Uso di Face Check con ID verificato di Microsoft Entra e sblocco di verifiche ad alta garanzia su larga scala

Face Check è un confronto facciale rispettoso della privacy. Consente alle aziende di eseguire verifiche ad alta garanzia in modo sicuro, semplice e su larga scala. Face Check aggiunge un livello critico di attendibilità eseguendo la corrispondenza facciale tra il selfie in tempo reale di un utente e una foto. I servizi di intelligenza artificiale di Azure alimentano la corrispondenza facciale. Face Check protegge la privacy degli utenti condividendo solo i risultati della corrispondenza e non i dati di identità sensibili, consentendo alle organizzazioni di essere sicuri che la persona che dichiara un'identità sia effettivamente loro.

Prerequisiti

Face Check è una funzionalità premium all'interno dell'Identità Verificata. È necessario abilitare il componente aggiuntivo Face Check nella configurazione di ID verificato di Microsoft Entra prima di eseguire le verifiche Face Check.

• Assicurarsi che ID verificato di Microsoft Entra sia configurato nel tenant prima di usare Face Check.
• Aggiungere o associare una sottoscrizione di Azure al tenant di Microsoft Entra
• Assicurarsi che l'utente che configura Face Check abbia il ruolo Collaboratore per la sottoscrizione di Azure

Configurazione di Face Check con ID verificato di Microsoft Entra

Il componente aggiuntivo Face Check può essere abilitato in due modi dall'interfaccia di amministrazione di Microsoft Entra o usando l'API REST di Azure Resource Manager (ARM) tramite l'interfaccia della riga di comando. Se si intende usare Verifica viso in un tenant con la licenza di Microsoft Entra Suite, Face Check è abilitato a livello di tenant e la configurazione si applica a tutte le autorità all'interno di tale tenant. Per qualsiasi altra licenza, è possibile abilitare la verifica facciale singolarmente per ciascuna autorità nel proprio tenant usando l'API REST di Azure Resource Manager (ARM).

Nota

L'API REST ARM per ID verificato di Microsoft Entra è attualmente in anteprima pubblica.

Configurazione di Face Check con ID verificato di Microsoft Entra nell'interfaccia di amministrazione

1. Nella pagina di panoramica dell'ID verificato, scorrere verso il basso fino alla nuova sezione Componenti aggiuntivi e Enable al componente aggiuntivo Face Check.

2. Nel passaggio Collega una sottoscrizione, seleziona una sottoscrizione, un gruppo di risorse e la posizione della risorsa. Selezionare quindi Validate. Se non sono elencate sottoscrizioni, vedere Cosa accade se non è possibile trovare una sottoscrizione?

3. Dopo la convalida, è possibile Enable aggiungere il componente aggiuntivo.

È ora possibile iniziare a usare Face Check nelle applicazioni aziendali.

Configurazione di Face Check con ID verificato di Microsoft Entra usando l'API REST di Azure Resource Manager (ARM)

Nota

L'API REST ARM per ID verificato di Microsoft Entra è attualmente in anteprima pubblica.

Per configurare il componente aggiuntivo Verifica viso presso un'autorità specifica, è necessario disporre degli strumenti Azure PowerShell sul computer. Questo meccanismo gestisce la chiamata REST. È possibile usare l'API REST di Azure Resource Manager (ARM) PUT in alternativa.

1. In PowerShell eseguire questo comando

az login --tenant  <tenant ID>

1. Selezionare la sottoscrizione su cui si desidera abilitare la fatturazione per controllo del volto.

2. Eseguire il comando seguente

az rest --method PUT --uri /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.VerifiedId/authorities/<authority-id>?api-version=2024-01-26-preview --body "{'location':'<rp-location>'}"

• sostituire <subscription-id> con l'ID sottoscrizione
• sostituire <resource-group-name> con il nome del gruppo di risorse
• sostituire <authority-id> con il tuo ID di autorità. È possibile ottenere l'oggetto authority-id usando la chiamata GET Authorities dall'API Admin.
• sostituire <rp-location> usando uno dei due valori seguenti:
  • Per i tenant dell'UE, usare northeurope
  • Per uso al di fuori dell'UE westus2

Il componente aggiuntivo Controllo del volto è ora abilitato nel tuo ambiente.

Introduzione a Face Check con MyAccount

È possibile iniziare facilmente a usare Face Check usando MyAccount, che può rilasciare VerifiedEmployee credenziali e un'app di test pubblica fornita da Microsoft. Per iniziare, è necessario eseguire i passaggi seguenti:

1. Crea un utente di test nel tenant di Microsoft Entra e carica una foto di te stesso
2. Passare a MyAccount, accedere come utente di test ed emettere credenziali VerifiedEmployee per l'utente.
3. Usa l'applicazione di test pubblica per presentare la tua VerifiedEmployee credenziale usando Face Check.

Quando Microsoft Authenticator ottiene una richiesta di presentazione che include un controllo viso, è presente un elemento aggiuntivo dopo che viene chiesto all'utente di condividere il tipo di credenziale. Quando l'utente seleziona tale elemento, viene eseguito il controllo viso effettivo e l'utente può quindi condividere le credenziali richieste e il punteggio di attendibilità del controllo con l'app di test pubblica (relying party). È possibile esaminare i risultati nell'app Test.

Nota

MyAccount usa la foto del profilo utente Entra ID quando si emettono le credenziali VerifiedEmployee. È possibile recuperare la foto tramite l'API Microsoft Graph https://graph.microsoft.com/v1.0/me/photos/240x240/$value

Introduzione a Face Check con l'API del servizio di richiesta

Le app possono utilizzare l'API del servizio di richiesta per creare una richiesta affinché gli utenti eseguano una verifica facciale rispetto a un documento di identità governativo rilasciato dallo Stato, oppure a credenziali digitali personalizzate con una foto attendibile. Ad esempio, un servizio help desk può richiedere un controllo viso su una VerifiedEmployee credenziale per verificare l'identità in modo rapido e sicuro per abilitare un'ampia gamma di scenari self-service, tra cui l'attivazione di una passkey o la reimpostazione di una password. Per ridurre i rischi di conformità, le app ricevono un punteggio di attendibilità per la corrispondenza con la foto dalle credenziali desiderate, senza ottenere l'accesso ai dati di attività.

Emissione di credenziali ID verificate con una foto

I tipi di credenziali personalizzati che usano il flusso di attestazione idTokenHint possono anche emettere credenziali ID verificate contenenti una foto. La definizione delle credenziali deve includere le definizioni di visualizzazione e delle regole per l'asserzione relativa alla foto.

La definizione di visualizzazione per l'attestazione foto deve avere il tipo impostato su image/jpg;base64url per consentire a Microsoft Authenticator di capire che dovrebbe essere visualizzata correttamente come una foto.

{ 
  "claim": "vc.credentialSubject.photo", 
  "label": "User picture", 
  "type": "image/jpg;base64url" 
} 

Quando si imposta il valore effettivo dell'attestazione della foto, deve essere in formato UrlEncode(Base64Encode(JPEG image)).

{ 
  "outputClaim": "photo", 
  "required": false, 
  "inputClaim": "photo", 
  "indexed": false 
} 

Nota

Quando si emettono credenziali personalizzate con una foto, è responsabilità delle app fornire il JPEG da usare e codificarlo.

Richieste di presentazione che includono il Controllo del volto

Il payload JSON per l'API del servizio di richiesta per la creazione di una richiesta di presentazione deve specificare che deve essere eseguito un controllo viso. L'attestazione contenente la foto deve essere denominata e facoltativamente è possibile specificare la soglia di attendibilità come numero intero compreso tra 50 e 100. Il valore predefinito è 70.

// POST https://verifiedid.did.msidentity.com/v1.0/verifiableCredentials/createPresentationRequest
...
  "requestedCredentials": [
    {
      "type": "VerifiedEmployee",
      "acceptedIssuers": [ "did:web:yourdomain.com" ],
      "configuration": {
        "validation": {
          "allowRevoked": false,
          "validateLinkedDomain": true,
          "faceCheck": {
            "sourcePhotoClaimName": "photo",
            "matchConfidenceThreshold": 70
          }
        }

Risultato positivo dell'evento di callback per la verifica della presentazione di Face Check

Il payload JSON per il presentation_verified contiene più dati nella risposta quando un controllo del viso è stato eseguito correttamente durante una presentazione della credenziale Verified ID. Viene aggiunta la sezione faceCheck che contiene un punteggio di fiducia della corrispondenza. Si noti che non è possibile richiedere e ricevere la ricevuta di presentazione quando la richiesta include faceCheck.

  "verifiedCredentialsData": [ 
    { 
      "issuer": "did:web:yourdomain.com", 
      "type": [ "VerifiableCredential", "VerifiedEmployee" ], 
      "claims": { 
        ... 
      }, 
      ... 
      "faceCheck": { 
        "matchConfidenceScore": 86.314159,
        "sourcePhotoQuality": "HIGH"
      } 
    } 
  ], 

Ricezione dell'evento di callback per il controllo del volto presentation_verified

Se la richiesta di presentazione è stata creata con la richiesta di una ricevuta , il callback presentation_verified conterrà un attributo denominato faceCheck.

{
  "requestId": "11111111-2222-3333-4444-55555555",
  "requestStatus": "presentation_verified",
  "receipt": {
    ...
    "faceCheck": "eyJhbGc...svw"
  },
  ...
}

Il valore dell'attributo faceCheck è un token JWT firmato che è rappresentato come dati di origine per la verifica di vivacità. La decodifica base64 del token JWT fornisce una credenziale verificabile di tipo MicrosoftFaceCheckReceipt. Il sourceVcJti è l'identità della credenziale utilizzata per la verifica di vitalità.

... 
    "type": [
      "VerifiableCredential",
      "MicrosoftFaceCheckReceipt"
    ],
    "credentialSubject": {
      "faceCheckResults": [
        {
          "sourceVcJti": "urn:pic:4f741111222233334444000000000000",
          "matchConfidenceThreshold": 70,
          "matchConfidenceScore": 86.314159,
          "sourcePhotoQuality": "HIGH"
        }
      ]

Evento di callback Face Check non riuscito

Quando il punteggio di attendibilità è inferiore alla soglia, la richiesta di presentazione non è riuscita e viene restituito un presentation_error valore . L'applicazione di verifica non ottiene il punteggio restituito.

{ 
  "requestId": "...", 
  "requestStatus": "presentation_error", 
  "state": "...", 
  "error": { 
    "code": "claimValidationError", 
    "message": "Match confidence score failing to meet the threshold." 
  } 
} 

L'autenticatore visualizza un messaggio di errore che informa l'utente che il punteggio di attendibilità non è riuscito a soddisfare la soglia.

Domande frequenti su Face Check with Microsoft Entra Verified ID

Che cos'è Face Check?

Controllo del volto con Microsoft Entra Verified ID è una funzionalità premium nell'ambito di Verified ID usata per l'abbinamento facciale rispettoso della privacy. Consente alle aziende di eseguire verifiche ad alta garanzia in modo sicuro, semplice e su larga scala. Face Check aggiunge un livello critico di attendibilità eseguendo la corrispondenza facciale tra il selfie in tempo reale di un utente e una foto. I servizi di intelligenza artificiale di Azure alimentano la corrispondenza facciale.

Qual è la differenza tra Face Check e Face ID?

Face ID è un'opzione di sicurezza biometrica basata su visione sui prodotti Apple per sbloccare un dispositivo per l'accesso a un'app per dispositivi mobili. Face Check è una funzionalità di ID verificato di Microsoft Entra che usa anche la tecnologia di intelligenza artificiale basata sulla visione, ma confronta l'utente con l'ID verificato presentato. Face Check determina l'identità utente in un'ampia gamma di scenari online in cui è richiesto l'accesso ad alta garanzia. Alcuni esempi sono i processi aziendali di valore elevato oppure nell'accesso alle informazioni aziendali riservate. Entrambi i meccanismi richiedono a un utente di affrontare una fotocamera nel processo, ma operano in modi diversi.

Il controllo di visione biometrica del Face Check viene eseguito sul dispositivo mobile?

No Il controllo biometrico tra la foto e i dati di vivacità acquisiti viene eseguito nel cloud usando Azure AI Vision Face API. Il selfie catturato dall'utente durante il processo non viene condiviso con il sito che verifica l'ID richiedente.

Che cos'è Face Liveness Check?

Face Check con Microsoft Entra Verified ID utilizza l'API Vision Face di Azure AI per verificare che la persona nei selfie filmati dalla fotocamera del dispositivo dell'utente sia reale. Questo controllo consente di garantire che una foto statica o un video 2D di un utente non possa essere usato al posto del proprio self live.

Cosa succede ai dati di vivacità acquisiti?

Quando la fotocamera è accesa sul dispositivo mobile, le riprese live vengono acquisite sul dispositivo mobile. Questo filmato viene quindi passato all'ID verificato che lo usa per richiamare i servizi dei servizi di Intelligenza artificiale di Azure.

I dati non vengono archiviati né conservati da nessuno dei servizi Microsoft Authenticator, Id verificato o intelligenza artificiale di Azure. Inoltre, il filmato non viene condiviso con l'applicazione di verifica. L'applicazione di verifica ottiene solo il punteggio di attendibilità restituito. In un sistema basato su intelligenza artificiale, il punteggio di attendibilità è la risposta percentuale di probabilità per una query al sistema. Per questo scenario, il punteggio di attendibilità è la probabilità che la foto dell'utente con ID verificato corrisponda allo scatto dell'utente sul dispositivo mobile. I dati e la privacy per i servizi di intelligenza artificiale di Azure sono disponibili qui.

Quanto costa Face Check?

Per informazioni più recenti sulla fatturazione basata sull’utilizzo e sui relativi prezzi, vedere Prezzi di Microsoft Entra.

Cosa accade se non è possibile trovare una sottoscrizione?

Se nel riquadro Collega una sottoscrizione non sono disponibili sottoscrizioni, ecco alcuni possibili motivi:

Non si dispone delle autorizzazioni appropriate. Assicurarsi di accedere con l'account Azure che abbia almeno il ruolo di Collaboratore all'interno della sottoscrizione o di un gruppo di risorse della stessa.

Esiste una sottoscrizione, ma non è ancora associata alla directory. È possibile associare una sottoscrizione esistente al tenant e quindi ripetere i passaggi per collegarla al tenant.

Non esiste alcuna sottoscrizione. Nel riquadro Collega una sottoscrizione è possibile creare una sottoscrizione selezionando il collegamento se non si ha già una sottoscrizione, è possibile crearne una qui. Dopo aver creato una nuova sottoscrizione, è necessario creare un gruppo di risorse nella nuova sottoscrizione e quindi ripetere i passaggi per collegarlo al tenant.

Domande frequenti per gli sviluppatori di Face Check

Il controllo viso richiede l'autenticazione MS?

Sì. Face Check è limitato all'utilizzo dell'ID verificato con MS Authenticator. Questa limitazione è stata applicata per evitare attacchi di injection su Face Check. Per gli scenari che non prevedono il Face Check, è disponibile un SDK per il portafoglio per altre soluzioni di ID verificate. Altre informazioni sono reperibili qui

Qual è la corrispondenza percentuale di attendibilità e cosa significa fiducia?

Le organizzazioni possono scegliere la soglia del punteggio di attendibilità che la loro applicazione deve accettare per una verifica del riconoscimento facciale. Una soglia più elevata indica che è meno probabile che un impostore venga erroneamente accettato. Al punteggio di attendibilità predefinito del 50%, la probabilità che la persona nel selfie live non sia il proprietario delle credenziali giuste è uno in 100.000. Il livello richiesto dipende dallo scenario specifico, dal modo in cui il punto di ingresso pubblico è e dagli utenti pianificati. Con un punteggio di attendibilità del 90%, la probabilità di un utente falso positivo è di un miliardo. Una soglia più elevata comporta un aumento del potenziale di rifiuto di un utente autorizzato a causa della maggiore sensibilità dell'applicazione. È importante trovare il giusto equilibrio tra l'impostazione di una soglia di punteggio di attendibilità elevata che protegge l'applicazione senza renderla così elevata che spesso rifiuta gli utenti autorizzati a causa di lievi variazioni di aspetto o delle condizioni visive dell'ambiente circostante, ad esempio l'illuminazione.

Altre informazioni sull'API Viso di Azure.

Che cos'è l'API Riconoscimento Facciale Azure Vision?

L'intelligenza artificiale di Azure è una suite di servizi cloud nella piattaforma Azure. L'API Face di Azure AI Vision offre servizi per il rilevamento dei volti, il riconoscimento dei volti, la corrispondenza dei volti e il controllo di vitalità. Microsoft Entra Verified ID utilizza i servizi di rilevamento del viso, confronto del viso e verifica della vivacità del viso durante l'esecuzione di FaceCheck. Altre informazioni sono disponibili qui.

Quanto è equa l'Azure AI Vision Face API?

Microsoft ha condotto test di imparzialità dell'API Face. Il team dei servizi di intelligenza artificiale di Azure si impegna costantemente per garantire un uso responsabile e inclusivo dell'IA. Visualizza il report di equità dell'API Facciale.

Sei conforme a iBeta Level 2?

Sì. L'API Face di Azure e Face Check sono conformi a iBeta Level 2 per essere resistenti a vari stili di attacco di presentazione per impersonare un utente. Altre informazioni sui test di rilevamento degli attacchi di presentazione ISO di iBeta.

Quanto è equa l'Azure AI Vision Face API?

Microsoft ha eseguito test di equità della Face API. Il team di Servizi di intelligenza artificiale di Azure si impegna costantemente per garantire l'uso responsabile e inclusivo dell'IA biometrica. Il report sull'imparzialità del Face API è disponibile qui.

Se un utente ha recentemente ottenuto un taglio di capelli, rasato i capelli del viso o ha cambiato il loro aspetto fisico, non sarà in grado di completare una verifica del controllo del viso?

Face Check confronta il selfie live di un utente con la foto associata all'ID verificato. Più l'aspetto dell'utente differisce dalla foto, più basso è il loro punteggio di corrispondenza. Che la verifica del controllo viso venga accettata o meno dipende da quanto l'aspetto attuale dell'utente differisce dalla foto salvata in precedenza e dal livello della soglia del punteggio di attendibilità dell'applicazione. Se l'applicazione ha una soglia relativamente elevata, è consigliabile che gli utenti mantengano un aspetto fisico coerente con la foto dell'ID verificato caricato o sostituisci la foto con quella che riflette l'aspetto corrente dell'utente.

Dopo aver usato Face Check, dove vanno i miei dati? Dove è archiviato?

Le immagini usate durante il controllo viso non vengono archiviate a lungo termine. Durante una richiesta di verifica del viso, un selfie viene acquisito dal dispositivo mobile dell'utente. Questa immagine viene quindi passata a Verified ID che lo utilizza per richiamare i servizi di intelligenza artificiale di Azure Face API. Una volta completata l'elaborazione, l'immagine selfie viene scartata e non salvata in alcun dispositivo o servizio. I servizi Microsoft Authenticator, Verified ID e Azure AI non archivieranno o manterranno questi dati. Inoltre, l'immagine selfie acquisita non viene condivisa con l'applicazione di verifica. L'applicazione di verifica riceve solo un punteggio di attendibilità della corrispondenza risultante.

I dati e la privacy per i servizi di intelligenza artificiale di Azure sono disponibili qui.

La verifica facciale con l'Identità verificata da Microsoft Entra avviene nel portafoglio o nel cloud?

Il servizio ID verificato esegue il processo di verifica nel cloud, non nel dispositivo. Le credenziali vengono archiviate nel dispositivo di un utente in modo che abbiano il controllo completo dell'utilizzo delle credenziali. Un utente deve scegliere di condividere una credenziale con un verificatore affinché venga elaborata per la verifica.

Quali sono i requisiti per la foto nell'ID verificato?

La foto deve essere chiara e nitida in qualità e non inferiore a 200 pixel x 200 pixel. Il viso deve essere centrato all'interno dell'immagine e libero da ostacoli. La dimensione massima della foto nella credenziale è 1 MB. Si noti che la presenza di un'immagine più grande non garantisce un risultato migliore. Una buona foto piccola è meglio di una grande cattiva.

Altre informazioni su come migliorare l'accuratezza dell'elaborazione foto sono disponibili qui

Altre informazioni sui limiti di ridimensionamento delle credenziali verificabili sono disponibili qui

Passaggi successivi

• Informazioni su come configurare il tenant per Microsoft Entra Verified ID e usare MyAccount.
• Impara a rilasciare le credenziali ID verificato di Microsoft Entra da un'applicazione web.
• Scopri come verificare le credenziali Microsoft Entra ID verificato.