次の方法で共有


Azure Active Directory B2C を使用して Onfido を構成するためのチュートリアル

重要

2025 年 5 月 1 日より、Azure AD B2C は新規のお客様向けに購入できなくなります。 詳細については、FAQ を参照してください

このチュートリアルでは、Azure Active Directory B2C (Azure AD B2C) と、ドキュメント ID と顔の生体認証検証アプリ である Onfido を統合する方法について説明します。 これを使用して、 顧客の把握 と ID の要件を満たします。 Onfido では、写真 ID と顔の生体認証を照合して ID を検証する人工知能 (AI) テクノロジを使用します。 このソリューションは、デジタル ID を人に接続し、信頼性の高いオンボーディング エクスペリエンスを提供し、不正行為を減らすのに役立ちます。

このチュートリアルでは、Onfido サービスを有効にして、サインアップフローまたはサインイン フローで ID を確認します。 Onfido の結果は、ユーザーがアクセスする製品またはサービスに関する決定を通知します。

[前提条件]

作業を開始するには、以下が必要です。

  • Azure サブスクリプションにリンクされた Azure AD B2C テナント
  • Onfido 試用版アカウント
    • onfido.com にアクセスして 問い合わせ フォームに入力してください

シナリオの説明

Onfido 統合には、次のコンポーネントが含まれています。

  • Azure AD B2C テナント – テナント で定義されているカスタム ポリシーに基づいてユーザー資格情報を検証する承認サーバー。 ID プロバイダー (IdP) とも呼ばれます。 Onfido クライアント アプリがホストされ、ユーザー ドキュメントが収集され、Onfido API サービスに送信されます。
  • Onfido クライアント – Web ページにデプロイされる、構成可能な JavaScript クライアント ドキュメント コレクション ユーティリティ。 ドキュメントのサイズや品質などの詳細を確認します。
  • 中間 REST API – Azure AD B2C テナントが Onfido API サービスと通信するためのエンドポイントを提供します。 データ処理を処理し、両方のセキュリティ要件に準拠します。
  • Onfido API サービス – ユーザー ドキュメントを保存して検証するバックエンド サービス。

次のアーキテクチャ図は、実装を示しています。

Onfido アーキテクチャの図。

  1. ユーザーがサインアップして新しいアカウントを作成し、属性を入力します。 Azure AD B2C は属性を収集します。 Azure AD B2C でホストされている Onfido クライアント アプリは、ユーザー情報をチェックします。
  2. Azure AD B2C は中間層 API を呼び出し、属性を渡します。
  3. 中間層 API は属性を収集し、それらを Onfido API 形式に変換します。
  4. Onfido は属性を処理してユーザー識別を検証し、結果を中間層 API に送信します。
  5. 中間層 API は結果を処理し、JavaScript Object Notation (JSON) 形式で Azure AD B2C に関連情報を送信します。
  6. Azure AD B2C は情報を受け取ります。 応答が失敗すると、エラー メッセージが表示されます。 応答が成功すると、ユーザーは認証され、ディレクトリに書き込まれます。

Onfido アカウントを作成する

  1. Onfido アカウントを作成する: onfido.com お問い合わせ に移動し、フォームに入力します。
  2. API キーを作成する: 作業の開始 (API v3.5) に移動します。

後でキーが必要になります。

Onfido のドキュメント

ライブ キーは課金対象ですが、テストにはサンドボックス キーを使用できます。 onfido.com にアクセスして、サンドボックスとライブの違いを確認してください。 サンドボックス キーはライブ キーと同じ結果構造を生成しますが、結果は事前に定義されています。 ドキュメントは処理も保存もされません。

Onfido のその他のドキュメントについては、次を参照してください。

Onfido を使用して Azure AD B2C を構成する

API をデプロイする

  1. API コードを Azure サービスにデプロイします。 samples/OnFido-Combined/API/Onfido.Api/に移動します。 Visual Studio からコードを発行できます。
  2. クロスオリジン リソース共有 (CORS) を設定します。
  3. 許可された配信元https://{your_tenant_name}.b2clogin.comとして追加します。

Microsoft Entra ID を構成するには、デプロイされたサービス URL が必要です。

機密性の高い構成設定の追加

リポジトリにチェックインせずに、Azure App Service でアプリ設定を構成します。

REST API の設定:

  • アプリケーション設定名: OnfidoSettings:AuthToken
  • ソース: Onfido アカウント

UI をデプロイする

ストレージの場所を構成する

  1. Azure portal で コンテナーを作成します
  2. UI ファイルを BLOB コンテナーの /samples/OnFido-Combined/UI に格納します。
  3. 作成したストレージ コンテナーへの CORS アクセスを許可するには、[設定] に移動し、>許可された発信元を確認します。
  4. https://{your_tenant_name}.b2clogin.com」と入力します。
  5. 小文字を使用して、テナント名を Azure AD B2C テナント名に置き換えます。 たとえば、https://fabrikam.b2clogin.com のようにします。
  6. [許可されるメソッド] で、GETPUTを選択します。
  7. 保存 を選択します。

UI ファイルを更新する

  1. UI ファイルで、 サンプル/OnFido-Combined/UI/ocean_blue に移動します。
  2. 各 html ファイルを開きます。
  3. {your-ui-blob-container-url}を見つけて、UI ocean_bluedistassets フォルダーの URL に置き換えます。
  4. {your-intermediate-api-url}を見つけて、中間 API アプリ サービスの URL に置き換えます。

ファイルをアップロードする

  1. UI フォルダー ファイルを BLOB コンテナーに格納します。
  2. Azure Storage Explorer を使用して、Azure マネージド ディスク とアクセス許可を管理します。

Azure AD B2C の構成

構成値を置き換える

/samples/OnFido-Combined/Policies で、次のプレースホルダーを見つけて、インスタンスの対応する値に置き換えます。

プレースホルダー 値に置き換える
{your_tenant_name} テナントの短い名前 yourtenant.onmicrosoft.com の「あなたのテナント」
{your_tenantID} あなたのAzure AD B2C TenantID AAAAABBBB-0000-CCCC-1111-DDDD2222EEEE
{your_tenant_IdentityExperienceFramework_appid} Azure AD B2C テナントに構成されている IdentityExperienceFramework アプリのアプリ ID 00001111-AAAA-2222-BBBB-3333CCCCC4444
{your_tenant_ ProxyIdentityExperienceFramework_appid} Azure AD B2C テナントに構成されている ProxyIdentityExperienceFramework アプリのアプリ ID 00001111-AAAA-2222-BBBB-3333CCCCC4444
{your_tenant_extensions_appid} テナント ストレージ アプリケーションのアプリ ID 00001111-AAAA-2222-BBBB-3333CCCCC4444
{あなたのテナント拡張アプリオブジェクトID} テナントのストレージ アプリケーションのオブジェクト ID AAAAABBBB-0000-CCCC-1111-DDDD2222EEEE
{your_app_insights_instrumentation_key} App Insights インスタンス* のインストルメンテーション キー 00001111-AAAA-2222-BBBB-3333CCCCC4444
{your_ui_file_base_url} UIフォルダーocean_bluedist素材の場所URLは次の場所にあります。 https://yourstorage.blob.core.windows.net/UI/
{your_app_service_URL} 設定したアプリ サービスの URL https://yourapp.azurewebsites.net

*アプリの分析情報は、別のテナントに存在する可能性があります。 このステップはオプションです。 必要がない場合は、対応する TechnicalProfiles と OrchestrationSteps を削除します。

Azure AD B2C ポリシーを構成する

Azure AD B2C テナントを設定し、ポリシーを構成する手順については、 カスタム ポリシー スターター パック を参照してください。 カスタム ポリシーは、技術プロファイルとユーザー体験を定義するために Azure AD B2C テナントにアップロードする一連の XML ファイルです。

属性コレクション ページに同意通知を追加することをお勧めします。 情報がサード パーティのサービスにアクセスして本人確認を行っていることをユーザーに通知します。

ユーザー フローをテストする

  1. Azure AD B2C テナントを開きます。
  2. ポリシーIdentity Experience Framework を選択します。
  3. 以前に作成した SignUpSignIn を選択します。
  4. ユーザー フローを実行する を選択します。
  5. [アプリケーション] で、登録されているアプリ (JWT など) を選択します。
  6. [応答 URL] で、リダイレクト URL を選択します
  7. ユーザー フローを実行する を選択します。
  8. サインアップ フローを完了します。
  9. アカウントを作成します。
  10. ユーザー属性が作成されると、フロー中に Onfido が呼び出されます。

フローが不完全な場合は、ユーザーがディレクトリに保存されていることを確認します。

次のステップ