherheitsanforderungen von beiden ein.
• Onfido-API-Dienst: Der Back-End-Dienst, der Benutzerdokumente speichert und überprüft.

Im folgenden Architekturdiagramm ist die Implementierung dargestellt.

1. Der Benutzer registriert sich, um ein neues Konto zu erstellen, und gibt Attribute ein. Azure AD B2C erfasst die Attribute. Die in Azure AD B2C gehostete Onfido-Client-App sucht nach den Benutzerinformationen.
2. Azure AD B2C ruft die API der mittleren Ebene auf und übergibt die Attribute.
3. Die API der mittleren Ebene sammelt Attribute und konvertiert sie in ein Onfido-API-Format.
4. Onfido verarbeitet Attribute, um die Benutzeridentifikation zu überprüfen, und sendet das Ergebnis an die API der mittleren Ebene.
5. Die API der mittleren Ebene verarbeitet die Ergebnisse und sendet relevante Informationen im JSON-Format (JavaScript Object Notation) an Azure AD B2C.
6. Azure AD B2C empfängt die Informationen. Wenn bei der Antwort ein Fehler auftritt, wird eine Fehlermeldung angezeigt. Bei erfolgreicher Antwort wird der Benutzer authentifiziert und in das Verzeichnis geschrieben.

Erstellen eines Onfido-Kontos

1. Erstellen Eines Onfido-Kontos: Wechseln Sie zu onfido.com Kontaktieren Sie uns, und füllen Sie das Formular aus.
2. Erstellen eines API-Schlüssels: Wechseln Sie zu Erste Schritte (API v3.5).

Hinweis

Den Schlüssel benötigen Sie später noch.

Onfido-Dokumentation

Für Liveschlüssel fallen Kosten an. Sie können jedoch die Sandboxschlüssel zum Testen verwenden. Wechseln Sie zu onfido.com, wo Sie Informationen zu den Unterschieden zwischen Sandbox und Live erhalten. Die Sandboxschlüssel liefern dieselbe Ergebnisstruktur wie Liveschlüssel, die Ergebnisse sind jedoch immer vorgegeben. Die Dokumente werden weder verarbeitet noch gespeichert.

Weitere Onfido-Dokumentation finden Sie unter:

• Onfido-API-Dokumentation
• Onfido-Entwickler-Hub

Konfigurieren von Azure AD B2C mit Onfido

Bereitstellen der API

1. Stellen Sie den API-Code in einem Azure-Dienst bereit. Wechseln Sie zu samples/OnFido-Combined/API/Onfido.Api/. Sie können den Code aus Visual Studio heraus veröffentlichen.
2. Einrichten von CORS (Cross-Origin Resource Sharing).
3. Fügen Sie Zulässiger Ursprung als https://{your_tenant_name}.b2clogin.com hinzu.

Hinweis

Sie benötigen die bereitgestellte Dienst-URL, um Microsoft Entra ID zu konfigurieren.

Hinzufügen von vertraulichen Konfigurationseinstellungen

Konfigurieren Sie App-Einstellungen im Azure-App-Dienst, ohne sie in ein Repository einzuchecken.

REST-API-Einstellungen:

• Anwendungseinstellungsname: OnfidoSettings:AuthToken
• Quelle: Onfido-Konto

Bereitstellen der Benutzeroberfläche

Konfigurieren des Speicherorts

1. Erstellen Sie einen Container im Azure-Portal.
2. Speichern Sie die Benutzeroberflächendateien aus /samples/OnFido-Combined/UI in Ihrem Blobcontainer.
3. Zulassen des CORS-Zugriffs auf den von Ihnen erstellten Speichercontainer: Wechseln Sie zu Einstellungen>Zulässiger Ursprung.
4. Geben Sie https://{your_tenant_name}.b2clogin.com ein.
5. Ersetzen Sie Ihren Mandantennamen durch Ihren Azure AD B2C-Mandantennamen, wobei Sie Kleinbuchstaben verwenden. Beispielsweise https://fabrikam.b2clogin.com.
6. Wählen Sie für Zulässige Methoden die Optionen GET und PUT aus.
7. Wählen Sie Speichern aus.

Aktualisieren von Dateien für die Benutzeroberfläche

1. Wechseln Sie in den Benutzeroberflächendateien zu samples/OnFido-Combined/UI/ocean_blue.
2. Öffnen Sie jede HTML-Datei.
3. Suchen Sie {your-ui-blob-container-url}, und ersetzen Sie dies durch die URLs Ihrer Benutzeroberflächenordner ocean_blue, dist und assets.
4. Suchen Sie {your-intermediate-api-url}, und ersetzen Sie dies durch die URL des Zwischen-API-App-Diensts.

Hochladen Ihrer Dateien

1. Speichern Sie die Dateien aus den Benutzeroberflächenordnern in Ihrem Blobcontainer.
2. Verwenden von Azure Storage-Explorer zum Verwalten von verwalteten Azure-Datenträgern und Zugriffsberechtigungen.

Konfigurieren von Azure AD B2C

Ersetzen der Konfigurationswerte

Suchen Sie in /samples/OnFido-Combined/Policies die folgenden Platzhalter, und ersetzen Sie diese durch die entsprechenden Werte aus Ihrer Instanz.

Platzhalter	Ersetzen durch Wert	Beispiel
{your_tenant_name}	Kurzname Ihres Mandanten	„your tenant“ (Ihr Mandant) aus yourtenant.onmicrosoft.com
{your_tenantID}	Ihre Azure AD B2C-Mandanten-ID	01234567-89ab-cdef-0123-456789abcdef
{your_tenant_IdentityExperienceFramework_appid}	Die App-ID der IdentityExperienceFramework-App, die in Ihrem Azure AD B2C-Mandanten konfiguriert ist	01234567-89ab-cdef-0123-456789abcdef
{your_tenant_ ProxyIdentityExperienceFramework_appid}	Die App-ID der ProxyIdentityExperienceFramework-App, die in Ihrem Azure AD B2C-Mandanten konfiguriert ist	01234567-89ab-cdef-0123-456789abcdef
{your_tenant_extensions_appid}	Die App-ID Ihrer Mandantenspeicheranwendung	01234567-89ab-cdef-0123-456789abcdef
{your_tenant_extensions_app_objectid}	Die Objekt-ID Ihrer Mandantenspeicheranwendung	01234567-89ab-cdef-0123-456789abcdef
{your_app_insights_instrumentation_key}	Der Instrumentierungsschlüssel Ihrer App Insights-Instanz*	01234567-89ab-cdef-0123-456789abcdef
{your_ui_file_base_url}	URL des Speicherorts Ihrer Benutzeroberflächenordner ocean_blue, dist und assets	https://yourstorage.blob.core.windows.net/UI/
{your_app_service_URL}	Die von Ihnen eingerichtete App Service-URL	https://yourapp.azurewebsites.net

\* App Insights kann sich in einem anderen Mandanten befinden. Dieser Schritt ist optional. Entfernen Sie die entsprechenden TechnicalProfiles und OrchestrationSteps, wenn sie nicht benötigt werden.

Konfigurieren von Azure AD B2C-Richtlinien

Anweisungen zum Einrichten Ihres Azure AD B2C-Mandanten und zum Konfigurieren von Richtlinien finden Sie unter Starter Pack für benutzerdefinierte Richtlinien. Benutzerdefinierte Richtlinien sind ein Satz von XML-Dateien, die Sie in den Azure AD B2C-Mandanten hochladen, um technische Profile und User Journeys zu definieren.

Hinweis

Wir empfehlen, auf der Attributerfassungsseite eine Einwilligungsbenachrichtigung hinzufügen. Informieren Sie Benutzer darüber, dass Informationen zur Identitätsüberprüfung an Drittanbieterdienste gesendet werden.

Testen des Benutzerflows

1. Öffnen Sie den Azure AD B2C-Mandanten.
2. Wählen Sie unter Richtlinien die Option Identity Experience Framework aus.
3. Wählen Sie den zuvor erstellten Flow SignUpSignIn aus.
4. Wählen Sie Benutzerflow ausführen aus.
5. Als Anwendung wählen Sie die registrierte App aus (im Beispiel JWT).
6. Als Antwort-URL wählen Sie die Umleitungs-URL aus.
7. Wählen Sie Benutzerflow ausführen aus.
8. Schließen Sie den Registrierungsflow ab.
9. Erstellen Sie ein Konto.
10. Wenn das Benutzerattribut erstellt wird, wird Onfido während des Flows aufgerufen.

Hinweis

Wenn der Flow unvollständig ist, stellen Sie sicher, dass der Benutzer im Verzeichnis gespeichert ist.

Nächste Schritte

• Benutzerdefinierte Richtlinien in Azure AD B2C
• Erste Schritte mit benutzerdefinierten Richtlinien in Azure AD B2C