Lire en anglais

Partager via


Tutoriel de configuration d’Onfido avec Azure Active Directory B2C

Dans ce tutoriel, apprenez à intégrer Azure Active Directory B2C (Azure AD B2C) à Onfido, application de vérification des identités par le biais de pièces d’identités et de la biométrie faciale. Utilisez-le pour répondre à la nécessité de Connaître votre client et son identité. Onfido utilise la technologie de l’intelligence artificielle (IA) qui vérifie l’identité en faisant correspondre la photo d’une pièce d’identité à la biométrie faciale. La solution connecte une identité numérique à une personne, fournit une expérience d’intégration fiable et contribue à réduire les fraudes.

Dans ce tutoriel, vous allez autoriser le service Onfido à vérifier les identités dans le flux d’inscription ou de connexion. Les résultats d’Onfido documentent les décisions sur les produits ou services auxquels l’utilisateur accède.

Prérequis

Avant de commencer, vérifiez que vous disposez des éléments suivants :

  • Un abonnement Azure

Description du scénario

L’intégration d’Onfido inclut les composants suivants :

  • Locataire Azure AD B2C – Serveur d’autorisation qui vérifie les informations d’identification sur la base des stratégies personnalisées définies dans le locataire. Il est également connu sous le nom de fournisseur d’identité (IdP). Il héberge l’application cliente Onfido qui collecte les documents utilisateur et les transmet au service de l’API Onfido.
  • Client Onfido – Utilitaire de collecte de documents client JavaScript configurable, déployé dans des pages web. Il vérifie les détails tels que la taille et la qualité des documents.
  • API Rest intermédiaire – Fournit des points de terminaison pour permettre au locataire Azure AD B2C de communique avec le service d’API Onfido. Elle gère le traitement des données et adhère aux exigences de sécurité des deux.
  • Service d’API Onfido – Service back-end qui enregistre et vérifie les documents utilisateur.

Le diagramme d’architecture suivant illustre l’implémentation.

Schéma de l’architecture Onfido.

  1. L’utilisateur se connecte pour créer un compte et entre des attributs. Azure AD B2C collecte les attributs. L’application cliente Onfido hébergée dans Azure AD B2C vérifie les informations utilisateur.
  2. Azure AD B2C appelle l’API de couche intermédiaire et lui transmet les attributs.
  3. L’API de couche intermédiaire collecte les attributs et les convertit au format d’API Onfido.
  4. Onfido traite les attributs pour valider l’identification de l’utilisateur et envoie le résultat à l’API de couche intermédiaire.
  5. L’API de couche intermédiaire traite les résultats et envoie les informations appropriées à Azure AD B2C au format JSON (JavaScript Object Notation).
  6. Azure AD B2C reçoit les informations. Si la réponse échoue, un message d’erreur s’affiche. Si la réponse réussit, l’utilisateur est authentifié et inscrit dans l’annuaire.

Créer un compte Onfido

  1. Créer un compte Onfido : rendez-vous sur onfido.com pour accéder à Contact us et remplissez le formulaire.
  2. Créer une clé API : accédez à Get started (API v3.5).

Notes

Vous aurez besoin de la clé plus tard.

Documentation Onfido

Les clés dynamiques sont facturables, mais vous pouvez toutefois utiliser les clés de bac à sable pour les tests. Accédez à onfido.com pour consulter Sandbox and live differences. Les clés de bac à sable produisent la même structure de résultat que les clés dynamiques. Toutefois, les résultats sont prédéterminés. Les documents ne sont pas traités ou enregistrés.

Pour plus de documentation sur Onfido, consultez :

Configurer Azure AD B2C avec Onfido

Déployer l’API

  1. Déployez le code d’API dans un service Azure. Accédez à samples/OnFido-Combined/API/Onfido.Api/. Vous pouvez publier le code à partir de Visual Studio.
  2. Configurez le partage des ressources cross-origin (CORS).
  3. Ajoutez Origine autorisée en tant que https://{your_tenant_name}.b2clogin.com.

Notes

Vous allez avoir besoin de l’URL du service déployé pour configurer Microsoft Entra ID.

Ajout de paramètres de configuration sensibles

Configurez les paramètres d’application dans Azure App Service sans les archiver dans un dépôt.

Paramètres de l’API REST :

  • Nom du paramètre d’application : OnfidoSettings:AuthToken
  • Source : Compte Onfido

Déployer l’interface utilisateur

Configurer votre emplacement de stockage

  1. Dans le portail Azure, créez un conteneur.
  2. Stockez les fichiers d’interface utilisateur qui sont dans /samples/OnFido-Combined/UI dans votre conteneur d’objets blob.
  3. Autorisez l’accès CORS au conteneur de stockage que vous avez créé : accédez à Paramètres>Origine autorisée.
  4. Entrez https://{your_tenant_name}.b2clogin.com.
  5. Remplacez le nom de votre locataire par le nom de votre locataire Azure AD B2C en utilisant des lettres minuscules. Par exemple : https://fabrikam.b2clogin.com.
  6. Pour Méthodes autorisées, sélectionnez GET et PUT.
  7. Sélectionnez Enregistrer.

Mettre à jour les fichiers d’interface utilisateur

  1. Dans les fichiers d’interface utilisateur, accédez à samples/OnFido-Combined/UI/ocean_blue.
  2. Ouvrez chaque fichier HTML.
  3. Recherchez {your-ui-blob-container-url} et remplacez-le par les URL de vos dossiers d’interface utilisateur ocean_blue, dist et assets.
  4. Recherchez et remplacez {your-intermediate-api-url} par l’URL du service d’application de l’API intermédiaire.

Charger vos fichiers

  1. Stockez les fichiers des dossiers d’interface utilisateur dans votre conteneur d’objets blob.
  2. Utilisez l’Explorateur Stockage Azure pour gérer les disques managés Azure et accéder aux autorisations.

Configurer Azure AD B2C

Remplacer des valeurs de configuration

Dans /samples/OnFido-Combined/Policies, recherchez les espaces réservés suivants et remplacez-les par les valeurs correspondantes de votre instance.

Espace réservé Remplacer par la valeur Exemple
{your_tenant_name} Nom abrégé de votre locataire « your tenant » de yourtenant.onmicrosoft.com
{your_tenantID} Votre ID de locataire Azure AD B2C 01234567-89ab-cdef-0123-456789abcdef
{your_tenant_IdentityExperienceFramework_appid} ID de l’application IdentityExperienceFramework configuré dans votre locataire Azure AD B2C 01234567-89ab-cdef-0123-456789abcdef
{your_tenant_ ProxyIdentityExperienceFramework_appid} ID de l’application ProxyIdentityExperienceFramework configuré dans votre locataire Azure AD B2C 01234567-89ab-cdef-0123-456789abcdef
{your_tenant_extensions_appid} ID de l’application de stockage de votre locataire 01234567-89ab-cdef-0123-456789abcdef
{your_tenant_extensions_app_objectid} ID d’objet de l’application de stockage de votre locataire 01234567-89ab-cdef-0123-456789abcdef
{your_app_insights_instrumentation_key} Clé d’instrumentation de votre instance App Insights* 01234567-89ab-cdef-0123-456789abcdef
{your_ui_file_base_url} URL de l’emplacement de vos dossiers d’interface utilisateur ocean_blue, dist et assets https://yourstorage.blob.core.windows.net/UI/
{your_app_service_URL} URL App Service que vous avez configurée https://yourapp.azurewebsites.net

*Application Insights peut se trouver dans un autre locataire. Cette étape est facultative. Supprimez les éléments TechnicalProfiles et OrchestrationSteps correspondants s’ils ne sont pas nécessaires.

Configurer la stratégie Azure AD B2C

Pour obtenir des instructions sur la configuration de votre locataire Azure AD B2C et de stratégies, consultez le pack de démarrage de stratégie personnalisée. Les stratégies personnalisées sont un ensemble de fichiers XML que vous téléchargez vers votre locataire Azure AD B2C pour définir des profils techniques et des parcours utilisateur.

Notes

Nous vous recommandons d’ajouter une notification de consentement dans la page de collection d’attributs. Informez les utilisateurs que les informations sont envoyées à des services tiers à des fins de vérification d’identité.

Tester le flux utilisateur

  1. Ouvrez le locataire Azure AD B2C.
  2. Sous Stratégies, sélectionnez Identity Experience Framework.
  3. Sélectionnez votre SignUpSignIn créé précédemment.
  4. Sélectionnez Exécuter le flux utilisateur.
  5. Pour Application, sélectionnez l’application inscrite (JWT dans l’exemple).
  6. Pour URL de réponse, sélectionnez l’URL de redirection.
  7. Sélectionnez Exécuter le flux utilisateur.
  8. Procédez au flux d’inscription.
  9. Créez un compte.
  10. Lorsque l’attribut utilisateur est créé, Onfido est appelé pendant le flux.

Notes

Si le flux est incomplet, vérifiez que l’utilisateur est enregistré dans l’annuaire.

Étapes suivantes