Compartilhar via

Tutorial para configurar o Onfido com o Azure Active Directory B2C

Importante

A partir de 1º de maio de 2025, o Azure AD B2C não estará mais disponível para compra para novos clientes. Saiba mais em nossas perguntas frequentes.

Neste tutorial, saiba como integrar o Azure AD B2C (Azure Active Directory B2C) ao Onfido, um aplicativo de verificação de ID de documento e biometria facial. Use-o para atender aos requisitos de identidade e de Conheça Seu Cliente. O Onfido usa a tecnologia de IA (inteligência artificial) que verifica a identidade combinando uma ID de foto com biometria facial. A solução conecta uma identidade digital a uma pessoa, fornece uma experiência de integração confiável e ajuda a reduzir fraudes.

Neste tutorial, você permitirá que o serviço Onfido verifique a identidade no fluxo de inscrição ou entrada. Os resultados do Onfido informam decisões sobre quais produtos ou serviços o usuário acessa.

Pré-requisitos

Para começar, você precisará de:

Descrição do cenário

A integração do Onfido inclui os seguintes componentes:

  • Locatário do Azure AD B2C – o servidor de autorização que verifica as credenciais do usuário com base nas políticas personalizadas definidas no locatário. Também é conhecido como IdP (provedor de identidade). Ele hospeda o aplicativo cliente Onfido, que coleta os documentos do usuário e os transmite para o serviço de API onfido.
  • Cliente Onfido – um utilitário de coleta de documentos cliente JavaScript configurável implantado em páginas da Web. Ele verifica detalhes como tamanho e qualidade do documento.
  • API REST intermediária – fornece endpoints para que o locatário do Azure AD B2C se comunique com o serviço de API Onfido. Ele lida com o processamento de dados e segue os requisitos de segurança de ambos.
  • Serviço de API do Onfido – o serviço de back-end, que salva e verifica documentos do usuário.

O diagrama de arquitetura a seguir mostra a implementação.

Diagrama de arquitetura onfido.

  1. O usuário se inscreve para criar uma nova conta e insere atributos. O Azure AD B2C coleta os atributos. O aplicativo cliente Onfido hospedado no Azure AD B2C verifica as informações do usuário.
  2. O Azure AD B2C chama a API da camada intermediária e passa os atributos.
  3. A API de camada intermediária coleta atributos e os converte em um formato de API onfido.
  4. O Onfido processa atributos para validar a identificação do usuário e envia o resultado para a API de camada intermediária.
  5. A API de camada intermediária processa os resultados e envia informações relevantes para o Azure AD B2C, no formato JSON (JavaScript Object Notation).
  6. O Azure AD B2C recebe as informações. Se a resposta falhar, uma mensagem de erro será exibida. Se a resposta for bem-sucedida, o usuário será autenticado e gravado no diretório.

Criar uma conta do Onfido

  1. Crie uma conta do Onfido: acesse onfido.com Entre em contato conosco e preencha o formulário.
  2. Crie uma chave de API: vá para Introdução (API v3.5).

Observação

Você precisará da chave mais tarde.

Documentação do Onfido

As chaves dinâmicas são faturáveis, mas você pode usar chaves de área restrita para testar. Vá para onfido.com, Área restrita e diferenças dinâmicas. As chaves de área restrita produzem a mesma estrutura de resultado que as chaves dinâmicas, mas os resultados são predeterminados. Os documentos não são processados ou salvos.

Para obter mais documentação do Onfido, consulte:

Configurar o Azure AD B2C com o Onfido

Implantar a API

  1. Implante o código da API em um serviço do Azure. Vá para exemplos/OnFido-Combined/API/Onfido.Api/. Você pode publicar o código no Visual Studio.
  2. Configure o CORS (compartilhamento de recursos entre origens).
  3. Adicione a Origem Permitida como https://{your_tenant_name}.b2clogin.com.

Observação

Você precisará da URL de serviço implantada para configurar a ID do Microsoft Entra.

Adicionando configurações confidenciais

Defina as configurações do aplicativo no Serviço de Aplicativo do Azure sem fazer check-in delas em um repositório.

Configurações da API REST:

  • Nome da configuração do aplicativo: OnfidoSettings:AuthToken
  • Fonte: Conta onfido

Implantar a interface

Configurar o local de armazenamento

  1. No portal do Azure, crie um contêiner.
  2. Armazene os arquivos de interface do usuário em /samples/OnFido-Combined/UI, no contêiner de blob.
  3. Permita acesso do CORS ao contêiner de armazenamento que você criou: vá para Configurações>Origem Permitida.
  4. Digite https://{your_tenant_name}.b2clogin.com.
  5. Substitua o nome do locatário pelo nome do locatário do Azure AD B2C usando letras minúsculas. Por exemplo, https://fabrikam.b2clogin.com.
  6. Para métodos permitidos, selecione GET e PUT.
  7. Clique em Salvar.

Atualizar arquivos da interface do usuário

  1. Nos arquivos da interface de usuário (UI), vá para samples/OnFido-Combined/UI/ocean_blue.
  2. Abra cada arquivo html.
  3. Encontre {your-ui-blob-container-url} e substitua-o pelas URLs das suas pastas ocean_blue, dist e assets da interface do usuário.
  4. Encontre {your-intermediate-api-url}, e substitua-o pela URL intermediária do serviço de aplicativo API.

Carregar seus arquivos

  1. Armazene os arquivos da pasta UI no contêiner de blob.
  2. Use o Gerenciador de Armazenamento do Azure para gerenciar discos gerenciados do Azure e permissões de acesso.

Configurar o Azure AD B2C

Substituir os valores de configuração

Em /samples/OnFido-Combined/Policies, localize os espaços reservados a seguir e substitua-os pelos valores correspondentes de sua instância.

Espaço reservado Substituir pelo valor Exemplo
{your_tenant_name} Seu nome curto de locatário "seu locatário" de yourtenant.onmicrosoft.com
{your_tenantID} Sua TenantID do Azure AD B2C aaaabbbb-0000-cccc-1111-dddd2222eeee
{your_tenant_IdentityExperienceFramework_appid} ID do aplicativo IdentityExperienceFramework configurada no seu locatário do Azure AD B2C 00001111-AAAA-2222-BBBB-3333CCCC4444
{your_tenant_ ProxyIdentityExperienceFramework_appid} ID do aplicativo ProxyIdentityExperienceFramework configurada no seu locatário do Azure AD B2C 00001111-AAAA-2222-BBBB-3333CCCC4444
{your_tenant_extensions_appid} ID do aplicativo de armazenamento do seu locatário 00001111-AAAA-2222-BBBB-3333CCCC4444
{your_tenant_extensions_app_objectid} ID de objeto do aplicativo de armazenamento do seu locatário aaaabbbb-0000-cccc-1111-dddd2222eeee
{your_app_insights_instrumentation_key} Chave de instrumentação da instância de insights do aplicativo* 00001111-AAAA-2222-BBBB-3333CCCC4444
{your_ui_file_base_url} URL de localização de suas pastas de interface do usuário ocean_blue, dist e ativos https://yourstorage.blob.core.windows.net/UI/
{your_app_service_URL} A URL do serviço de aplicativo que você configurou https://yourapp.azurewebsites.net

*Insights do aplicativo pode estar em um locatário diferente. Esta etapa é opcional. Remova os TechnicalProfiles e OrchestrationSteps correspondentes, se eles não forem necessários.

Configurar a política do Azure AD B2C

Consulte o pacote inicial de políticas personalizadas para obter instruções para configurar seu locatário do Azure AD B2C e configurar políticas. As políticas personalizadas são um conjunto de arquivos XML que você carrega no locatário do Azure AD B2C para definir perfis técnicos e percursos do usuário.

Observação

Recomendamos que você adicione uma notificação de consentimento na página da coleção de atributos. Notifique os usuários de que as informações vão para serviços de terceiros para verificação de identidade.

Testar o fluxo de usuário

  1. Abra o locatário do Azure AD B2C.
  2. Em Políticas , selecione Identity Experience Framework.
  3. Selecione o SignUpSignIn criado anteriormente.
  4. Selecione Executar fluxo do usuário.
  5. Para o Aplicativo, selecione o aplicativo registrado (exemplo é JWT).
  6. Para a URL de Resposta, selecione a URL de redirecionamento.
  7. Selecione Executar fluxo do usuário.
  8. Conclua o fluxo de inscrição.
  9. Crie uma conta.
  10. Quando o atributo de usuário é criado, Onfido é chamado durante o fluxo.

Observação

Se o fluxo estiver incompleto, confirme se o usuário foi salvo no diretório.

Próximas etapas