次の方法で共有

Microsoft Entra Verified ID の ID 検証パートナー

ID 検証 (IDV) パートナー ネットワークにより、Microsoft Entra Verified ID の機能が拡張されます。これは、シームレスなエンドユーザー エクスペリエンスを構築するのに役立ちます。 Verified ID を使用すると、IDV パートナーと統合して、本人確認および証明サービスを使用した政府 ID チェックによるリモート オンボーディングなどのシナリオを実現できます。 この図は、リモート オンボーディング シナリオですべての関係者が相互に対話する低レベルのワークフローを示しています。 この統合パターンは参照として使用できます。

IDV 統合パターンのスクリーンショット。

次のセクションでは、IDV が発行フローを設定するために使用できる一連の手順と、顧客が IDV Verified ID を検証するために使用できる一連の手順について説明します。

発行者のフロー

Identity Verification (IDV) パートナーは、Verified ID の要求サービス REST API を使用して Verified ID を発行できる独立系ソフトウェア ベンダー (ISV) です。 IDV が発行者として機能するために必要な手順は次のとおりです。

  1. Microsoft Entra Verified ID サービスを設定する: 簡易設定または詳細設定の手順を使用します。

    マルチテナント モデルで、顧客との 1 対 1 の関係が必要な場合、IDV は専用機関の設定を検討する必要があります。 機関の作成については、ドキュメントの「管理者 API」セクションを参照してください。

  2. サービスから発行する資格情報の種類を定義する資格情報定義 (カスタム資格情報) を設定します。 シナリオに基づいて、ID トークン (プロバイダーからの Open ID connect 認証用) または ID トークンのヒント (ISV が REST API を使用して必要な認証を取得するため)、自己発行 (ユーザーによる入力)、プレゼンテーション、または複数の認証のいずれかを選択します。

  3. この資格情報が一般的な目的で使用される場合は、必ず資格情報を Verified ID ネットワークに公開してください。 この資格情報が特定の顧客向けに作成された場合は、この手順をスキップしてください。 資格情報を Verified ID ネットワークに公開するには、[管理] の下にある [資格情報を発行する] オプションを選択し、[資格情報を Verified ID ネットワークに公開する] チェックボックスをオンにします。 管理 API を使用して、資格情報の [availableInVcDirectory] を true に設定することもできます。

  4. IDV は、ユーザー体験のためのオファーまたは顧客向けジャンプスタート URL を構成し、それを顧客の証明書利用者アプリケーションに統合する必要があります。 例として図の step5 を参照してください。

  5. エンド ユーザーは、証明書利用者アプリケーションで体験を開始します。上記の例では、Contoso のオンボーディング ポータルがユーザーに ID の証明を求めます。 ユーザーがオンボーディングに必要な Verified ID を既に持っている場合は、図の手順 1 から 4 に従います。 ユーザーは、必要な Verified ID を持っていない場合、オンボーディング アプリケーションから IDV オファー URL を起動して、本人確認プロセスを開始する必要があります。 IDV と顧客の証明書利用者は、このリダイレクト モデルを構築する必要があります。 IDV は、ユーザーが登録済みの組織から IDV ポータルにアクセスしており、スパム要求ではないことを識別する必要があります。 証明書利用者は、JWT トークンを使用して "1 回限り" の使用のための URL を生成する必要があります (https://idvpartner.com/contoso/?token=jwt_token など)。

    JWT トークンは顧客の証明書利用者の秘密キーで署名され、公開キーはエンドポイントまたはスケジュールされたプロセスを介して IDV と共有されることに注意してください。 IDV は、キックスタート体験用に、組織 ID、要求 ID、mscv ID、有効期限などの JWT の属性を使用することを保証する必要があります。 エンド ツー エンドのトラブルシューティングには mscv が推奨されることに注意してください。 JWT の例を次に示します。

    ヘッダー: アルゴリズムとトークンの種類

    { 
    "alg": "RS256", 
    "typ": "JWT" 
}

    PAYLOAD: DATA

    { 
    "OrgId": "", 
    "RequestId": "", 
    "exp": 1684986555,
    "redirectUrl": "https://customerRPurl"
}

  6. 正常に完了すると、IDV は Verified ID 発行フローを開始し、 Verified ID を発行します。 この時点で、ユーザーには Microsoft Authenticator アプリケーションで [カードを追加する] ためのディープ リンクまたは QR コードが表示されます。 IDV Web サイトは、Verified ID サービスから成功した発行のコールバックを受信します。

    IDV パートナーは、証明書利用者アプリケーションと IDV パートナーの間で合意されたとおり、必要な方法でユーザーの ID を証明できる、必要な Web エクスペリエンスを提供または構築する必要があります。 プロセスが完了すると、Verified ID 資格情報の種類に応じて値のリストが収集されます。 これらの値 ("claims" パラメーターとして) は、Verified ID 発行要求 API 呼び出しの一部として渡されます。 IDV が Web アプリ上でこの体験を構築する場合、IDV はそれを QR コードまたはディープ リンクとしてレンダリングする必要があります。 詳細については、「要求サービス REST API 発行要求の指定」を参照してください。

  7. IDV は、ユーザーを顧客の証明書利用者アプリケーションにリダイレクトします。

  8. 図の残りの手順 (つまり、手順 14 から 16) では、ユーザーは FaceCheck で Verified ID を提示するよう求められます。 プレゼンテーションが成功すると、ユーザーはシステムにオンボードされます。

顧客は IDV パートナーと協力して、組織のオンボーディング、課金契約、その他の必須の前提条件を含む必要な IDV オンボーディング手順を設定する必要があります。

検証ツールのフロー

アプリケーション開発者は、IDV によって発行された Verified ID をアプリケーションの検証フローに使用できます。 計画の詳細については、検証ソリューションの計画ドキュメントを参照してください。 検証を設定するために必要な手順は次のとおりです。

  1. Microsoft Entra Verified ID サービスを設定する: 簡易設定または詳細設定の手順を使用します。

  2. IDV パートナーから VCTypedid などの詳細を取得した場合は、「プレゼンテーション要求 API」セクションのペイロード参照を使用して、ID 検証パートナー (IDV) によって発行された Verified ID を検証できます。

  3. 顧客は次の手順を使用して、プレゼンテーション要求 API ペイロードを生成することもできます。

    1. [Microsoft Entra 管理センター] ->[Verified ID] に移動します。
    2. [検証要求の作成] タブを選択します

    検証要求の作成のスクリーンショット

    1. [最初のユーザーの選択] を選択します。
    2. woodgrove.com など各自の名前を入力して、[発行者の検索/選択] ドロップダウン メニューでそれぞれの IDV を探します。
    3. IDV からアプリケーションが検証用に必要とする資格情報の種類を選択します。 これは、プレゼンテーション要求 API ペイロードでは VCType とも呼ばれます。
    4. [追加] を選択し、次に [レビュー] を選択します。
    5. 要求本文をダウンロードし、POST API 要求 URL をコピーして貼り付けます。
    6. これで開発者は、各自のテナント管理者から要求 URL と本文を取得できるようになり、次の手順に従ってアプリケーションまたは Web サイトを更新できます。 ユーザーに確認済み ID を要求するには、アプリケーションまたは Web サイトに要求 URL と本文を含めます。

    サンプル アプリケーション https://aka.ms/vcsample については、Microsoft Entra Verified ID GitHub リポジトリを参照してください

    1. URL、状態、api-key の値は、必ずそれぞれの値に置き換えてください。
    2. Verified ID サービス要求サービス プリンシパルのアクセス トークンを取得するために、アプリにアクセス許可を付与します。

ユーザー フローをテストするには、サンプル アプリのドキュメントを使用して、サンプル アプリケーションのいずれかをAzure App Service Environment にいつでもデプロイできます。

パートナー一覧

次の表は、Verified ID IDV パートナーの一覧を示しています。 このギャラリーへの掲載を希望する IDV パートナーの場合は、自己送信フォーム (https://aka.ms/VIDCertifiedPartnerForm) を使用してソリューションの詳細を送信してください。

IDV パートナー 説明 統合のチュートリアル
AU10TIX ロゴのスクリーンショット。 AU10TIX は、企業、従業員、請負業者、ベンダー、顧客のプライバシーを保護しながら、検証可能性を向上させます。 AU10TIX を ID 検証パートナーとして構成することで Verified ID を構成します
LexisNexis ロゴのスクリーンショット。 LexisNexis Risk Solutions の検証可能な資格情報を使用すると、サービスにアクセスする従業員、学生、市民、またはその他のユーザーを迅速にオンボードできます。 LexisNexis Risk Solutions を ID 検証パートナーとして構成することで Verified ID を構成します
Vu ロゴのスクリーンショット。 自撮り写真と ID のみで Vu 検証可能な資格情報。 VU ID カードを ID 検証パートナーとして構成することで Verified ID を構成する
Onfido ロゴのスクリーンショット。 検証可能な資格情報の発行と受け入れを数分で開始します。 検証可能な資格情報と Onfido を利用すると、プライバシーを尊重しながら、ユーザーが本人であることを確認できます。 ユーザーの ID または生体認証に関する情報をデジタル検証します。 *
Jumio ロゴのスクリーンショット。 Jumio は、Microsoft による新しい形式のデジタル ID をサポートすることに協力しています。これは、コンシューマーが一度検証したら、どこでも使用できるという、検証可能な資格情報と分散化識別子の標準に基づいています。 *
Idemia ロゴのスクリーンショット。 Idemia - Verified ID との統合により、"1 度検証したら、どこでも使用可能" 機能が有効になります。 IDEMIA を ID 検証パートナーとして構成することで Verified ID を構成します
Clear ロゴのスクリーンショット。 Clear は、Microsoft と協力して、検証可能な資格情報を介してより安全なデジタル エクスペリエンスを作成しています。 *

* - 利用可能なドキュメントがまだありません

次のステップ

表に記載されているパートナーを選択して、パートナーのソリューションとアプリケーションを統合する方法について確認してください。 詳細情報

  • Microsoft Entra Verified ID デモ Web サイト: https://aka.ms/vcdemo
  • GitHub のサンプル:https://aka.ms/vcsample
  • FaceCheck を使用した ID チャレンジ デモ: https://aka.ms/facecheckdemo
  • Microsoft 相関ベクトル mscv の仕様: これは、軽量ベクトル クロックに基づく分散システムを通じてイベントのトレースと相関を行うプロトコルです。