Usar a Verificação Facial com a ID verificada do Microsoft Entra e desbloqueie verificações de alta garantia em escala

A Verificação Facial é uma correspondência facial que respeita a privacidade. Ela permite que as empresas realizem verificações de alta garantia com segurança, simplicidade e em escala. A Verificação Facial adiciona uma camada crítica de confiança fazendo a correspondência facial entre a selfie em tempo real de um usuário e uma foto. A correspondência facial pertence à plataforma de serviços de IA do Azure. A Verificação Facial protege a privacidade do usuário compartilhando apenas os resultados da correspondência e não os dados de identidade confidenciais, permitindo que as organizações verifiquem se a pessoa que alega uma identidade é realmente quem diz.

Pré-requisitos

A Verificação Facial é um recurso premium disponível na ID Verificada. Você precisa habilitar o Complemento de Verificação Facial na configuração da ID Verificada do Microsoft Entra antes de fazer verificações de Verificação Facial.

• Verifique se o ID verificado do Microsoft Entra está configurado em seu locatário antes de usar a Verificação Facial.
• Associar ou adicionar uma assinatura do Azure ao locatário do Microsoft Entra
• O usuário que estiver configurando a Verificação Facial precisa ter a função Colaborador na assinatura do Azure

Configurando a verificação facial com o ID verificado do Microsoft Entra

O Complemento de Verificação Facial pode ser habilitado de duas maneiras no Centro de Administração do Microsoft Entra ou usando a API Rest do ARM (Azure Resource Manager) por meio da CLI. Se você usar a Verificação Facial em um locatário com a licença do Microsoft Entra Suite, a Verificação Facial estará habilitada no nível do locatário e a configuração se aplicará a todas as autoridades dentro desse locatário. Para qualquer outra licença, você pode habilitar a Verificação Facial individualmente por cada autoridade em seu locatário usando a API Rest do ARM (Azure Resource Manager).

Observação

A API REST do ARM para o ID Verificado do Microsoft Entra está atualmente em versão prévia pública.

Configurar a Verificação Facial com a ID verificada do Microsoft Entra no Centro de Administração

1. Na página de visão geral da ID Verificada, role para baixo até a nova seção Complementos e Enable o complemento de Verificação Facial.

2. Na etapa de vinculação de uma assinatura, selecione uma Assinatura, um Grupo de recursos e o Local do recurso. Em seguida, selecione Validate. Se não houver nenhuma assinatura listada, consulte E se eu não conseguir encontrar uma assinatura?

3. Depois da validação, você pode Enable o complemento.

Agora você já pode começar a usar a Verificação Facial em seus aplicativos empresariais.

Configurar a Verificação Facial com a ID Verificada do Microsoft Entra usando a API Rest do ARM (Azure Resource Manager)

Observação

A API REST do ARM para o ID Verificado do Microsoft Entra está atualmente em versão prévia pública.

Para configurar o Complemento de Verificação Facial em uma determinada autoridade, você deve ter as ferramentas do Azure PowerShell em seu computador. O mecanismo abaixo encapsula a chamada REST. Como alternativa, você pode usar a API REST PUT do ARM (Azure Resource Manager) adequadamente

1. Execute o comando a seguir no PowerShell

az login --tenant  <tenant ID>

1. Selecione a assinatura na qual você deseja habilitar a cobrança de Verificação Facial

2. Executar o seguinte comando

az rest --method PUT --uri /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.VerifiedId/authorities/<authority-id>?api-version=2024-01-26-preview --body "{'location':'<rp-location>'}"

• substituir <subscription-id> pela ID da assinatura
• substitua <resource-group-name> pelo nome do grupo de recursos
• substitua <authority-id> pelo ID da autoridade. Você pode obter o authority-id usando a chamada GET Authorities da API de Administrador.
• substitua <rp-location> usando um dos dois valores a seguir:
  • Para locatários da EU, use northeurope
  • Para uso fora da UE westus2

O Complemento de Verificação Facial agora está habilitado em seu locatário.

Introdução à Verificação Facial usando MyAccount

Você pode começar facilmente a usar a Verificação Facial usando MyAccount, que pode emitir credenciais VerifiedEmployee e um aplicativo de teste público que a Microsoft fornece. Para começar, você precisa realizar as seguintes etapas:

1. Crie um usuário de teste no seu locatário do Microsoft Entra e carregue uma foto de você mesmo
2. Vá para MyAccount, entre como o usuário de teste e emita uma credencial VerifiedEmployee para o usuário.
3. Use o aplicativo de teste público para apresentar sua credencial VerifiedEmployee usando a Verificação Facial.

Quando o Microsoft Authenticator recebe uma solicitação de apresentação, incluindo uma Verificação Facial, há um item extra após o tipo de credencial que o usuário é solicitado a compartilhar. Quando o usuário seleciona esse item, a Verificação Facial real é executada, e o usuário pode compartilhar a credencial solicitada e a pontuação de confiança da verificação com o aplicativo de teste público (terceira parte confiável). Você pode examinar os resultados no aplicativo de teste.

Observação

A MyAccount usa a foto de perfil do usuário do Entra ID ao emitir a credencial VerifiedEmployee. Você pode recuperar sua foto por meio da API do Microsoft Graph https://graph.microsoft.com/v1.0/me/photos/240x240/$value

Introdução à Verificação Facial usando a API do Serviço de Solicitação

Os aplicativos podem usar a API do Serviço de Solicitação para criar uma solicitação para que os usuários executem uma Verificação Facial em relação a uma credencial VerifiedEmployee, ID do Governo Emitida pelo Estado ou uma credencial digital personalizada com uma foto confiável. Por exemplo, um serviço de suporte técnico pode solicitar uma Verificação Facial em relação a uma credencial VerifiedEmployee para verificar a identidade de forma rápida e segura e habilitar uma ampla variedade de cenários de autoatendimento, incluindo ativar uma chave de transferência ou redefinir uma senha. Para reduzir o risco de conformidade, os aplicativos recebem uma pontuação de confiança para correspondência com a foto da credencial desejada, sem obter acesso aos dados de atividade.

Emitindo uma credencial de ID verificada com uma foto

Tipos de credencial personalizados usando o fluxo de atestado idTokenHint também podem emitir uma credencial de ID verificada contendo uma foto. A definição de credencial precisa ter a definição de exibição e regras para a declaração de foto.

A definição de exibição para a declaração de foto deve ter o tipo definido como image/jpg;base64url para permitir que o Microsoft Authenticator entenda que ela deva ser renderizada como uma foto.

{ 
  "claim": "vc.credentialSubject.photo", 
  "label": "User picture", 
  "type": "image/jpg;base64url" 
} 

Ao definir o valor real da declaração da foto, ela deve estar em formato UrlEncode(Base64Encode(JPEG image)).

{ 
  "outputClaim": "photo", 
  "required": false, 
  "inputClaim": "photo", 
  "indexed": false 
} 

Observação

Ao emitir uma credencial personalizada com uma foto, é responsabilidade dos aplicativos fornecer o JPEG para ser usado e codificá-lo.

Solicitações de apresentação, incluindo Verificação Facial

Para criar uma solicitação de apresentação, o conteúdo JSON para a API do Serviço de Solicitação precisa especificar que uma Verificação Facial deve ser executada. A declaração que contém a foto deve ser nomeada e você pode especificar seu limite de confiança como um inteiro entre 50 e 100. O padrão é 70.

// POST https://verifiedid.did.msidentity.com/v1.0/verifiableCredentials/createPresentationRequest
...
  "requestedCredentials": [
    {
      "type": "VerifiedEmployee",
      "acceptedIssuers": [ "did:web:yourdomain.com" ],
      "configuration": {
        "validation": {
          "allowRevoked": false,
          "validateLinkedDomain": true,
          "faceCheck": {
            "sourcePhotoClaimName": "photo",
            "matchConfidenceThreshold": 70
          }
        }

Evento de retorno de chamada presentation_verified de Verificação Facial bem-sucedido

O conteúdo JSON para presentation_verified tem mais dados na resposta quando uma Verificação Facial foi bem-sucedida durante uma apresentação de credencial de ID Verificada. A seção faceCheck é adicionada, que contém um matchConfidenceScore. Observe que não é possível solicitar e receber o recibo da apresentação quando a solicitação inclui faceCheck.

  "verifiedCredentialsData": [ 
    { 
      "issuer": "did:web:yourdomain.com", 
      "type": [ "VerifiableCredential", "VerifiedEmployee" ], 
      "claims": { 
        ... 
      }, 
      ... 
      "faceCheck": { 
        "matchConfidenceScore": 86.314159,
        "sourcePhotoQuality": "HIGH"
      } 
    } 
  ], 

Recibo de evento de retorno de chamada presentation_verified de Verificação Facial

Se a solicitação de apresentação foi criada pedindo um recibo, então o retorno de chamada presentation_verified conterá um atributo chamado faceCheck.

{
  "requestId": "11111111-2222-3333-4444-55555555",
  "requestStatus": "presentation_verified",
  "receipt": {
    ...
    "faceCheck": "eyJhbGc...svw"
  },
  ...
}

O valor do atributo faceCheck é um token JWT assinado que é dado de origem para a verificação de atividade. A decodificação base64 do token JWT fornece uma credencial verificável do tipo MicrosoftFaceCheckReceipt. O sourceVcJti é a identidade da credencial usada para corresponder à verificação de atividade.

... 
    "type": [
      "VerifiableCredential",
      "MicrosoftFaceCheckReceipt"
    ],
    "credentialSubject": {
      "faceCheckResults": [
        {
          "sourceVcJti": "urn:pic:4f741111222233334444000000000000",
          "matchConfidenceThreshold": 70,
          "matchConfidenceScore": 86.314159,
          "sourcePhotoQuality": "HIGH"
        }
      ]

Falha do evento de retorno de chamada de Verificação Facial

Quando a pontuação de confiança é menor que o limite, a solicitação de apresentação falha e um presentation_error é retornado. O aplicativo de verificação não recebe a pontuação retornada.

{ 
  "requestId": "...", 
  "requestStatus": "presentation_error", 
  "state": "...", 
  "error": { 
    "code": "claimValidationError", 
    "message": "Match confidence score failing to meet the threshold." 
  } 
} 

O Authenticator exibe uma mensagem de erro informando ao usuário que a pontuação de confiança não conseguiu atingir o limite.

Perguntas frequentes sobre a Verificação Facial com a ID Verificada do Microsoft Entra

O que é a Verificação Facial?

A Verificação Facial com a ID Verificada do Microsoft Entra é uma funcionalidade premium dentro da ID Verificada usada para reconhecimento facial que respeita a privacidade. Ela permite que as empresas realizem verificações de alta garantia com segurança, simplicidade e em escala. A Verificação Facial adiciona uma camada crítica de confiança fazendo a correspondência facial entre a selfie em tempo real de um usuário e uma foto. A correspondência facial pertence à plataforma de serviços de IA do Azure.

Qual é a diferença entre a Verificação Facial e o Face ID?

O Face ID é uma oferta de opção de segurança biométrica baseada em visão em produtos da Apple para desbloquear um dispositivo ao acessar um aplicativo móvel. A Verificação Facial é um recurso da ID Verificada do Microsoft Entra que também usa a tecnologia de IA baseada em visão, mas compara o usuário com a ID Verificada apresentada. A Verificação Facial determina a identidade do usuário em uma ampla variedade de cenários online em que o acesso de alta garantia é necessário. Alguns exemplos disso são processos de negócios de alto valor ou o acesso a informações confidenciais da empresa. Ambos os mecanismos exigem que um usuário olhe para uma câmera no processo, mas opera de maneiras diferentes.

A verificação de visão biométrica da Verificação Facial é executada no dispositivo móvel?

Não. A verificação biométrica entre a foto e os dados de vida capturados é executada na nuvem, usando a API de Detecção Facial da Visão de IA do Azure. A captura da selfie do usuário durante o processo não é compartilhada com o site que solicitou a verificação de ID.

O que é a verificação de atividade facial?

A Verificação Facial com a ID Verificada do Microsoft Entra usa a verificação de atividade da API da Visão de IA do Azure para verificar se é uma pessoa real no vídeo selfie capturado pela câmera do dispositivo do usuário. Essa verificação ajuda a garantir que fotos estáticas ou vídeos 2D não sejam usados para simular a presença real do usuário.

O que acontece com os dados de atividade obtidos?

Quando a câmera é ativada no dispositivo móvel, as imagens ao vivo são capturadas no dispositivo móvel. Essa filmagem é então passada para a ID verificada que a usa para invocar serviços de serviços de IA do Azure.

Os dados não são armazenados ou mantidos por nenhum dos seguintes serviços: Microsoft Authenticator, ID Verificada ou IA do Azure. Além disso, as imagens também não são compartilhadas com o aplicativo verificador. O aplicativo verificador obtém apenas a pontuação de confiança em troca. Em um sistema baseado em IA, a pontuação de confiança é a resposta percentual de probabilidade para uma consulta ao sistema. Para esse cenário, a pontuação de confiança é a probabilidade de a foto do usuário da ID verificada corresponder à captura do usuário no dispositivo móvel. Os dados e a privacidade dos Serviços de IA do Azure podem ser encontrados aqui.

Quanto custa a Verificação Facial?

Para obter as informações mais recentes sobre cobrança de uso e preços, consulte Preços do Microsoft Entra.

E se eu não encontrar uma assinatura?

Se não houver assinaturas disponíveis no painel Vincular uma assinatura, estes serão alguns motivos possíveis:

Você não tem as permissões apropriadas. Certifique-se de entrar com a conta do Azure com pelo menos a função Colaborador dentro da assinatura ou um grupo de recursos dentro da assinatura.

Há uma assinatura, mas ainda não está associada ao diretório. Você pode associar uma assinatura existente ao seu locatário e, em seguida, repetir as etapas para vinculá-la a ele.

Não ná nenhuma assinatura. No painel Vincular uma assinatura, você pode criar uma assinatura selecionando o link; se ainda não tiver uma assinatura, poderá criá-la aqui. Depois de criar uma assinatura, você precisará criar um grupo de recursos na nova assinatura e, em seguida, repetir as etapas para vinculá-la ao seu locatário.

Perguntas frequentes para Desenvolvedores de Verificação Facial

A verificação facial requer o Microsoft Authenticator?

Sim. O uso da Verificação Facial está limitada à ID Verificada com o MS Authenticator. Essa restrição existe para evitar ataques de injeção na Verificação Facial. Para cenários de verificação não facial, um Wallet SDK está disponível para outras soluções da ID verificada. Mais informações aqui

O que é a porcentagem de confiança e o que significa confiança?

As organizações podem escolher o limite de pontuação de confiança para que o aplicativo aceite uma verificação facial. Um limite mais alto significa que é menos provável que um representador seja falsamente aceito. Na pontuação de confiança padrão de 50%, a chance de que a pessoa na selfie ao vivo não seja o proprietário da credencial de direito é uma em 100.000. O nível necessário depende do cenário específico, do quão público é o ponto de entrada e dos usuários planejados. Com uma pontuação de confiança de 90%, essa chance de usuário falso positivo é de uma em um bilhão. Um limite mais alto resulta no aumento do potencial de rejeição de um usuário autorizado devido à maior sensibilidade do aplicativo. É importante encontrar o equilíbrio certo entre definir um limite de pontuação de confiança alta que protege seu aplicativo, ao mesmo tempo em que não o torna tão alto que geralmente rejeita usuários autorizados devido a pequenas alterações na aparência ou às condições visuais dos arredores, como iluminação.

Saiba mais sobre os API de Detecção Facial do Azure.

O que é a API de Detecção Facial da Visão de IA do Azure?

A IA do Azure é um conjunto de serviços de nuvem na Plataforma do Azure. A API de Detecção Facial da Visão de IA do Azure oferece serviços para detecção facial, reconhecimento facial, correspondência facial e verificação de atividade. A ID Verificada do Microsoft Entra usa os serviços de detecção facial, correspondência facial e verificação de atividade facial ao executar o FaceCheck. Mais informações podem ser aqui.

Quão imparcial é a API de Detecção Facial da Visão de IA do Azure?

A Microsoft realizou testes de imparcialidade na API de Detecção Facial. A equipe dos serviços de IA do Azure está empenhada em garantir o uso responsável e inclusivo da IA. Confira o relatório de imparcialidade da API de Detecção Facial.

Ela é compatível com o iBeta Level 2?

Sim. A API de Detecção Facial de IA do Azure e a Verificação Facial estão em conformidade com o nível 2 do iBeta, resistindo a diferentes estilos de apresentação de ataques que tentam usurpar a identidade de um usuário. Saiba mais sobre o teste de Detecção de Ataques de Apresentação ISO da iBeta.

Quão imparcial é a API de Detecção Facial da Visão de IA do Azure?

A Microsoft realizou testes de imparcialidade na API de Detecção Facial. A equipe dos Serviços de IA do Azure está continuamente se esforçando para garantir o uso responsável e inclusivo da IA biométrica. O relatório de Imparcialidade da API de Detecção Facial está disponível aqui.

Se um usuário tiver cortado o cabelo, raspado os pelos faciais ou alterado a aparência física recentemente, ele não poderá concluir uma verificação de Detecção Facial?

A Verificação Facial compara a selfie ao vivo de um usuário com a foto associada ao seu ID Verificado. Quanto menos o usuário se parecer com essa foto, menor será a pontuação de correspondência. A aceitação da Verificação Facial dependerá de quão diferente o usuário aparece atualmente em relação à foto salva anteriormente e quão alto é o limite de pontuação de confiança do aplicativo. Se o aplicativo tiver um limite relativamente alto, é recomendável que os usuários mantenham uma aparência física consistente com a foto de ID verificada carregada ou substituam a foto por uma que reflita a aparência atual do usuário.

Depois de usar a Detecção Facial, para onde vão meus dados? Onde eles são armazenados?

As imagens usadas durante a Verificação Facial não são armazenadas a longo prazo. Durante uma solicitação de Verificação Facial, uma selfie é capturada do dispositivo móvel do usuário. Essa imagem é então passada para o ID Verificado, que a usa para invocar os serviços de IA de API de Detecção Facial do Azure. Uma vez concluído o processamento, a imagem da selfie é descartada e não é salva em nenhum dispositivo ou serviço. O Microsoft Authenticator, o ID verificado e os Serviços de IA do Azure NÃO armazenam ou mantêm esses dados. Além disso, a imagem de selfie capturada também não é compartilhada com o aplicativo verificador. O aplicativo verificador recebe apenas uma pontuação de confiança da correspondência resultante.

Os dados e a privacidade dos Serviços de IA do Azure podem ser encontrados aqui.

A Verificação Facial com a ID Verificada do Microsoft Entra acontece na carteira ou na nuvem?

O serviço de ID verificado executa o processo de verificação na nuvem, não no dispositivo. As credenciais são armazenadas no dispositivo de um usuário para que ele tenha controle total do uso de uma credencial. Um usuário deve optar por compartilhar uma credencial com um verificador para que ela seja processada para verificação.

Quais são os requisitos para a foto de uma ID verificada?

A foto deve ser clara, de alta qualidade e ter no mínimo 200 pixels x 200 pixels. O rosto deve estar centralizado e visível na imagem. O tamanho máximo da foto na credencial é de 1 MB. Observe que ter uma imagem maior não garante um resultado melhor. Uma boa foto menor é melhor do que uma grande e ruim.

Mais informações sobre como melhorar a precisão do processamento de fotos podem ser encontradas aqui

Mais informações sobre os limites de dimensionamento de credenciais verificáveis podem ser encontradas aqui

Próximas etapas

• Saiba como configurar seu locatário da ID Verificada do Microsoft Entra e usar a MyAccount.
• Saiba como emitir credenciais de ID Verificada do Microsoft Entra usando um aplicativo Web.
• Saiba como verificar as credenciais da ID Verificada do Microsoft Entra.