Uso de Face Check (Versión preliminar) con Id. verificada por Entra y desbloqueo de comprobaciones con alta garantía a gran escala

Face Check es una solución de cotejo facial que respeta la privacidad. Permite a las empresas realizar comprobaciones con una alta garantía de forma segura, sencilla y a gran escala. Face Check agrega una capa fundamental de confianza al realizar el cotejo facial entre el selfi en tiempo real de un usuario y una foto. El cotejo facial se basa en la tecnología de los servicios de Azure AI. Al compartir solo los resultados del cotejo y no los datos de identidad confidenciales, Face Check protege la privacidad del usuario y permite a las organizaciones tener la seguridad de que la persona es quien dice ser.

Requisitos previos

Face Check es una característica premium dentro de Id. verificada. Debe habilitar el complemento Face Check en la configuración de la Id. verificada por Entra antes de realizar las comprobaciones de Face Check.

Importante

El complemento Face Check solo puede habilitarse desde el portal de Entra. Compatibilidad con la API de administrador para esta característica.

• Si es la primera vez que se usa Id. verificada por Entra, configure el inquilino.
• Asociación o adición de una suscripción de Azure al inquilino de Microsoft Entra
• Asegúrese de que la configuración del usuario de Face Check tiene el rol Colaborador para la suscripción de Azure

Configurar Face Check con la Id. verificada por Entra

1. En la página Información general de Id. verificada, desplácese hacia abajo hasta la nueva sección Complementos y Enable el complemento Face Check.

1. En el paso Vincular una suscripción, seleccione una suscripción, un grupo de recursos y la ubicación del recurso. Después, seleccione Validate. Si no aparece ninguna suscripción, consulte ¿Qué ocurre si no puedo encontrar una suscripción?

1. Una vez validado, puede Enable el complemento.

Ahora puede empezar a usar Face Check en las aplicaciones empresariales.

Comenzar a usar Face Check con MyAccount

Puede empezar a usar Face Check fácilmente mediante MyAccount, que puede emitir credenciales VerifiedEmployee, junto con una aplicación de prueba pública que proporciona Microsoft. Antes de comenzar, debe llevar a cabo los siguientes pasos:

1. Cree un usuario de prueba en el inquilino de Microsoft Entra y cargue una foto suya
2. Vaya a MyAccount, inicie sesión como usuario de prueba y emita una credencial VerifiedEmployee para el usuario.
3. Use la aplicación de prueba pública para presentar su credencial VerifiedEmployee mediante Face Check.

Cuando Microsoft Authenticator recibe una solicitud de presentación, que incluye una comprobación facial, hay un elemento adicional después del tipo de credencial que se le pide al usuario que comparta. Cuando el usuario selecciona ese elemento, se realiza la comprobación facial real y así el usuario puede compartir la credencial solicitada y la puntuación de confianza de la comprobación con la aplicación de prueba pública (usuario de confianza). Puede revisar los resultados en la aplicación de prueba.

Comenzar a usar Face Check con Request Service API

Las aplicaciones pueden usar Request Service API para crear una solicitud para que los usuarios realicen una comprobación facial de una credencial VerifiedEmployee, un identificador gubernamental emitido por el estado o una credencial digital personalizada con una foto de confianza. Por ejemplo, un servicio de soporte técnico puede solicitar una comprobación facial de una credencial VerifiedEmployee para confirmar la identidad de forma rápida y segura a fin de permitir una amplia variedad de escenarios de autoservicio, incluida la activación de una clave de acceso o el restablecimiento de una contraseña. Para reducir el riesgo de incumplimiento, las aplicaciones reciben una puntuación de confianza por coincidencia con la foto de la credencial deseada, sin tener acceso a los datos de prueba de vida.

Emisión de una credencial de Id. verificada con una foto

Los tipos de credenciales personalizadas que usan el flujo de atestación idTokenHint también pueden emitir una credencial de Id. verificada que contiene una foto. La definición de la credencial debe tener la definición de visualización y reglas para la reclamación de la foto.

La definición de visualización de la reclamación de la foto debe tener el tipo establecido en image/jpg;base64url para permitir que Microsoft Authenticator comprenda que debe representarse como una foto correctamente.

{ 
  "claim": "vc.credentialSubject.photo", 
  "label": "User picture", 
  "type": "image/jpg;base64url" 
} 

Al establecer el valor de reclamación real de la foto, debe tener el formato UrlEncode(Base64Encode(JPEG image)).

{ 
  "outputClaim": "photo", 
  "required": false, 
  "inputClaim": "photo", 
  "indexed": false 
} 

Solicitud de presentación que incluye Face Check

La carga JSON de Request Service API para crear una solicitud de presentación debe especificar que se debe realizar una comprobación facial. Se debe asignar un nombre a la reclamación que contiene la foto y, opcionalmente, se puede especificar el umbral de confianza como un entero entre 50 y 100. El valor predeterminado es 70.

// POST https://verifiedid.did.msidentity.com/v1.0/verifiableCredentials/createPresentationRequest
...
  "requestedCredentials": [
    {
      "type": "VerifiedEmployee",
      "acceptedIssuers": [ "did:web:yourdomain.com" ],
      "configuration": {
        "validation": {
          "allowRevoked": false,
          "validateLinkedDomain": true,
          "faceCheck": {
            "sourcePhotoClaimName": "photo",
            "matchConfidenceThreshold": 70
          }
        }

Evento de devolución de llamada presentation_verified de Face Check correcto

La carga JSON de presentation_verified tiene más datos cuando una comprobación facial se ha realizado correctamente durante la presentación de una credencial de Id. verificada. Se agrega la sección faceCheck, que contiene un valor para matchConfidenceScore. Tenga en cuenta que no es posible solicitar y recibir el recibo de presentación cuando la solicitud incluye faceCheck.

  "verifiedCredentialsData": [ 
    { 
      "issuer": "did:web:yourdomain.com", 
      "type": [ "VerifiableCredential", "VerifiedEmployee" ], 
      "claims": { 
        ... 
      }, 
      ... 
      "faceCheck": { 
        "matchConfidenceScore": 86.314159,
        "sourcePhotoQuality": "HIGH"
      } 
    } 
  ], 

Evento de devolución de llamada de Face Check con errores

Cuando la puntuación de confianza es inferior al umbral, se produce un error en la solicitud de presentación y se devuelve presentation_error. La aplicación de comprobación no recibe la puntuación devuelta.

{ 
  "requestId": "...", 
  "requestStatus": "presentation_error", 
  "state": "...", 
  "error": { 
    "code": "claimValidationError", 
    "message": "Match confidence score failing to meet the threshold." 
  } 
} 

Authenticator muestra un mensaje de error que informa al usuario de que la puntuación de confianza no ha satisfecho el umbral.

Preguntas más frecuentes sobre Face Check con Id. verificada por Microsoft Entra

¿Qué es Face Check?

Id. verificada por Microsoft Entra es un servicio de credenciales verificables administrado que permite a las organizaciones crear escenarios de identidad únicos propiedad del usuario a través de una red de emisores de credenciales de identidad, comprobadores y moderadores.

Face Check con el Id. verificada por Microsoft Entra es una característica premium dentro de la Id. verificada que se usa para respetar la privacidad de la coincidencia facial. Permite a las empresas realizar comprobaciones con una alta garantía de forma segura, sencilla y a gran escala. Face Check agrega una capa fundamental de confianza al realizar el cotejo facial entre el selfi en tiempo real de un usuario y una foto. El cotejo facial se basa en la tecnología de los servicios de Azure AI.

¿Cuál es la diferencia entre Face Check y Face ID?

Face ID es una opción de seguridad biométrica basada en la visión que incorporan los productos de Apple, para desbloquear un dispositivo y acceder a una aplicación móvil. Face Check es una característica de Id. verificada por Microsoft Entra que también usa la tecnología de inteligencia artificial basada en la visión, pero compara al usuario con la Id. verificada presentada. Face Check determina la identidad del usuario en una amplia gama de escenarios en línea en los que se requiere acceso de alta garantía. Algunos ejemplos de ello son procesos empresariales de alto valor o acceso a información confidencial de la empresa. En ambos mecanismos un usuario se sitúa delante de una cámara en el proceso, pero dichos mecanismos funcionan de manera diferente.

¿La comprobación biométrica de visión de Face Check se realiza en el dispositivo móvil?

No. La comprobación biométrica entre la foto y los datos de prueba de vida capturados se realiza en la nube mediante Face API de Azure AI Vision. La captura del selfi de un usuario durante el proceso no se comparte con el sitio de comprobación del identificador solicitante.

¿Qué es Face Liveness Check?

Face Check con Id. verificada por Microsoft Entra usa la comprobación de vida de Face API de Visión de Azure AI para verificar que se trata de una persona real en las imágenes selfies de la cámara del dispositivo del usuario. Esta comprobación ayuda a garantizar que una foto estática o un vídeo 2D de un usuario no se pueda usar en lugar de su persona en directo.

¿Qué ocurre con los datos de prueba de vida tomados?

Cuando la cámara está encendida en el dispositivo móvil, se capturan imágenes en directo. A continuación, estas imágenes se pasan a Id. verificada que lo usa para invocar servicios de Azure AI.

Los datos no se almacenan ni los mantiene ninguno de los servicios Microsoft Authenticator, Id. verificada o Azure AI. Además, tampoco se comparten las imágenes con la aplicación de comprobación. La aplicación de comprobación solo recibe a cambio la puntuación de confianza. En un sistema basado en IA, la puntuación de confianza es el porcentaje de probabilidad de respuesta de una consulta al sistema. En este escenario, la puntuación de confianza es la probabilidad de que la foto del usuario con Id. verificada coincida con la captura del usuario en el dispositivo móvil. Los datos y la privacidad de Azure AI Services se pueden encontrar aquí.

¿Cuánto cuesta Face Check?

Para conocer la información más reciente sobre la facturación por uso y los precios, consulte Precios de Microsoft Entra.

Preguntas más frecuentes para desarrolladores de Face Check

¿Hace falta MS Authenticator con Face Check?

Sí. Face Check está limitado al uso de Id. verificada con MS Authenticator. Esta limitación se ha establecido para evitar ataques de inyección contra Face Check. En escenarios en los que no se usa Face Check, hay un SDK de Wallet disponible en otras soluciones de Id. verificada. Más información aquí.

¿Qué es el porcentaje de confianza y qué significa confianza?

Face Check usa el mismo umbral de coincidencia de confianza predeterminado que Windows Hello para empresas. Los desarrolladores pueden ajustarlo hacia arriba o hacia abajo en función de su escenario de uso específico. Cuanto mayor sea la puntuación de confianza, más probable es que el resultado de la coincidencia no sea un falso positivo.

¿Qué es Face API de Azure AI Vision?

Azure AI es un conjunto de servicios en la nube de la plataforma Azure. Face API de Azure AI Vision ofrece servicios para la detección de caras, el reconocimiento facial, la coincidencia facial y la comprobación de vida. Id. verificada por Microsoft Entra usa servicios de detección de caras, coincidencia de caras y comprobación de viveza facial al realizar comprobaciones faciales. Puede encontrar más información aquí.

¿En qué medida es justa Face API de Azure AI Vision?

Microsoft ha realizado pruebas de equidad de Face API. El equipo de Servicios de Azure AI se esfuerza continuamente por garantizar el uso responsable e inclusivo de la inteligencia artificial. Vea el informe de equidad de Face API.

¿Qué ocurre si no encuentro una suscripción?

Si no hay suscripciones disponibles en el panel Link a subscription (Vincular una suscripción), estos son algunos de los motivos posibles:

No tiene los permisos adecuados. Asegúrese de iniciar sesión con una cuenta de Azure que tenga asignado al menos el rol Colaborador dentro de la suscripción o en un grupo de recursos de la suscripción.

Existe una suscripción, pero aún no está asociada con el directorio. Puede asociar una suscripción existente a su inquilino y, a continuación, repetir los pasos para vincularla al inquilino.

No existe ninguna suscripción. En el panel Link a subscription (Vincular una suscripción), puede crear una suscripción seleccionando el vínculo if you don't already have a subscription you may create one here (si aún no tiene una suscripción, puede crear una aquí). Después de crear una suscripción, deberá crear un grupo de recursos en la nueva suscripción y, luego, repetir los pasos para vincularla al inquilino.

¿Es compatible con iBeta nivel 2?

Sí. Azure Face API AI y Face Check son de conformidad con el nivel 2 de iBeta para resistir a varios tipos de presentación de ataques de suplantación de identidad. Obtenga más información sobre las pruebas de detección de ataques de presentación ISO de iBeta.

¿En qué medida es justa Face API de Azure AI Vision?

Microsoft ha realizado pruebas de equidad de Face API. El equipo de Servicios de Azure AI se esfuerza continuamente por garantizar el uso responsable e inclusivo de la inteligencia artificial biométrica. El informe de equidad de Face API está disponible aquí.

¿Cuáles son los requisitos para la foto en la Id. verificada?

La foto debe tener una calidad clara y nítida y no ser inferior a 200 píxeles x 200 píxeles. La cara debe estar centrada dentro de la imagen y la vista debe ser despejada. Puede encontrar más información sobre cómo se detectan los puntos faciales en la imagen aquí.

Puede encontrar más información sobre cómo se detectan los puntos faciales en la imagen aquí.

Pasos siguientes

• Aprenda a configurar el inquilino para Id. verificada por Microsoft Entra y usar MyAccount.
• Aprenda a emitir credenciales de Id. verificada por Microsoft Entra desde una aplicación web.
• Descubra cómo comprobar las credenciales de Id. verificada por Microsoft Entra.