Samouczek dotyczący konfigurowania aplikacji Onfido za pomocą usługi Azure Active Directory B2C

Z tego samouczka dowiesz się, jak zintegrować usługę Azure Active Directory B2C (Azure AD B2C) z aplikacją Onfido, identyfikatorem dokumentu i aplikacją do weryfikacji biometrycznej twarzy. Użyj go, aby spełnić wymagania dotyczące znajomości klienta i tożsamości. Onfido używa technologii sztucznej inteligencji (AI), która weryfikuje tożsamość przez dopasowanie identyfikatora zdjęcia z biometrią twarzy. Rozwiązanie łączy tożsamość cyfrową z osobą, zapewnia niezawodne środowisko dołączania i pomaga ograniczyć oszustwa.

W tym samouczku włączysz usługę Onfido, aby zweryfikować tożsamość w przepływie rejestracji lub logowania. Wyniki onfido informują o decyzjach dotyczących produktów lub usług, do których uzyskuje dostęp użytkownik.

Wymagania wstępne

Aby rozpocząć pracę, potrzebne są następujące elementy:

• Subskrypcja platformy Azure

  • Jeśli nie masz konta, możesz uzyskać bezpłatne konto platformy Azure

• Dzierżawa usługi Azure AD B2C połączona z subskrypcją platformy Azure
• Konto wersji próbnej Onfido
  • Przejdź do onfido.com Skontaktuj się z nami i wypełnij formularz

Opis scenariusza

Integracja z usługą Onfido obejmuje następujące składniki:

• Azure AD dzierżawa usługi B2C — serwer autoryzacji, który weryfikuje poświadczenia użytkownika na podstawie zasad niestandardowych zdefiniowanych w dzierżawie. Jest on również znany jako dostawca tożsamości (IdP). Hostuje aplikację kliencą Onfido, która zbiera dokumenty użytkownika i przesyła je do usługi interfejsu API Onfido.
• Klient Onfido — konfigurowalne narzędzie do zbierania dokumentów klienta JavaScript wdrożone na stronach internetowych. Sprawdza szczegóły, takie jak rozmiar dokumentu i jakość.
• Pośredni interfejs API REST — udostępnia punkty końcowe dla dzierżawy usługi Azure AD B2C do komunikowania się z usługą interfejsu API Onfido. Obsługuje przetwarzanie danych i spełnia wymagania dotyczące zabezpieczeń obu tych elementów.
• Usługa interfejsu API Onfido — usługa zaplecza, która zapisuje i weryfikuje dokumenty użytkowników.

Poniższy diagram architektury przedstawia implementację.

1. Użytkownik tworzy nowe konto i wprowadza atrybuty. Azure AD B2C zbiera atrybuty. Aplikacja kliencka Onfido hostowana w usłudze Azure AD B2C sprawdza informacje o użytkowniku.
2. Azure AD B2C wywołuje interfejs API warstwy środkowej i przekazuje atrybuty.
3. Interfejs API warstwy środkowej zbiera atrybuty i konwertuje je na format interfejsu API Onfido.
4. Atrybuty procesów Onfido do weryfikowania identyfikacji użytkownika i wysyłania wyników do interfejsu API warstwy środkowej.
5. Interfejs API warstwy środkowej przetwarza wyniki i wysyła odpowiednie informacje do Azure AD B2C w formacie JavaScript Object Notation (JSON).
6. Azure AD B2C otrzymuje informacje. Jeśli odpowiedź zakończy się niepowodzeniem, zostanie wyświetlony komunikat o błędzie. Jeśli odpowiedź powiedzie się, użytkownik zostanie uwierzytelniony i zapisany w katalogu.

Tworzenie konta Onfido

1. Utwórz konto Onfido: przejdź do onfido.com Skontaktuj się z nami i wypełnij formularz.
2. Utwórz klucz interfejsu API: przejdź do sekcji Wprowadzenie (interfejs API w wersji 3.5).

Uwaga

Klucz będzie potrzebny później.

Dokumentacja usługi Onfido

Klucze na żywo są rozliczane, jednak można użyć kluczy piaskownicy do testowania. Przejdź do onfido.com, piaskownicy i różnic na żywo. Klucze piaskownicy generują taką samą strukturę wyników jak klucze na żywo, jednak wyniki są wstępnie określone. Dokumenty nie są przetwarzane ani zapisywane.

Aby uzyskać więcej dokumentacji usługi Onfido, zobacz:

• Dokumentacja interfejsu API Onfido
• Onfido Developer Hub

Konfigurowanie Azure AD B2C przy użyciu narzędzia Onfido

Wdrażanie interfejsu API

1. Wdrażanie kodu interfejsu API w usłudze platformy Azure. Przejdź do pozycji samples/OnFido-Combined/API/Onfido.Api/. Kod można opublikować w programie Visual Studio.
2. Konfigurowanie współużytkowania zasobów między źródłami (CORS).
3. Dodaj dozwolone źródło jako https://{your_tenant_name}.b2clogin.com.

Uwaga

Aby skonfigurować identyfikator Microsoft Entra, potrzebny będzie adres URL wdrożonej usługi.

Dodawanie poufnych ustawień konfiguracji

Skonfiguruj ustawienia aplikacji w usłudze aplikacja systemu Azure bez ich sprawdzania w repozytorium.

Ustawienia interfejsu API REST:

• Nazwa ustawienia aplikacji: OnfidoSettings:AuthToken
• Źródło: Konto Onfido

Wdrażanie interfejsu użytkownika

Konfigurowanie lokalizacji przechowywania

1. W Azure Portal utwórz kontener.
2. Zapisz pliki interfejsu użytkownika w folderze /samples/OnFido-Combined/UI w kontenerze obiektów blob.
3. Zezwalaj na dostęp mechanizmu CORS do utworzonego kontenera magazynu: przejdź do pozycji Ustawienia>Dozwolone źródło.
4. Wprowadź https://{your_tenant_name}.b2clogin.com.
5. Zastąp nazwę dzierżawy nazwą dzierżawy Azure AD B2C, używając małych liter. Na przykład https://fabrikam.b2clogin.com.
6. W obszarze Dozwolone metody wybierz pozycję GET i PUT.
7. Wybierz pozycję Zapisz.

Aktualizowanie plików interfejsu użytkownika

1. W plikach interfejsu użytkownika przejdź do pozycji samples/OnFido-Combined/UI/ocean_blue.
2. Otwórz każdy plik HTML.
3. Znajdź {your-ui-blob-container-url}element i zastąp go adresami URL folderu ocean_blue interfejsu użytkownika, identyfikatora i zasobów .
4. Znajdź {your-intermediate-api-url}element i zastąp go adresem URL pośredniej usługi aplikacji interfejsu API.

Przekazywanie plików

1. Zapisz pliki folderów interfejsu użytkownika w kontenerze obiektów blob.
2. Użyj Eksplorator usługi Azure Storage do zarządzania dyskami zarządzanymi platformy Azure i uprawnieniami dostępu.

Konfigurowanie Azure AD B2C

Zastępowanie wartości konfiguracji

W pliku /samples/OnFido-Combined/Policies znajdź następujące symbole zastępcze i zastąp je odpowiednimi wartościami z wystąpienia.

Symbol zastępczy	Zastąp element wartością	Przykład
{your_tenant_name}	Krótka nazwa dzierżawy	"Twoja dzierżawa" z yourtenant.onmicrosoft.com
{your_tenantID}	Identyfikator dzierżawy B2C Azure AD	01234567-89ab-cdef-0123-456789abcdef
{your_tenant_IdentityExperienceFramework_appid}	IdentityExperienceFramework app App ID skonfigurowany w dzierżawie usługi Azure AD B2C	01234567-89ab-cdef-0123-456789abcdef
{your_tenant_ ProxyIdentityExperienceFramework_appid}	ProxyIdentityExperienceFramework App ID skonfigurowany w dzierżawie usługi Azure AD B2C	01234567-89ab-cdef-0123-456789abcdef
{your_tenant_extensions_appid}	Identyfikator aplikacji magazynu dzierżawy	01234567-89ab-cdef-0123-456789abcdef
{your_tenant_extensions_app_objectid}	Identyfikator obiektu aplikacji magazynu dzierżawy	01234567-89ab-cdef-0123-456789abcdef
{your_app_insights_instrumentation_key}	Klucz instrumentacji wystąpienia usługi App Insights*	01234567-89ab-cdef-0123-456789abcdef
{your_ui_file_base_url}	Adres URL lokalizacji folderów interfejsu użytkownika ocean_blue, dist i zasobów	https://yourstorage.blob.core.windows.net/UI/
{your_app_service_URL}	Adres URL usługi App Service, który został skonfigurowany	https://yourapp.azurewebsites.net

*Usługa App Insights może znajdować się w innej dzierżawie. Ta czynność jest opcjonalna. Usuń odpowiednie elementy TechnicalProfiles i OrchestrationSteps, jeśli nie są potrzebne.

Konfigurowanie zasad Azure AD B2C

Zobacz Niestandardowy pakiet startowy zasad, aby uzyskać instrukcje dotyczące konfigurowania dzierżawy usługi Azure AD B2C i konfigurowania zasad. Zasady niestandardowe to zestaw plików XML przekazywanych do dzierżawy usługi Azure AD B2C w celu zdefiniowania profilów technicznych i podróży użytkowników.

Uwaga

Zalecamy dodanie powiadomienia o zgodzie na stronie kolekcji atrybutów. Powiadamianie użytkowników o tym, że informacje trafiają do usług innych firm w celu weryfikacji tożsamości.

Testowanie przepływu użytkownika

1. Otwórz dzierżawę usługi Azure AD B2C.
2. W obszarze Zasady wybierz pozycję Identity Experience Framework.
3. Wybierz wcześniej utworzoną wartość SignUpSignIn.
4. Wybierz pozycję Uruchom przepływ użytkownika.
5. W polu Aplikacja wybierz zarejestrowaną aplikację (na przykład JWT).
6. W polu Adres URL odpowiedzi wybierz adres URL przekierowania.
7. Wybierz pozycję Uruchom przepływ użytkownika.
8. Ukończ przepływ rejestracji.
9. Utwórz konto.
10. Po utworzeniu atrybutu użytkownika onfido jest wywoływany podczas przepływu.

Uwaga

Jeśli przepływ jest niekompletny, upewnij się, że użytkownik jest zapisany w katalogu.

Następne kroki

• Zasady niestandardowe w usłudze Azure AD B2C
• Wprowadzenie do zasad niestandardowych w usłudze Azure AD B2C