Tutoriel de configuration d’Onfido avec Azure Active Directory B2C
Dans ce tutoriel, apprenez à intégrer Azure Active Directory B2C (Azure AD B2C) à Onfido, application de vérification des identités par le biais de pièces d’identités et de la biométrie faciale. Utilisez-le pour répondre à la nécessité de Connaître votre client et son identité. Onfido utilise la technologie de l’intelligence artificielle (IA) qui vérifie l’identité en faisant correspondre la photo d’une pièce d’identité à la biométrie faciale. La solution connecte une identité numérique à une personne, fournit une expérience d’intégration fiable et contribue à réduire les fraudes.
Dans ce tutoriel, vous allez autoriser le service Onfido à vérifier les identités dans le flux d’inscription ou de connexion. Les résultats d’Onfido documentent les décisions sur les produits ou services auxquels l’utilisateur accède.
Avant de commencer, vérifiez que vous disposez des éléments suivants :
Un abonnement Azure
- Si vous n’en avez pas déjà un, vous pouvez obtenir un compte Azure gratuit.
- Un locataire Azure AD B2C lié à votre abonnement Azure
- Un compte d’essai Onfido
- Rendez-vous sur onfido.com Contact us et remplissez le formulaire
L’intégration d’Onfido inclut les composants suivants :
- Locataire Azure AD B2C – Serveur d’autorisation qui vérifie les informations d’identification sur la base des stratégies personnalisées définies dans le locataire. Il est également connu sous le nom de fournisseur d’identité (IdP). Il héberge l’application cliente Onfido qui collecte les documents utilisateur et les transmet au service de l’API Onfido.
- Client Onfido – Utilitaire de collecte de documents client JavaScript configurable, déployé dans des pages web. Il vérifie les détails tels que la taille et la qualité des documents.
- API Rest intermédiaire – Fournit des points de terminaison pour permettre au locataire Azure AD B2C de communique avec le service d’API Onfido. Elle gère le traitement des données et adhère aux exigences de sécurité des deux.
- Service d’API Onfido – Service back-end qui enregistre et vérifie les documents utilisateur.
Le diagramme d’architecture suivant illustre l’implémentation.
- L’utilisateur se connecte pour créer un compte et entre des attributs. Azure AD B2C collecte les attributs. L’application cliente Onfido hébergée dans Azure AD B2C vérifie les informations utilisateur.
- Azure AD B2C appelle l’API de couche intermédiaire et lui transmet les attributs.
- L’API de couche intermédiaire collecte les attributs et les convertit au format d’API Onfido.
- Onfido traite les attributs pour valider l’identification de l’utilisateur et envoie le résultat à l’API de couche intermédiaire.
- L’API de couche intermédiaire traite les résultats et envoie les informations appropriées à Azure AD B2C au format JSON (JavaScript Object Notation).
- Azure AD B2C reçoit les informations. Si la réponse échoue, un message d’erreur s’affiche. Si la réponse réussit, l’utilisateur est authentifié et inscrit dans l’annuaire.
- Créer un compte Onfido : rendez-vous sur onfido.com pour accéder à Contact us et remplissez le formulaire.
- Créer une clé API : accédez à Get started (API v3.5).
Notes
Vous aurez besoin de la clé plus tard.
Les clés dynamiques sont facturables, mais vous pouvez toutefois utiliser les clés de bac à sable pour les tests. Accédez à onfido.com pour consulter Sandbox and live differences. Les clés de bac à sable produisent la même structure de résultat que les clés dynamiques. Toutefois, les résultats sont prédéterminés. Les documents ne sont pas traités ou enregistrés.
Pour plus de documentation sur Onfido, consultez :
- Déployez le code d’API dans un service Azure. Accédez à samples/OnFido-Combined/API/Onfido.Api/. Vous pouvez publier le code à partir de Visual Studio.
- Configurez le partage des ressources cross-origin (CORS).
- Ajoutez Origine autorisée en tant que
https://{your_tenant_name}.b2clogin.com
.
Notes
Vous allez avoir besoin de l’URL du service déployé pour configurer Microsoft Entra ID.
Configurez les paramètres d’application dans Azure App Service sans les archiver dans un dépôt.
Paramètres de l’API REST :
- Nom du paramètre d’application : OnfidoSettings:AuthToken
- Source : Compte Onfido
- Dans le portail Azure, créez un conteneur.
- Stockez les fichiers d’interface utilisateur qui sont dans /samples/OnFido-Combined/UI dans votre conteneur d’objets blob.
- Autorisez l’accès CORS au conteneur de stockage que vous avez créé : accédez à Paramètres>Origine autorisée.
- Entrez
https://{your_tenant_name}.b2clogin.com
. - Remplacez le nom de votre locataire par le nom de votre locataire Azure AD B2C en utilisant des lettres minuscules. Par exemple :
https://fabrikam.b2clogin.com
. - Pour Méthodes autorisées, sélectionnez
GET
etPUT
. - Sélectionnez Enregistrer.
- Dans les fichiers d’interface utilisateur, accédez à samples/OnFido-Combined/UI/ocean_blue.
- Ouvrez chaque fichier HTML.
- Recherchez
{your-ui-blob-container-url}
et remplacez-le par les URL de vos dossiers d’interface utilisateur ocean_blue, dist et assets. - Recherchez et remplacez
{your-intermediate-api-url}
par l’URL du service d’application de l’API intermédiaire.
- Stockez les fichiers des dossiers d’interface utilisateur dans votre conteneur d’objets blob.
- Utilisez l’Explorateur Stockage Azure pour gérer les disques managés Azure et accéder aux autorisations.
Dans /samples/OnFido-Combined/Policies, recherchez les espaces réservés suivants et remplacez-les par les valeurs correspondantes de votre instance.
Espace réservé | Remplacer par la valeur | Exemple |
---|---|---|
{your_tenant_name} | Nom abrégé de votre locataire | « your tenant » de yourtenant.onmicrosoft.com |
{your_tenantID} | Votre ID de locataire Azure AD B2C | 01234567-89ab-cdef-0123-456789abcdef |
{your_tenant_IdentityExperienceFramework_appid} | ID de l’application IdentityExperienceFramework configuré dans votre locataire Azure AD B2C | 01234567-89ab-cdef-0123-456789abcdef |
{your_tenant_ ProxyIdentityExperienceFramework_appid} | ID de l’application ProxyIdentityExperienceFramework configuré dans votre locataire Azure AD B2C | 01234567-89ab-cdef-0123-456789abcdef |
{your_tenant_extensions_appid} | ID de l’application de stockage de votre locataire | 01234567-89ab-cdef-0123-456789abcdef |
{your_tenant_extensions_app_objectid} | ID d’objet de l’application de stockage de votre locataire | 01234567-89ab-cdef-0123-456789abcdef |
{your_app_insights_instrumentation_key} | Clé d’instrumentation de votre instance App Insights* | 01234567-89ab-cdef-0123-456789abcdef |
{your_ui_file_base_url} | URL de l’emplacement de vos dossiers d’interface utilisateur ocean_blue, dist et assets | https://yourstorage.blob.core.windows.net/UI/ |
{your_app_service_URL} | URL App Service que vous avez configurée | https://yourapp.azurewebsites.net |
*Application Insights peut se trouver dans un autre locataire. Cette étape est facultative. Supprimez les éléments TechnicalProfiles et OrchestrationSteps correspondants s’ils ne sont pas nécessaires.
Pour obtenir des instructions sur la configuration de votre locataire Azure AD B2C et de stratégies, consultez le pack de démarrage de stratégie personnalisée. Les stratégies personnalisées sont un ensemble de fichiers XML que vous téléchargez vers votre locataire Azure AD B2C pour définir des profils techniques et des parcours utilisateur.
Notes
Nous vous recommandons d’ajouter une notification de consentement dans la page de collection d’attributs. Informez les utilisateurs que les informations sont envoyées à des services tiers à des fins de vérification d’identité.
- Ouvrez le locataire Azure AD B2C.
- Sous Stratégies, sélectionnez Identity Experience Framework.
- Sélectionnez votre SignUpSignIn créé précédemment.
- Sélectionnez Exécuter le flux utilisateur.
- Pour Application, sélectionnez l’application inscrite (JWT dans l’exemple).
- Pour URL de réponse, sélectionnez l’URL de redirection.
- Sélectionnez Exécuter le flux utilisateur.
- Procédez au flux d’inscription.
- Créez un compte.
- Lorsque l’attribut utilisateur est créé, Onfido est appelé pendant le flux.
Notes
Si le flux est incomplet, vérifiez que l’utilisateur est enregistré dans l’annuaire.