Zelfstudie voor het configureren van Onfido met Azure Active Directory B2C

In deze zelfstudie leert u hoe u Azure Active Directory B2C (Azure AD B2C) kunt integreren met Onfido, een document-id en verificatie-app voor gezichtsbiometrie. Gebruik deze om te voldoen aan de vereisten voor Know Your Customer en identiteit. Onfido maakt gebruik van ai-technologie (kunstmatige intelligentie) die identiteit verifieert door een foto-id te koppelen aan gezichtsbiometrie. De oplossing verbindt een digitale identiteit met een persoon, biedt een betrouwbare onboarding-ervaring en helpt fraude te verminderen.

In deze zelfstudie schakelt u de Onfido-service in om de identiteit te verifiëren in de registratie- of aanmeldingsstroom. Onfido-resultaten bepalen welke producten of services de gebruiker gebruikt.

Vereisten

U hebt u het volgende nodig om aan de slag te gaan:

• Een Azure-abonnement

  • Als u niet hebt ingeschakeld, kunt u een gratis Azure-account krijgen

• Een Azure AD B2C-tenant die is gekoppeld aan uw Azure-abonnement
• Een Proefaccount van Onfido
  • Ga naar onfido.com Neem contact met ons op en vul het formulier in

Scenariobeschrijving

De Onfido-integratie bevat de volgende onderdelen:

• Azure AD B2C-tenant: de autorisatieserver die gebruikersreferenties verifieert op basis van aangepast beleid dat is gedefinieerd in de tenant. Dit wordt ook wel de id-provider (IdP) genoemd. Het host de Onfido-client-app, waarmee de gebruikersdocumenten worden verzameld en verzonden naar de Onfido API-service.
• Onfido-client : een configureerbaar hulpprogramma voor het verzamelen van javascript-clients dat is geïmplementeerd in webpagina's. Er worden details gecontroleerd, zoals de grootte en kwaliteit van het document.
• Tussenliggende REST API: biedt eindpunten voor de Azure AD B2C-tenant om te communiceren met de Onfido API-service. Het verwerkt gegevensverwerking en voldoet aan de beveiligingsvereisten van beide.
• Onfido API-service : de back-endservice, waarmee gebruikersdocumenten worden opgeslagen en geverifieerd.

In het volgende architectuurdiagram wordt de implementatie weergegeven.

1. Gebruiker meldt zich aan om een nieuw account te maken en voert kenmerken in. Azure AD B2C verzamelt de kenmerken. Onfido-client-app die wordt gehost in Azure AD B2C controleert op de gebruikersgegevens.
2. Azure AD B2C de API van de middelste laag aanroept en de kenmerken doorgeeft.
3. Api in de middelste laag verzamelt kenmerken en converteert deze naar een Onfido API-indeling.
4. Onfido verwerkt kenmerken om gebruikersidentificatie te valideren en verzendt het resultaat naar de API van de middelste laag.
5. Api in de middelste laag verwerkt de resultaten en verzendt relevante informatie naar Azure AD B2C, in JSON-indeling (JavaScript Object Notation).
6. Azure AD B2C ontvangt de informatie. Als het antwoord mislukt, wordt er een foutbericht weergegeven. Als het antwoord slaagt, wordt de gebruiker geverifieerd en naar de map geschreven.

Een Onfido-account maken

1. Maak een Onfido-account aan: ga naar onfido.com Neem contact met ons op en vul het formulier in.
2. Een API-sleutel maken: ga naar Aan de slag (API v3.5).

Notitie

U hebt de sleutel later nodig.

Onfido-documentatie

Livesleutels kunnen worden gefactureerd, maar u kunt de sandboxsleutels gebruiken voor het testen. Ga naar onfido.com voor, Sandbox- en liveverschillen. De sandboxsleutels produceren dezelfde resultaatstructuur als livesleutels, maar de resultaten zijn vooraf bepaald. Documenten worden niet verwerkt of opgeslagen.

Zie voor meer Onfido-documentatie:

• Documentatie voor Onfido-API
• Onfido Developer Hub

Azure AD B2C configureren met Onfido

De API implementeren

1. Implementeer de API-code in een Azure-service. Ga naar samples/OnFido-Combined/API/Onfido.Api/. U kunt de code publiceren vanuit Visual Studio.
2. Cross-origin resource sharing (CORS) instellen.
3. Voeg Toegestane oorsprong toe als https://{your_tenant_name}.b2clogin.com.

Notitie

U hebt de geïmplementeerde service-URL nodig om Microsoft Entra-id te configureren.

Gevoelige configuratie-instellingen toevoegen

Configureer app-instellingen in de Azure-app-service zonder deze in te checken in een opslagplaats.

REST API-instellingen:

• Naam van toepassingsinstelling: OnfidoSettings:AuthToken
• Bron: Onfido-account

De gebruikersinterface implementeren

Uw opslaglocatie configureren

1. Maak een container in de Azure Portal.
2. Sla de UI-bestanden op in /samples/OnFido-Combined/UI, in uw blobcontainer.
3. CORS-toegang toestaan tot de opslagcontainer die u hebt gemaakt: Ga naar Instellingen>Toegestane oorsprong.
4. Voer https://{your_tenant_name}.b2clogin.com in.
5. Vervang de naam van uw tenant door de naam van uw Azure AD B2C-tenant met kleine letters. Bijvoorbeeld https://fabrikam.b2clogin.com.
6. Selecteer bij Toegestane methoden de opties GET en PUT.
7. Selecteer Opslaan.

UI-bestanden bijwerken

1. Ga in de UI-bestanden naar samples/OnFido-Combined/UI/ocean_blue.
2. Open elk HTML-bestand.
3. Zoek {your-ui-blob-container-url}en vervang deze door de URL's van de map UI ocean_blue, dist en assets .
4. Zoek {your-intermediate-api-url}en vervang deze door de tussenliggende URL van de API-app-service.

Uw bestanden uploaden

1. Sla de ui-mapbestanden op in uw blobcontainer.
2. Gebruik Azure Storage Explorer om beheerde Azure-schijven en toegangsmachtigingen te beheren.

Azure AD B2C configureren

De configuratiewaarden vervangen

Zoek in /samples/OnFido-Combined/Policies de volgende tijdelijke aanduidingen en vervang deze door de bijbehorende waarden van uw exemplaar.

Tijdelijke aanduiding	Vervangen door waarde	Voorbeeld
{your_tenant_name}	De korte naam van uw tenant	'uw tenant' van yourtenant.onmicrosoft.com
{your_tenantID}	Uw Azure AD B2C TenantID	01234567-89ab-cdef-0123-456789abcdef
{your_tenant_IdentityExperienceFramework_appid}	App-id identityExperienceFramework-app die is geconfigureerd in uw Azure AD B2C-tenant	01234567-89ab-cdef-0123-456789abcdef
{your_tenant_ ProxyIdentityExperienceFramework_appid}	ProxyIdentityExperienceFramework-app-app-id geconfigureerd in uw Azure AD B2C-tenant	01234567-89ab-cdef-0123-456789abcdef
{your_tenant_extensions_appid}	De app-id van uw tenantopslagtoepassing	01234567-89ab-cdef-0123-456789abcdef
{your_tenant_extensions_app_objectid}	De object-id van uw tenantopslagtoepassing	01234567-89ab-cdef-0123-456789abcdef
{your_app_insights_instrumentation_key}	De instrumentatiesleutel van uw App Insights-exemplaar*	01234567-89ab-cdef-0123-456789abcdef
{your_ui_file_base_url}	Locatie-URL van uw UI-mappen ocean_blue, dist en assets	https://yourstorage.blob.core.windows.net/UI/
{your_app_service_URL}	De APP Service-URL die u hebt ingesteld	https://yourapp.azurewebsites.net

*App-inzichten kunnen zich in een andere tenant bevinden. Deze stap is optioneel. Verwijder de bijbehorende TechnicalProfiles en OrchestrationSteps als ze niet nodig zijn.

Azure AD B2C-beleid configureren

Zie Starterspakket voor aangepast beleid voor instructies voor het instellen van uw Azure AD B2C-tenant en het configureren van beleidsregels. Aangepaste beleidsregels zijn een set XML-bestanden die u uploadt naar uw Azure AD B2C-tenant om technische profielen en gebruikersbelevingen te definiëren.

Notitie

U wordt aangeraden toestemmingsmeldingen toe te voegen op de pagina voor het verzamelen van kenmerken. Gebruikers informeren dat informatie naar services van derden gaat voor identiteitsverificatie.

De gebruikersstroom testen

1. Open de Azure AD B2C-tenant.
2. Selecteer onder Beleidde optie Identity Experience Framework.
3. Selecteer uw eerder gemaakte SignUpSignIn.
4. Selecteer Gebruikersstroom uitvoeren.
5. Selecteer bij Toepassing de geregistreerde app (bijvoorbeeld JWT).
6. Selecteer voor Antwoord-URL de omleidings-URL.
7. Selecteer Gebruikersstroom uitvoeren.
8. Voltooi de registratiestroom.
9. Maak een account.
10. Wanneer het gebruikerskenmerk wordt gemaakt, wordt Onfido aangeroepen tijdens de stroom.

Notitie

Als de stroom onvolledig is, controleert u of de gebruiker is opgeslagen in de map.

Volgende stappen

• Aangepast beleid in Azure AD B2C
• Aan de slag met aangepast beleid in Azure AD B2C