Używanie funkcji Face Check ze Zweryfikowanym Identyfikatorem Microsoft Entra i umożliwianie weryfikacji o wysokim poziomie pewności na szeroką skalę.

Face Check to usługa dopasowywania twarzy z poszanowaniem prywatności. Dzięki niej przedsiębiorstwa mogą bezpiecznie, po prostu i na dużą skalę przeprowadzać weryfikacje o wysokiej gwarancji. Funkcja Face Check dodaje krytyczną warstwę zaufania, wykonując dopasowywanie twarzy między selfie użytkownika w czasie rzeczywistym a zdjęciem. Dopasowywanie twarzy jest obsługiwane przez usługi Azure AI. Funkcja Face Check chroni prywatność użytkowników, udostępniając jedynie wyniki dopasowania, bez ujawniania jakichkolwiek poufnych danych tożsamości, jednocześnie umożliwiając organizacjom upewnienie się, że osoba twierdząca, że jest nią, faktycznie nią jest.

Wymagania wstępne

Funkcja Face Check to funkcja premium w ramach Zweryfikowanego ID. Przed rozpoczęciem weryfikacji Face Check należy włączyć dodatek Face Check w konfiguracji Zweryfikowanego Identyfikatora Microsoft Entra.

• Przed użyciem funkcji Face Check upewnij się, że Zweryfikowany identyfikator Microsoft Entra jest skonfigurowany w dzierżawie.
• Kojarzenie lub dodawanie subskrypcji Azure do posiadanej dzierżawy Microsoft Entra
• Upewnij się, że użytkownik konfigurujący Face Check ma rolę Współautora dla subskrypcji platformy Azure

Konfigurowanie sprawdzania twarzy przy użyciu zweryfikowanego identyfikatora Microsoft Entra

Dodatek do sprawdzania twarzy można włączyć na dwa sposoby w centrum administracyjnym firmy Microsoft lub przy użyciu interfejsu API REST usługi Azure Resource Manager (ARM) za pośrednictwem interfejsu wiersza polecenia. Jeśli zamierzasz używać funkcji Face Check w dzierżawie z licencją pakietu Microsoft Entra Suite, Face Check jest włączona na poziomie dzierżawy, a konfiguracja ma zastosowanie do wszystkich autorytetów w tej dzierżawie. W przypadku innych licencji możesz włączyć funkcję Face Check indywidualnie dla każdego autorytetu w dzierżawie za pomocą interfejsu ARM REST API usługi Azure Resource Manager (ARM).

Uwaga

Interfejs API REST usługi ARM dla Microsoft Entra Zweryfikowany Identyfikator jest obecnie w publicznej wersji beta.

Konfigurowanie weryfikacji twarzy za pomocą Microsoft Entra Verified ID w centrum administracyjnym

1. Na stronie Przegląd zweryfikowanego identyfikatora przewiń w dół do nowej sekcji Dodatki i Enable dodatek Sprawdzenie Twarzy.

2. W kroku Łączenie subskrypcji wybierz subskrypcję, grupę zasobów i lokalizację zasobu. Następnie wybierz pozycję Validate. Jeśli nie ma żadnych subskrypcji na liście, zobacz Co zrobić, jeśli nie mogę znaleźć subskrypcji?

3. Po zweryfikowaniu można Enable dodać.

Teraz możesz rozpocząć korzystanie z funkcji Face Check w aplikacjach dla przedsiębiorstw.

Konfigurowanie sprawdzania twarzy za pomocą Zweryfikowanego Identyfikatora Microsoft Entra przy użyciu interfejsu API REST Azure Resource Manager (ARM)

Uwaga

Interfejs API REST usługi ARM dla Microsoft Entra Zweryfikowany Identyfikator jest obecnie w publicznej wersji beta.

Aby skonfigurować dodatek do sprawdzania twarzy w danym urzędzie, musisz mieć narzędzia programu Azure PowerShell na maszynie. Ten mechanizm opakowuje wywołanie REST. Alternatywnie odpowiednio możesz użyć interfejsu API REST usługi Azure Resource Manager (ARM) PUT.

1. Uruchom następujące polecenie w programie PowerShell

az login --tenant  <tenant ID>

1. Wybierz subskrypcję, w ramach której chcesz włączyć rozliczanie Face Check.

2. Uruchom następujące polecenie

az rest --method PUT --uri /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.VerifiedId/authorities/<authority-id>?api-version=2024-01-26-preview --body "{'location':'<rp-location>'}"

• zastąp <subscription-id> identyfikatorem subskrypcji
• zamień <resource-group-name> na nazwę swojej grupy zasobów
• zastąp <authority-id> identyfikatorem urzędu. Możesz uzyskać authority-id przy użyciu wywołania GET Authorities z interfejsu API Administratora.
• zastąp <rp-location> jedną z następujących dwóch wartości:
  • Dla najemców z UE użyj northeurope
  • Do użytku poza UE westus2

Dodatek do sprawdzania twarzy jest teraz włączony w dzierżawie.

Rozpocznij korzystanie z Face Check przy użyciu MyAccount

Możesz łatwo rozpocząć korzystanie z funkcji Sprawdzania twarzy przy użyciu konta MyAccount, które może wystawiać VerifiedEmployee poświadczenia i publiczną aplikację testową udostępnianą przez firmę Microsoft. Aby rozpocząć pracę, należy wykonać następujące kroki:

1. Utwórz użytkownika testowego w dzierżawie Microsoft Entra i załaduj swoje zdjęcie.
2. Przejdź do MyAccount, zaloguj się jako użytkownik testowy i wydaj VerifiedEmployee poświadczenie dla użytkownika.
3. Użyj publicznej aplikacji testowej, aby przedstawić VerifiedEmployee swoje poświadczenia przy użyciu funkcji Sprawdzania twarzy.

Gdy aplikacja Microsoft Authenticator otrzymuje żądanie prezentacji z użyciem rozpoznawania twarzy, pojawia się dodatkowy element po rodzaju poświadczeń, który użytkownik jest proszony o udostępnienie. Gdy użytkownik wybierze ten element, jest wykonywane prawdziwe sprawdzanie twarzy, a użytkownik może następnie udostępnić żądane poświadczenia i poziom zaufania sprawdzenia z aplikacją testową zaufanej strony. Możesz przejrzeć wyniki w aplikacji Test.

Uwaga

MyAccount używa zdjęcia profilu użytkownika Entra ID podczas wystawiania poświadczenia VerifiedEmployee. Zdjęcie można pobrać za pomocą interfejsu API programu Microsoft Graph https://graph.microsoft.com/v1.0/me/photos/240x240/$value

Rozpocznij korzystanie z Face Check przy użyciu interfejsu API Usługi Żądania

Aplikacje mogą używać Request Service API do tworzenia użytkownikom żądań do przeprowadzenia weryfikacji twarzy względem poświadczeń, państwowego dokumentu tożsamości lub niestandardowego poświadczenia cyfrowego z zaufanym zdjęciem. Na przykład help desk może zażądać weryfikacji twarzy na podstawie VerifiedEmployee poświadczeń, aby szybko i bezpiecznie zweryfikować tożsamość oraz umożliwić szeroki wachlarz scenariuszy samoobsługi, w tym aktywowanie klucza dostępu lub resetowanie hasła. Aby zmniejszyć ryzyko zgodności, aplikacje otrzymują współczynnik ufności dla dopasowania względem zdjęcia z żądanych poświadczeń bez uzyskiwania dostępu do danych na żywo.

Wystawianie poświadczenia zweryfikowanego identyfikatora ze zdjęciem

Niestandardowe typy poświadczeń, korzystające z przepływu zaświadczania idTokenHint, mogą również wystawiać zweryfikowane poświadczenie tożsamości zawierające zdjęcie. Definicja poświadczenia musi zawierać definicję wyświetlania i zasady dotyczące atrybutu zdjęcia.

Definicja wyświetlania dla żądania zdjęcia powinna mieć ustawiony typ na image/jpg;base64url, aby aplikacja Microsoft Authenticator mogła zrozumieć, że powinno być poprawnie renderowane jako zdjęcie.

{ 
  "claim": "vc.credentialSubject.photo", 
  "label": "User picture", 
  "type": "image/jpg;base64url" 
} 

Podczas ustawiania rzeczywistej wartości zdjęcia należy zastosować format UrlEncode(Base64Encode(JPEG image)).

{ 
  "outputClaim": "photo", 
  "required": false, 
  "inputClaim": "photo", 
  "indexed": false 
} 

Uwaga

W przypadku wystawiania poświadczeń niestandardowych ze zdjęciem aplikacje są odpowiedzialne za udostępnienie pliku JPEG do użycia i zakodowanie go.

Prośby o prezentację, w tym weryfikacja tożsamości twarzą

Ładunek JSON do interfejsu API usługi żądań na potrzeby tworzenia żądania prezentacji musi określać, że należy wykonać sprawdzanie twarzy. Oświadczenie zawierające zdjęcie musi być nazwane i opcjonalnie można określić próg ufności jako liczbę całkowitą z zakresu od 50 do 100. Wartość domyślna to 70.

// POST https://verifiedid.did.msidentity.com/v1.0/verifiableCredentials/createPresentationRequest
...
  "requestedCredentials": [
    {
      "type": "VerifiedEmployee",
      "acceptedIssuers": [ "did:web:yourdomain.com" ],
      "configuration": {
        "validation": {
          "allowRevoked": false,
          "validateLinkedDomain": true,
          "faceCheck": {
            "sourcePhotoClaimName": "photo",
            "matchConfidenceThreshold": 70
          }
        }

Pomyślne sprawdzenie twarzy presentation_verified zdarzenia wywołania zwrotnego

Ładunek JSON dla presentation_verified zawiera więcej danych w odpowiedzi, gdy sprawdzenie twarzy zakończyło się sukcesem podczas prezentacji poświadczeń zweryfikowanego ID. Dodano sekcję faceCheck, która zawiera matchConfidenceScore. Należy pamiętać, że nie jest możliwe zażądanie i odebranie potwierdzenia odbioru prezentacji, gdy żądanie zawiera faceCheck.

  "verifiedCredentialsData": [ 
    { 
      "issuer": "did:web:yourdomain.com", 
      "type": [ "VerifiableCredential", "VerifiedEmployee" ], 
      "claims": { 
        ... 
      }, 
      ... 
      "faceCheck": { 
        "matchConfidenceScore": 86.314159,
        "sourcePhotoQuality": "HIGH"
      } 
    } 
  ], 

Sprawdzanie twarzy presentation_verified potwierdzenie zdarzenia wywołania zwrotnego

Jeśli żądanie prezentacji zostało utworzone z prośbą o paragon , wtedy wywołanie zwrotne presentation_verified będzie zawierało atrybut nazwany faceCheck.

{
  "requestId": "11111111-2222-3333-4444-55555555",
  "requestStatus": "presentation_verified",
  "receipt": {
    ...
    "faceCheck": "eyJhbGc...svw"
  },
  ...
}

Wartość atrybutu faceCheck to podpisany token JWT, który jest danymi źródłowymi na potrzeby sprawdzania aktualności. Dekodowanie base64 tokenu JWT daje weryfikowalne poświadczenia typu MicrosoftFaceCheckReceipt. sourceVcJti jest identyfikatorem poświadczeń używanych do dopasowania weryfikacji żywotności.

... 
    "type": [
      "VerifiableCredential",
      "MicrosoftFaceCheckReceipt"
    ],
    "credentialSubject": {
      "faceCheckResults": [
        {
          "sourceVcJti": "urn:pic:4f741111222233334444000000000000",
          "matchConfidenceThreshold": 70,
          "matchConfidenceScore": 86.314159,
          "sourcePhotoQuality": "HIGH"
        }
      ]

Zdarzenie wywołania zwrotnego sprawdzania twarzy nie powiodło się

Gdy współczynnik ufności jest niższy niż próg, żądanie prezentacji nie powiedzie się i presentation_error zostanie zwrócone. Aplikacja weryfikująca nie otrzymuje zwróconego wyniku.

{ 
  "requestId": "...", 
  "requestStatus": "presentation_error", 
  "state": "...", 
  "error": { 
    "code": "claimValidationError", 
    "message": "Match confidence score failing to meet the threshold." 
  } 
} 

Aplikacja Authenticator wyświetla komunikat o błędzie informujący użytkownika, że wynik ufności nie spełnia progu.

Często zadawane pytania dotyczące weryfikacji twarzy przy użyciu identyfikatora Microsoft Entra Verified ID

Co to jest sprawdzanie twarzy?

Funkcja sprawdzania twarzy ze Zweryfikowanym identyfikatorem Microsoft Entra jest funkcją premium w ramach Zweryfikowanego Identyfikatora, używaną do dopasowywania twarzy z poszanowaniem prywatności. Dzięki niej przedsiębiorstwa mogą bezpiecznie, po prostu i na dużą skalę przeprowadzać weryfikacje o wysokiej gwarancji. Funkcja Face Check dodaje krytyczną warstwę zaufania, wykonując dopasowywanie twarzy między selfie użytkownika w czasie rzeczywistym a zdjęciem. Dopasowywanie twarzy jest obsługiwane przez usługi Azure AI.

Jaka jest różnica między sprawdzaniem twarzy i funkcją Face ID?

Face ID to oparta na wizji oferta opcji zabezpieczeń biometrycznych w produktach firmy Apple umożliwiająca odblokowanie urządzenia w celu uzyskania dostępu do aplikacji mobilnej. Funkcja Face Check w ramach usługi Microsoft Entra Verified ID korzysta z wizualnej technologii sztucznej inteligencji, ale porównuje użytkownika z przedstawionym Zweryfikowanym ID. Funkcja face Check określa tożsamość użytkownika w wielu różnych scenariuszach online, w których wymagany jest wysoki poziom bezpieczeństwa. Niektóre przykłady to procesy biznesowe o wysokiej wartości lub dostęp do poufnych informacji firmowych. Oba mechanizmy wymagają od użytkownika stawienia czoła kamerze w procesie, ale działają na różne sposoby.

Czy biometryczna wzrokowa kontrola Face Check jest wykonywana na urządzeniu przenośnym?

L.p. Biometryczne sprawdzenie między zdjęciem a zebranymi danymi na żywo odbywa się w chmurze przy użyciu Azure AI Vision Face API. Przechwytywane podczas procesu selfie użytkownika nie jest udostępniane witrynie potwierdzającej tożsamość.

Co to jest sprawdzenie żywotności twarzy?

Funkcja Sprawdzanie twarzy za pomocą Zweryfikowanego identyfikatora Microsoft Entra używa weryfikacji żywotności interfejsu API rozpoznawania twarzy Azure AI Vision, aby potwierdzić, że na materiale selfie z kamery na urządzeniu użytkownika znajduje się prawdziwa osoba. To sprawdzenie pomaga upewnić się, że statyczne zdjęcie lub wideo 2D przedstawiające użytkownika nie może być używane zamiast jego obecności na żywo.

Co się stanie z danymi dotyczącymi aktywności?

Gdy aparat jest włączony na urządzeniu przenośnym, nagrania na żywo są przechwytywane na urządzeniu przenośnym. Ten materiał jest następnie przekazywany do Verified ID, który używa go do wywoływania usług Azure AI.

Dane nie są przechowywane ani zarządzane przez żadną z usług Microsoft Authenticator, Verified ID ani Azure AI. Ponadto nagranie nie jest udostępniane aplikacji weryfikatora. Aplikacja weryfikatora pobiera tylko współczynnik ufności w zamian. W systemie opartym na sztucznej inteligencji współczynnik ufności jest odpowiedzią procentową prawdopodobieństwa dla zapytania do systemu. W tym scenariuszu współczynnik ufności to prawdopodobieństwo, że zdjęcie użytkownika zweryfikowanego identyfikatora jest zgodne z przechwyceniem użytkownika na urządzeniu przenośnym. Dane i prywatność usług Azure AI Services można znaleźć tutaj.

Ile kosztuje sprawdzanie twarzy?

Aby uzyskać najnowsze informacje na temat rozliczeń i cen użycia, zobacz Cennik firmy Microsoft Entra.

Co zrobić, jeśli nie mogę znaleźć subskrypcji?

Jeśli w okienku Łączenie subskrypcji nie są dostępne żadne subskrypcje, oto kilka możliwych powodów:

Nie masz odpowiednich uprawnień. Pamiętaj, aby zalogować się przy użyciu konta platformy Azure, które ma co najmniej rolę Współautora w ramach subskrypcji lub grupy zasobów w tej subskrypcji.

Istnieje subskrypcja, ale nie jest jeszcze skojarzona z katalogiem. Możesz skojarzyć istniejącą subskrypcję z dzierżawą, a następnie powtórzyć kroki, aby ją powiązać z dzierżawą.

Żadna subskrypcja nie istnieje. W okienku Łączenie subskrypcji możesz utworzyć subskrypcję, wybierając link. Jeśli nie masz jeszcze subskrypcji, możesz ją tutaj utworzyć. Po utworzeniu nowej subskrypcji należy utworzyć w nowej subskrypcji grupę zasobów, a następnie powtórzyć kroki, aby połączyć ją z dzierżawą.

Często zadawane pytania dla deweloperów kontroli twarzy

Czy sprawdzanie twarzy wymaga programu MS Authenticator?

Tak. Sprawdzanie twarzy jest ograniczone do zweryfikowanego użycia identyfikatora w aplikacji MS Authenticator. To ograniczenie zostało wprowadzone, aby zapobiec atakowi typu injection na Face Check. Dla scenariuszy bez sprawdzania twarzy, zestaw SDK portfela jest dostępny dla innych rozwiązań zweryfikowanych identyfikatorów. Więcej informacji można znaleźć tutaj

Jakie jest dopasowanie według procentu pewności i co oznacza pewność?

Organizacje mogą ustalić próg wskaźnika ufności, przy którym aplikacja zaakceptuje Face Check. Wyższy próg oznacza, że jest mniej prawdopodobne, iż osoba podszywająca się zostanie błędnie zaakceptowana. Przy domyślnym współczynniku ufności wynoszącym 50% prawdopodobieństwo, że osoba na selfie na żywo nie jest prawowitym właścicielem poświadczeń, wynosi jeden na 100 000. Wymagany poziom zależy od konkretnego scenariusza, jak publiczny jest punkt wejścia i planowanych użytkowników. Przy 90% poziomie ufności szansa na fałszywie dodatni wynik u użytkownika wynosi jeden na miliard. Wyższy próg powoduje zwiększenie potencjału odrzucenia autoryzowanego użytkownika ze względu na większą wrażliwość aplikacji. Ważne jest, aby znaleźć właściwą równowagę między ustawieniem wysokiego progu wskaźnika ufności, który zabezpiecza aplikację, jednocześnie nie czyniąc jej tak wysokim, że często odrzuca autoryzowanych użytkowników z powodu niewielkich zmian w wyglądzie lub warunków wizualnych otoczenia, takich jak oświetlenie.

Dowiedz się więcej o interfejsie API rozpoznawania twarzy platformy Azure.

Czym jest interfejs API Azure AI Vision do rozpoznawania twarzy?

Azure AI to pakiet usług w chmurze na platformie Azure. Interfejs API usługi Azure AI Vision oferuje usługi wykrywania twarzy, rozpoznawania twarzy, dopasowywania twarzy i sprawdzania żywotności twarzy. Zweryfikowany identyfikator Microsoft Entra używa usług wykrywania twarzy, dopasowywania twarzy i sprawdzania żywotności twarzy podczas wykonywania Sprawdzenia Twarzy. Więcej informacji można znaleźć tutaj.

Jak sprawiedliwy jest API rozpoznawania twarzy usługi Azure AI Vision?

Firma Microsoft przeprowadziła testowanie sprawiedliwości interfejsu API rozpoznawania twarzy. Zespół usług sztucznej inteligencji platformy Azure nieustannie dąży do zapewnienia odpowiedzialnego i inkluzywnego korzystania ze sztucznej inteligencji. Wyświetl raport o uczciwości interfejsu API do rozpoznawania twarzy.

Czy jesteś zgodny z iBeta Level 2?

Tak. Sztuczna inteligencja platformy Azure Face API i funkcja Sprawdzania Twarzy są zgodne ze standardem iBeta Level 2, co zapewnia odporność na różne sposoby ataków prezentacyjnych w celu podszywania się pod użytkownika. Dowiedz się więcej na temat testowania wykrywania ataków prezentacji ISO w usłudze iBeta.

Jak sprawiedliwy jest API rozpoznawania twarzy usługi Azure AI Vision?

Firma Microsoft przeprowadziła testowanie sprawiedliwości interfejsu API rozpoznawania twarzy. Zespół usług Azure AI Services nieustannie dąży do zapewnienia odpowiedzialnego i inkluzywnego korzystania z biometrycznej sztucznej inteligencji. Raport dotyczący uczciwości API rozpoznawania twarzy jest dostępny tutaj.

Jeśli użytkownik niedawno dostał fryzurę, ogolił zarost lub w inny sposób zmienił swój wygląd fizyczny, czy nie będzie mógł ukończyć weryfikacji sprawdzania twarzy?

Funkcja Face Check porównuje selfie użytkownika na żywo ze zdjęciem skojarzonym z zweryfikowanym identyfikatorem. Im mniej użytkownik wygląda jak to zdjęcie, tym niższy jest ich wynik dopasowania. To, czy weryfikacja tożsamości twarzą zostanie zaakceptowana, zależy od tego, jak bardzo różni się użytkownik od swojego wcześniej zapisanego zdjęcia oraz jak wysoki jest próg wskaźnika ufności aplikacji. Jeśli aplikacja ma stosunkowo wysoki próg, zaleca się, aby użytkownicy utrzymywali wygląd fizyczny zgodny z przesłanym zdjęciem weryfikacyjnym tożsamości lub zastąpili zdjęcie takim, które odzwierciedla bieżący wygląd użytkownika.

Kiedy używam funkcji Sprawdzania twarzy, gdzie idą moje dane? Gdzie jest przechowywany?

Obrazy używane podczas sprawdzania twarzy nie są przechowywane długoterminowo. Podczas żądania sprawdzania twarzy selfie jest przechwytywane z urządzenia przenośnego użytkownika. Ten obraz jest następnie przekazywany do Verified ID, który używa go do korzystania z usług AI interfejsu API rozpoznawania twarzy Azure. Po zakończeniu przetwarzania obraz selfie zostanie odrzucony i nie zostanie zapisany na żadnym urządzeniu lub usłudze. Microsoft Authenticator, Zweryfikowany Identyfikator i usługi Azure AI nie będą przechowywać ani zachowywać tych danych. Ponadto przechwycony obraz selfie nie jest udostępniany aplikacji weryfikatora. Aplikacja weryfikatora otrzymuje tylko współczynnik ufności wynikowego dopasowania.

Dane i prywatność usług Azure AI można znaleźć tutaj.

Czy sprawdzanie twarzy przy użyciu weryfikacji za pomocą Microsoft Entra Verified ID odbywa się w portfelu, czy w chmurze?

Usługa Zweryfikowany identyfikator wykonuje proces weryfikacji w chmurze, a nie na urządzeniu. Poświadczenia są przechowywane na urządzeniu użytkownika, aby mieć pełną kontrolę nad użyciem poświadczeń. Użytkownik musi zdecydować się na udostępnienie poświadczeń weryfikatorowi do przetworzenia na potrzeby weryfikacji.

Jakie są wymagania dotyczące zdjęcia w zweryfikowanych identyfikatorach?

Zdjęcie powinno być jasne i ostre w jakości i nie mniejsze niż 200 pikseli x 200 pikseli. Twarz powinna być wyśrodkowana na obrazie i widoczna. Maksymalny rozmiar zdjęcia w poświadczeniu to 1 MB. Należy pamiętać, że posiadanie większego obrazu nie gwarantuje lepszego wyniku. Dobre mniejsze zdjęcie jest lepsze niż duży zły.

Więcej informacji na temat ulepszania dokładności przetwarzania zdjęć można znaleźć tutaj

Więcej informacji na temat weryfikowalnych limitów rozmiaru poświadczeń można znaleźć tutaj

Następne kroki

• Dowiedz się, jak skonfigurować dzierżawę do używania zweryfikowanego identyfikatora Microsoft Entra i korzystać z konta MyAccount.
• Dowiedz się, jak wydawać poświadczenia Microsoft Entra Verified ID z aplikacji internetowej.
• Dowiedz się, jak zweryfikować poświadczenia Microsoft Entra Verified ID.