A Face Check használata a Microsoft Entra Ellenőrzött azonosító és a nagy megbízhatóságú ellenőrzések nagy léptékben történő feloldása

A Face Check egy adatvédelmi szempontból tiszteletben tartó arcegyezés. Lehetővé teszi a vállalatok számára, hogy biztonságosan, egyszerűen és nagy léptékben végezhessenek magas szintű ellenőrzést. A Face Check kritikus bizalmi réteget ad hozzá a felhasználó valós idejű szelfije és fényképe közötti arcegyezés végrehajtásával. Az arcegyezést az Azure AI-szolgáltatások működtetik. A Face Check úgy védi a felhasználók adatvédelmet, hogy csak a találatokat osztja meg, a bizalmas identitásadatokat nem, miközben lehetővé teszi a szervezetek számára, hogy meggyőződjenek arról, hogy az identitást igénylést végző személy valóban azok.

Előfeltételek

A Face Check egy prémium funkció az ellenőrzött azonosítón belül. A Face Check bővítményt engedélyeznie kell a Microsoft Entra Ellenőrzött azonosító beállításban, mielőtt Face Check-ellenőrzéseket végez.

• A Face Check használata előtt győződjön meg arról, hogy Microsoft Entra Ellenőrzött azonosító be van állítva a bérlőben.
• Azure-előfizetés hozzáadása vagy társítása az Ön Microsoft Entra bérlőjéhöz
• Győződjön meg arról, hogy a Face Check beállítását végző felhasználó közreműködői szerepkört kap az Azure-előfizetéshez

Face Check beállítása Microsoft Entra Ellenőrzött azonosító

A Face Check bővítmény kétféleképpen engedélyezhető a Microsoft Entra Felügyeleti központból, vagy az Azure Resource Manager (ARM) Rest API parancssori felületen keresztüli használatával. Ha Microsoft Entra Suite-licenccel rendelkező bérlőben szeretné használni a Face Check alkalmazást, a Face Check engedélyezve van a bérlő szintjén, és a konfiguráció az adott bérlő összes hatóságára érvényes. Bármely más licenc esetén a Bérlő minden egyes hatósága egyenként engedélyezheti a Face Check szolgáltatást az Azure Resource Manager (ARM) Rest API használatával.

Feljegyzés

A Microsoft Entra Ellenőrzött azonosító ARM Rest API jelenleg nyilvános előzetes verzióban érhető el.

Arcellenőrzés beállítása Microsoft Entra Ellenőrzött azonosító a Felügyeleti központban

1. Az Ellenőrzött azonosító áttekintése lapon görgessen le az új bővítmények szakaszhoz és Enable a Face Check bővítményhez.

2. Az Előfizetés csatolása lépésben válassza ki az előfizetést, az erőforráscsoportot és az erőforrás helyét. Ezután válassza a lehetőséget Validate. Ha nincsenek előfizetések a listában, olvassa el a Mi a teendő, ha nem találom az előfizetést?

3. Az ellenőrzés után a bővítményt is használhatja Enable .

Most már megkezdheti a Face Check használatát a vállalati alkalmazásokban.

Face Check beállítása Microsoft Entra Ellenőrzött azonosító az Azure Resource Manager (ARM) Rest API használatával

Feljegyzés

A Microsoft Entra Ellenőrzött azonosító ARM Rest API jelenleg nyilvános előzetes verzióban érhető el.

A Face Check bővítmény adott szolgáltatón való beállításához rendelkeznie kell az Azure PowerShell-eszközökkel a gépén. Ez a mechanizmus körbefuttatja a REST-hívást. Alternatív megoldásként használhatja az Azure Resource Manager (ARM) REST API PUT-t ennek megfelelően

1. Futtassa a következő parancsot a PowerShellben

az login --tenant  <tenant ID>

1. Válassza ki azt az előfizetést, amelyen engedélyezni szeretné a Face Check-számlázást

2. Futtassa a következő parancsot:

az rest --method PUT --uri /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.VerifiedId/authorities/<authority-id>?api-version=2024-01-26-preview --body "{'location':'<rp-location>'}"

• Cserélje le a <subscription-id>-t az előfizetés-azonosítójára.
• csere <resource-group-name> az erőforráscsoport nevére
• helyére írja be <authority-id> a hatóság azonosítóját. A GET-hatóságok hívását authority-id a Felügyeleti API-ból szerezheti be.
• cserélje le <rp-location> a következő két érték egyikével:
  • Eu-bérlők esetén használja a northeurope
  • Eu-ellenes használat esetén westus2

A Face Check bővítmény mostantól engedélyezve van a bérlőben.

A Face Check használatának első lépései a MyAccount használatával

A Face Check használatának megkezdéséhez használja a MyAccountot, amely hitelesítő adatokat adhat ki VerifiedEmployee , valamint egy nyilvános tesztalkalmazást, amelyet a Microsoft biztosít. Első lépésként hajtsa végre a következő lépéseket:

1. Tesztfelhasználó létrehozása a Microsoft Entra-bérlőben, és fénykép feltöltése saját magáról
2. Lépjen a MyAccount webhelyre, jelentkezzen be tesztfelhasználóként, és adjon ki hitelesítő VerifiedEmployee adatokat a felhasználónak.
3. A nyilvános tesztalkalmazással a Face Check használatával jelenítheti meg a VerifiedEmployee hitelesítő adatait.

Amikor a Microsoft Authenticator lekér egy bemutatókérést, beleértve egy Face Check-et is, a rendszer egy további elemet kap a hitelesítő adattípus után, amelyet a felhasználónak meg kell osztania. Amikor a felhasználó kiválasztja az adott elemet, a rendszer elvégzi a tényleges Face Check-et, és a felhasználó ezután megoszthatja a kért hitelesítő adatokat és az ellenőrzés megbízhatósági pontszámát a nyilvános tesztalkalmazással (függő entitás). A Teszt alkalmazásban áttekintheti az eredményeket.

Feljegyzés

A MyAccount az Entra ID felhasználói profil fényképét használja az VerifiedEmployee hitelesítő adatok kiadásakor. A fényképet lekérheti a Microsoft Graph API-n keresztül https://graph.microsoft.com/v1.0/me/photos/240x240/$value

A Face Check használatának első lépései a Request Service API használatával

Az alkalmazások a Request Service API használatával kérést hozhatnak létre a felhasználók számára a face check végrehajtásához hitelesítő VerifiedEmployee adatok, állam által kiadott kormányzati azonosítók vagy egy megbízható fényképet tartalmazó egyéni digitális hitelesítő adatok alapján. Az ügyfélszolgálati szolgáltatás például kérheti a Face Check kérését a VerifiedEmployee hitelesítő adatokon, hogy gyorsan és biztonságosan ellenőrizze az identitást, így számos önkiszolgáló forgatókönyvet engedélyezhet, beleértve a jelszó aktiválását vagy a jelszó alaphelyzetbe állítását. A megfelelőségi kockázat csökkentése érdekében az alkalmazások a kívánt hitelesítő adatokból kapnak megbízhatósági pontszámot a fényképhez való megfeleléshez anélkül, hogy hozzáférést kapnak az élőségi adatokhoz.

Hitelesített azonosító hitelesítő adatainak kiállítása fényképpel

Az idTokenHint igazolási folyamatot használó egyéni hitelesítő adatok is kibocsáthatnak egy fényképet tartalmazó igazolt azonosító hitelesítő adatot. A hitelesítőadat-definíciónak rendelkeznie kell a fényképigény megjelenítési és szabálydefinícióival.

A fényképigény megjelenítési definíciójának olyan típussal kell rendelkeznie, amely image/jpg;base64url lehetővé teszi a Microsoft Authenticator számára annak megértését, hogy helyesen kell megjeleníteni fényképként.

{ 
  "claim": "vc.credentialSubject.photo", 
  "label": "User picture", 
  "type": "image/jpg;base64url" 
} 

A fénykép tényleges jogcímértékének beállításakor formátumnak UrlEncode(Base64Encode(JPEG image))kell lennie.

{ 
  "outputClaim": "photo", 
  "required": false, 
  "inputClaim": "photo", 
  "indexed": false 
} 

Feljegyzés

Amikor egyéni hitelesítő adatokat ad ki egy fényképpel, az alkalmazások feladata a használni és kódolni kívánt JPEG megadása.

Bemutatókérések, beleértve a Face Check-et

A bemutatókérelmek létrehozásához szükséges JSON-hasznos adatoknak a Request Service API-nak meg kell adni, hogy Face Check-et kell-e végrehajtani. A fényképet tartalmazó jogcímet el kell nevezni, és igény szerint 50–100 közötti egész számként megadhatja a megbízhatósági küszöbértéket. Az alapértelmezett érték 70.

// POST https://verifiedid.did.msidentity.com/v1.0/verifiableCredentials/createPresentationRequest
...
  "requestedCredentials": [
    {
      "type": "VerifiedEmployee",
      "acceptedIssuers": [ "did:web:yourdomain.com" ],
      "configuration": {
        "validation": {
          "allowRevoked": false,
          "validateLinkedDomain": true,
          "faceCheck": {
            "sourcePhotoClaimName": "photo",
            "matchConfidenceThreshold": 70
          }
        }

Sikeres Face Check presentation_verified visszahívási esemény

presentation_verified JSON adatcsomagja több adatot tartalmaz a válaszban, amikor egy Arcfelismerés sikeresen teljesült egy Ellenőrzött ID hitelesítő adat bemutatása során. Ekkor megjelenik a faceCheck szakasz, amely egy matchConfidenceScore azonosítót tartalmaz. Vegye figyelembe, hogy nem lehet kérni és fogadni a bemutató nyugtát, ha a kérelem tartalmazza a faceCheck-et.

  "verifiedCredentialsData": [ 
    { 
      "issuer": "did:web:yourdomain.com", 
      "type": [ "VerifiableCredential", "VerifiedEmployee" ], 
      "claims": { 
        ... 
      }, 
      ... 
      "faceCheck": { 
        "matchConfidenceScore": 86.314159,
        "sourcePhotoQuality": "HIGH"
      } 
    } 
  ], 

Face Check presentation_verified visszahívási esemény visszaigazolása

Ha a bemutató kérése visszaigazolás kérésével lett létrehozva, a presentation_verified visszahívás egy nevű attribútumot faceCheckfog tartalmazni.

{
  "requestId": "11111111-2222-3333-4444-55555555",
  "requestStatus": "presentation_verified",
  "receipt": {
    ...
    "faceCheck": "eyJhbGc...svw"
  },
  ...
}

Az faceCheck attribútum értéke egy aláírt JWT jogkivonat, amely az élőség-ellenőrzés forrásadata. A JWT-jogkivonat base64-dekódolása ellenőrizhető típusú hitelesítő adatokat MicrosoftFaceCheckReceiptad. A sourceVcJti az a hitelesítési azonosító, amelyet az élő személy ellenőrzéséhez használnak.

... 
    "type": [
      "VerifiableCredential",
      "MicrosoftFaceCheckReceipt"
    ],
    "credentialSubject": {
      "faceCheckResults": [
        {
          "sourceVcJti": "urn:pic:4f741111222233334444000000000000",
          "matchConfidenceThreshold": 70,
          "matchConfidenceScore": 86.314159,
          "sourcePhotoQuality": "HIGH"
        }
      ]

Sikertelen Face Check visszahívási esemény

Ha a megbízhatósági pontszám alacsonyabb a küszöbértéknél, a bemutatókérés sikertelen lesz, és presentation_error a visszaadott érték lesz. Az ellenőrző alkalmazás nem kapja meg a pontszámot.

{ 
  "requestId": "...", 
  "requestStatus": "presentation_error", 
  "state": "...", 
  "error": { 
    "code": "claimValidationError", 
    "message": "Match confidence score failing to meet the threshold." 
  } 
} 

Az Authenticator hibaüzenetet jelenít meg, amely tájékoztatja a felhasználót, hogy a megbízhatósági pontszám nem felelt meg a küszöbértéknek.

Gyakori kérdések a Face Check Microsoft Entra Ellenőrzött azonosító

Mi az a Face Check?

A face check with Microsoft Entra Ellenőrzött azonosító egy prémium szintű funkció az ellenőrzött azonosítón belül, amelyet az arcmegfelelőség tiszteletben tartásához használnak. Lehetővé teszi a vállalatok számára, hogy biztonságosan, egyszerűen és nagy léptékben végezhessenek magas szintű ellenőrzést. A Face Check kritikus bizalmi réteget ad hozzá a felhasználó valós idejű szelfije és fényképe közötti arcegyezés végrehajtásával. Az arcegyezést az Azure AI-szolgáltatások működtetik.

Mi a különbség a Face Check és a Face ID között?

A Face ID egy látásalapú biometrikus biztonsági lehetőség az Apple-termékeken, amely lehetővé teszi egy eszköz mobilalkalmazáshoz való hozzáférésének feloldását. A Face Check egy Microsoft Entra Ellenőrzött azonosító funkció, amely látásalapú AI-technológiát is használ, de összehasonlítja a felhasználót a bemutatott ellenőrzött azonosítóval. A Face Check számos olyan online forgatókönyvben határozza meg a felhasználói identitást, ahol magas szintű hozzáférésre van szükség. Ilyenek például a nagy értékű üzleti folyamatok vagy a bizalmas vállalati információkhoz való hozzáférés. Mindkét mechanizmus megköveteli, hogy a felhasználó a folyamat során kamerával szembesüljön, de különböző módokon működjön.

A Face Check biometrikus látásellenőrzése a mobileszközön történik?

Szám A fénykép és a rögzített élőségi adatok közötti biometrikus ellenőrzés a felhőben történik az Azure AI Vision Face API használatával. A folyamat során a felhasználói szelfi rögzítése nem lesz megosztva a kérésazonosító-ellenőrző webhelytel.

Mi az a Face Liveness Check?

A face check with Microsoft Entra Ellenőrzött azonosító az Azure AI Vision Face API élőség-ellenőrzését használja annak ellenőrzésére, hogy valódi személy-e a felhasználó eszközén lévő kamerából származó szelfifelvételen. Ez az ellenőrzés segít biztosítani, hogy a felhasználók statikus fényképe vagy 2D videója ne legyen használható élő sajátja helyett.

Mi történik a felvett élőségi adatokkal?

Amikor a kamera be van kapcsolva a mobileszközön, a rendszer élő felvételeket rögzít a mobileszközön. Ezt a felvételt ezután átadjuk az ellenőrzött azonosítónak, aki az Azure AI-szolgáltatások szolgáltatásaink meghívására használja.

Az adatokat a Microsoft Authenticator, az ellenőrzött azonosító vagy az Azure AI egyik szolgáltatása sem tárolja vagy tárolja. Emellett a felvételeket sem osztja meg a hitelesítő alkalmazással. A hitelesítő alkalmazás csak a megbízhatósági pontszámot kapja meg cserébe. Az AI-alapú rendszerekben a megbízhatósági pontszám a rendszernek adott lekérdezés valószínűségi százalékos válasza. Ebben a forgatókönyvben a megbízhatósági pontszám annak a valószínűsége, hogy az ellenőrzött azonosítójú felhasználó fényképe megegyezik a mobileszközön rögzített felhasználóval. Az Azure AI-szolgáltatásokra vonatkozó adatok és adatvédelem itt található.

Mennyibe kerül a Face Check?

A használati számlázással és díjszabással kapcsolatos legfrissebb információkért tekintse meg a Microsoft Entra díjszabását.

Mi a teendő, ha nem találom az előfizetést?

Ha az Előfizetés csatolása panelen nem érhetők el előfizetések, az alábbi lehetséges okokra lehet következtetni:

Nem rendelkezik a megfelelő engedélyekkel. Győződjön meg arról, hogy az Azure-fiókkal legalább az előfizetésben vagy az előfizetésen belüli erőforráscsoportban közreműködői szerepkörrel rendelkezik.

Létezik előfizetés, de még nincs társítva a címtárával. Hozzárendelhet egy meglévő előfizetést a bérlőhöz, majd megismételheti a bérlőhöz való csatolás lépéseit.

Nincs előfizetés. Az Előfizetés csatolása panelen úgy hozhat létre előfizetést, hogy kiválasztja a hivatkozást, ha még nem rendelkezik előfizetéssel, amelyet itt hozhat létre. Az új előfizetés létrehozása után létre kell hoznia egy erőforráscsoportot az új előfizetésben, majd meg kell ismételnie a bérlőhöz való csatolás lépéseit.

Gyakori kérdések a Face Check fejlesztői számára

Az arcellenőrzéshez MS Authenticator szükséges?

Igen. A face check az MS Authenticator által használt ellenőrzött azonosítókra korlátozódik. Ez a korlátozás a Face Check injektálási támadásának megelőzésére van érvényben. A nem face check forgatókönyvek esetében a Wallet SDK más ellenőrzött azonosítójú megoldásokhoz is elérhető. További információt itt talál

Mi a megbízhatóság százalékos aránya, és mit jelent a megbízhatóság?

A szervezetek kiválaszthatják a megbízhatósági pontszám küszöbértékét az alkalmazásuk számára a Face Check-ellenőrzés elfogadásához. A magasabb küszöbérték azt jelenti, hogy kevésbé valószínű, hogy egy megszemélyesítőt hamisan fogadnak el. Az alapértelmezett 50%-os megbízhatósági pontszámnál annak az esélye, hogy az élő szelfiben szereplő személy nem a megfelelő hitelesítőadat-tulajdonos, 100 000-ből egy. A szükséges szint az adott forgatókönyvtől, a belépési pont nyilvános helyétől és a tervezett felhasználóktól függ. A 90%-os megbízhatósági pontszám, hogy a hamis pozitív felhasználói esély egy a milliárd. A magasabb küszöbérték azt eredményezi, hogy az alkalmazás nagyobb érzékenysége miatt egy jogosult felhasználót elutasítanak. Fontos megtalálni a megfelelő egyensúlyt a magas megbízhatósági pontszám küszöbértékének beállítása között, amely biztonságossá teszi az alkalmazást, ugyanakkor nem teszi olyan magasra, hogy gyakran elutasítja a jogosult felhasználókat a megjelenésük enyhe változása vagy a környezetük vizuális feltételei, például a világítás miatt.

További információ az Azure Face API-ról.

Mi az Az Azure AI Vision Face API?

Az Azure AI egy felhőalapú szolgáltatáscsomag az Azure Platformon. Az Azure AI Vision Face API szolgáltatásokat kínál az arcfelismeréshez, az arcfelismeréshez, az arcegyezéshez és az élőség-ellenőrzéshez. Microsoft Entra Ellenőrzött azonosító arcfelismerési, arcegyeztetési és arcélesség-ellenőrzési szolgáltatásokat használ a FaceCheck végrehajtásakor. További információ itt található.

Mennyire igazságos az Azure AI Vision Face API?

A Microsoft korrektségi tesztelést végzett a Face API-val. Az Azure AI-szolgáltatások csapata folyamatosan törekszik az AI felelősségteljes és inkluzív használatára. Tekintse meg a Face API Fairness jelentését.

Ön iBeta Level 2 megfelelőség?

Igen. Az Azure Face API AI és a Face Check az iBeta Level 2 megfelelője, amely ellenáll a különböző megjelenítési támadási stílusoknak, hogy megszemélyesítse a felhasználót. További információ az iBeta ISO-bemutató támadásészlelési teszteléséről.

Mennyire igazságos az Azure AI Vision Face API?

A Microsoft méltányossági tesztet végzett a Face API-val. Az Azure AI Services csapata folyamatosan törekszik a biometrikus AI felelősségteljes és inkluzív használatára. A Face API Fairness jelentése itt érhető el.

Ha egy felhasználó nemrég kapott hajvágást, borotválta az arcszőrzetét, vagy más módon módosította a fizikai megjelenését, nem tudja elvégezni a Face Check ellenőrzést?

A Face Check összehasonlítja egy felhasználó élő szelfijét az ellenőrzött azonosítóhoz társított fényképpel. Minél kevésbé néz ki a felhasználó a fényképen, annál alacsonyabb a találati pontszáma. Attól függ, hogy a Face Check-ellenőrzés elfogadott-e, vagy sem, attól függ, hogy a felhasználó jelenleg milyen mértékben jelenik meg a korábban mentett fényképén, és hogy milyen magas a megbízhatósági pontszám küszöbértéke az alkalmazás számára. Ha az alkalmazás viszonylag magas küszöbértékkel rendelkezik, javasoljuk, hogy a felhasználók olyan fizikai megjelenést tartsanak, amely összhangban van a feltöltött ellenőrzött azonosítójú fényképükkel, vagy cserélje le a fényképet a felhasználó aktuális megjelenését tükröző képre.

A Face Check használata után hová kerülnek az adataim? Hol tárolja a rendszer?

A Face Check során használt képeket a rendszer nem tárolja hosszú távon. A Face Check-kérés során a rendszer egy szelfit rögzít a felhasználó mobileszközéről. Ezt a rendszerképet ezután a rendszer átadja az ellenőrzött azonosítónak, amely az Azure Face API AI-szolgáltatások meghívására használja. A feldolgozás után a rendszer elveti a szelfirendszerképet, és nem menti semmilyen eszközön vagy szolgáltatásban. A Microsoft Authenticator, az ellenőrzött azonosító és az Azure AI-szolgáltatások NEM tárolják vagy tárolják ezeket az adatokat. Ezenkívül a rögzített szelfiképet sem osztja meg a hitelesítő alkalmazással. A hitelesítő alkalmazás csak az eredményként kapott egyezés megbízhatósági pontszámát kapja meg.

Az Azure AI-szolgáltatásokra vonatkozó adatok és adatvédelem itt található.

A face check és Microsoft Entra Ellenőrzött azonosító ellenőrzés a tárcában vagy a felhőben történik?

Az Ellenőrzött azonosító szolgáltatás nem az eszközön, hanem a felhőben hajtja végre az ellenőrzési folyamatot. A hitelesítő adatok a felhasználó eszközén vannak tárolva, hogy teljes mértékben szabályozhassák a hitelesítő adatok használatát. A felhasználónak meg kell osztania egy hitelesítő adatot egy hitelesítővel ahhoz, hogy az ellenőrzés céljából feldolgozzák.

Milyen követelmények vonatkoznak a fényképre az ellenőrzött azonosítóban?

A fényképnek világosnak és élesnek kell lennie a minőségben, és nem kisebb, mint 200 képpont x 200 képpont. Az arcot a képen belül kell középre helyezni, és a nézetből nem lehet akadálymentesen megjeleníteni. A hitelesítő adatokban szereplő fénykép maximális mérete 1 MB. Vegye figyelembe, hogy a nagyobb kép nem garantálja a jobb eredményt. Egy jó kisebb fénykép jobb, mint egy nagy rossz.

A fényképfeldolgozás pontosságának javításáról további információt itt talál

Az ellenőrizhető hitelesítő adatok méretezési korlátairól itt talál további információt

Következő lépések

• Megtudhatja, hogyan konfigurálhatja a bérlőt Microsoft Entra Ellenőrzött azonosító és hogyan használhatja a MyAccountot.
• Megtudhatja, hogyan adhat ki Microsoft Entra Ellenőrzött azonosító hitelesítő adatokat egy webalkalmazásból.
• Megtudhatja, hogyan ellenőrizheti Microsoft Entra Ellenőrzött azonosító hitelesítő adatait.