重要
2025 年 5 月 1 日より、Azure AD B2C は新規のお客様向けに購入できなくなります。 詳細については、FAQ を参照してください。
このチュートリアルでは、Azure Active Directory B2C (Azure AD B2C) と、ドキュメント ID と顔の生体認証検証アプリ である Onfido を統合する方法について説明します。 これを使用して、 顧客の把握 と ID の要件を満たします。 Onfido では、写真 ID と顔の生体認証を照合して ID を検証する人工知能 (AI) テクノロジを使用します。 このソリューションは、デジタル ID を人に接続し、信頼性の高いオンボーディング エクスペリエンスを提供し、不正行為を減らすのに役立ちます。
このチュートリアルでは、Onfido サービスを有効にして、サインアップフローまたはサインイン フローで ID を確認します。 Onfido の結果は、ユーザーがアクセスする製品またはサービスに関する決定を通知します。
[前提条件]
作業を開始するには、以下が必要です。
Azure サブスクリプション
- まだお持ちでない場合は、Azure 無料アカウントを取得できます
- Azure サブスクリプションにリンクされた Azure AD B2C テナント
- Onfido 試用版アカウント
- onfido.com にアクセスして 問い合わせ フォームに入力してください
シナリオの説明
Onfido 統合には、次のコンポーネントが含まれています。
- Azure AD B2C テナント – テナント で定義されているカスタム ポリシーに基づいてユーザー資格情報を検証する承認サーバー。 ID プロバイダー (IdP) とも呼ばれます。 Onfido クライアント アプリがホストされ、ユーザー ドキュメントが収集され、Onfido API サービスに送信されます。
- Onfido クライアント – Web ページにデプロイされる、構成可能な JavaScript クライアント ドキュメント コレクション ユーティリティ。 ドキュメントのサイズや品質などの詳細を確認します。
- 中間 REST API – Azure AD B2C テナントが Onfido API サービスと通信するためのエンドポイントを提供します。 データ処理を処理し、両方のセキュリティ要件に準拠します。
- Onfido API サービス – ユーザー ドキュメントを保存して検証するバックエンド サービス。
次のアーキテクチャ図は、実装を示しています。
- ユーザーがサインアップして新しいアカウントを作成し、属性を入力します。 Azure AD B2C は属性を収集します。 Azure AD B2C でホストされている Onfido クライアント アプリは、ユーザー情報をチェックします。
- Azure AD B2C は中間層 API を呼び出し、属性を渡します。
- 中間層 API は属性を収集し、それらを Onfido API 形式に変換します。
- Onfido は属性を処理してユーザー識別を検証し、結果を中間層 API に送信します。
- 中間層 API は結果を処理し、JavaScript Object Notation (JSON) 形式で Azure AD B2C に関連情報を送信します。
- Azure AD B2C は情報を受け取ります。 応答が失敗すると、エラー メッセージが表示されます。 応答が成功すると、ユーザーは認証され、ディレクトリに書き込まれます。
Onfido アカウントを作成する
- Onfido アカウントを作成する: onfido.com お問い合わせ に移動し、フォームに入力します。
- API キーを作成する: 作業の開始 (API v3.5) に移動します。
注
後でキーが必要になります。
Onfido のドキュメント
ライブ キーは課金対象ですが、テストにはサンドボックス キーを使用できます。 onfido.com にアクセスして、サンドボックスとライブの違いを確認してください。 サンドボックス キーはライブ キーと同じ結果構造を生成しますが、結果は事前に定義されています。 ドキュメントは処理も保存もされません。
Onfido のその他のドキュメントについては、次を参照してください。
Onfido を使用して Azure AD B2C を構成する
API をデプロイする
- API コードを Azure サービスにデプロイします。 samples/OnFido-Combined/API/Onfido.Api/に移動します。 Visual Studio からコードを発行できます。
- クロスオリジン リソース共有 (CORS) を設定します。
-
許可された配信元を
https://{your_tenant_name}.b2clogin.com
として追加します。
注
Microsoft Entra ID を構成するには、デプロイされたサービス URL が必要です。
機密性の高い構成設定の追加
リポジトリにチェックインせずに、Azure App Service でアプリ設定を構成します。
REST API の設定:
- アプリケーション設定名: OnfidoSettings:AuthToken
- ソース: Onfido アカウント
UI をデプロイする
ストレージの場所を構成する
- Azure portal で コンテナーを作成します。
- UI ファイルを BLOB コンテナーの /samples/OnFido-Combined/UI に格納します。
- 作成したストレージ コンテナーへの CORS アクセスを許可するには、[設定] に移動し、>許可された発信元を確認します。
- 「
https://{your_tenant_name}.b2clogin.com
」と入力します。 - 小文字を使用して、テナント名を Azure AD B2C テナント名に置き換えます。 たとえば、
https://fabrikam.b2clogin.com
のようにします。 -
[許可されるメソッド] で、
GET
とPUT
を選択します。 - 保存 を選択します。
UI ファイルを更新する
- UI ファイルで、 サンプル/OnFido-Combined/UI/ocean_blue に移動します。
- 各 html ファイルを開きます。
-
{your-ui-blob-container-url}
を見つけて、UI ocean_blue、dist、assets フォルダーの URL に置き換えます。 -
{your-intermediate-api-url}
を見つけて、中間 API アプリ サービスの URL に置き換えます。
ファイルをアップロードする
- UI フォルダー ファイルを BLOB コンテナーに格納します。
- Azure Storage Explorer を使用して、Azure マネージド ディスク とアクセス許可を管理します。
Azure AD B2C の構成
構成値を置き換える
/samples/OnFido-Combined/Policies で、次のプレースホルダーを見つけて、インスタンスの対応する値に置き換えます。
プレースホルダー | 値に置き換える | 例 |
---|---|---|
{your_tenant_name} | テナントの短い名前 | yourtenant.onmicrosoft.com の「あなたのテナント」 |
{your_tenantID} | あなたのAzure AD B2C TenantID | AAAAABBBB-0000-CCCC-1111-DDDD2222EEEE |
{your_tenant_IdentityExperienceFramework_appid} | Azure AD B2C テナントに構成されている IdentityExperienceFramework アプリのアプリ ID | 00001111-AAAA-2222-BBBB-3333CCCCC4444 |
{your_tenant_ ProxyIdentityExperienceFramework_appid} | Azure AD B2C テナントに構成されている ProxyIdentityExperienceFramework アプリのアプリ ID | 00001111-AAAA-2222-BBBB-3333CCCCC4444 |
{your_tenant_extensions_appid} | テナント ストレージ アプリケーションのアプリ ID | 00001111-AAAA-2222-BBBB-3333CCCCC4444 |
{あなたのテナント拡張アプリオブジェクトID} | テナントのストレージ アプリケーションのオブジェクト ID | AAAAABBBB-0000-CCCC-1111-DDDD2222EEEE |
{your_app_insights_instrumentation_key} | App Insights インスタンス* のインストルメンテーション キー | 00001111-AAAA-2222-BBBB-3333CCCCC4444 |
{your_ui_file_base_url} | UIフォルダーocean_blue、dist、素材の場所URLは次の場所にあります。 | https://yourstorage.blob.core.windows.net/UI/ |
{your_app_service_URL} | 設定したアプリ サービスの URL | https://yourapp.azurewebsites.net |
*アプリの分析情報は、別のテナントに存在する可能性があります。 このステップはオプションです。 必要がない場合は、対応する TechnicalProfiles と OrchestrationSteps を削除します。
Azure AD B2C ポリシーを構成する
Azure AD B2C テナントを設定し、ポリシーを構成する手順については、 カスタム ポリシー スターター パック を参照してください。 カスタム ポリシーは、技術プロファイルとユーザー体験を定義するために Azure AD B2C テナントにアップロードする一連の XML ファイルです。
注
属性コレクション ページに同意通知を追加することをお勧めします。 情報がサード パーティのサービスにアクセスして本人確認を行っていることをユーザーに通知します。
ユーザー フローをテストする
- Azure AD B2C テナントを開きます。
- ポリシー で Identity Experience Framework を選択します。
- 以前に作成した SignUpSignIn を選択します。
- ユーザー フローを実行する を選択します。
- [アプリケーション] で、登録されているアプリ (JWT など) を選択します。
- [応答 URL] で、リダイレクト URL を選択します。
- ユーザー フローを実行する を選択します。
- サインアップ フローを完了します。
- アカウントを作成します。
- ユーザー属性が作成されると、フロー中に Onfido が呼び出されます。
注
フローが不完全な場合は、ユーザーがディレクトリに保存されていることを確認します。