Compartilhar via

Como usar a Verificação Facial com ID Verificada do Entra e realizar verificações de alta segurança em escala

  • Artigo

A Verificação Facial é uma correspondência facial que respeita a privacidade. Ela permite que as empresas realizem verificações de alta garantia com segurança, simplicidade e em escala. A Verificação Facial adiciona uma camada crítica de confiança fazendo a correspondência facial entre a selfie em tempo real de um usuário e uma foto. A correspondência facial pertence à plataforma de serviços de IA do Azure. Ao compartilhar apenas os resultados da correspondência e não quaisquer dados confidenciais de identidade, a Verificação Facial protege a privacidade do usuário, permitindo que as organizações verifiquem se a pessoa que alega uma identidade é realmente ela.

Captura de tela do uso da Verificação Facial.

Pré-requisitos

A Verificação Facial é um recurso premium disponível na ID Verificada. Antes de começar a fazer verificações com a Verificação Facial, você precisa ativar habilitar o complemento chamado Verificação Facial nas suas configurações da ID Verificada do Microsoft Entra.

Importante

O complemento de Verificação Facial só pode ser habilitado no centro de administração do Microsoft Entra. Suporte à API de administrador para esse recurso.

Configuração da Verificação Facial com a ID Verificada do Entra

  1. Na página de visão geral da ID Verificada, role para baixo até a nova seção Complementos e Enable o complemento de Verificação Facial.

Captura de tela do complemento Verificação Facial.

  1. Na etapa de vinculação de uma assinatura, selecione uma Assinatura, um Grupo de recursos e o Local do recurso. Em seguida, selecione Validate. Se não houver nenhuma assinatura listada, consulte E se eu não conseguir encontrar uma assinatura?

Captura de tela da vinculação da assinatura da Verificação Facial.

  1. Depois da validação, você pode Enable o complemento.

Captura de tela do complemento de Verificação Facial habilitado.

Agora você já pode começar a usar a Verificação Facial em seus aplicativos empresariais.

Introdução à Verificação Facial usando MyAccount

Você pode começar facilmente a usar a Verificação Facial usando MyAccount, que pode emitir credenciais VerifiedEmployee e um aplicativo de teste público que a Microsoft fornece. Para começar, você precisa realizar as seguintes etapas:

  1. Crie um usuário de teste no seu locatário do Microsoft Entra e carregue uma foto de você mesmo
  2. Vá para MyAccount, entre como o usuário de teste e emita uma credencial VerifiedEmployee para o usuário.
  3. Use o aplicativo de teste público para apresentar sua credencial VerifiedEmployee usando a Verificação Facial.

Quando o Microsoft Authenticator recebe uma solicitação de apresentação, incluindo uma Verificação Facial, há um item extra após o tipo de credencial que o usuário é solicitado a compartilhar. Quando o usuário seleciona esse item, a Verificação Facial real é executada, e o usuário pode compartilhar a credencial solicitada e a pontuação de confiança da verificação com o aplicativo de teste público (terceira parte confiável). Você pode examinar os resultados no aplicativo de teste.

Introdução à Verificação Facial usando a API do Serviço de Solicitação

Os aplicativos podem usar a API do Serviço de Solicitação para criar uma solicitação para que os usuários executem uma Verificação Facial em relação a uma credencial VerifiedEmployee, ID do Governo Emitida pelo Estado ou uma credencial digital personalizada com uma foto confiável. Por exemplo, um serviço de suporte técnico pode solicitar uma Verificação Facial em relação a uma credencial VerifiedEmployee para verificar a identidade de forma rápida e segura e habilitar uma ampla variedade de cenários de autoatendimento, incluindo ativar uma chave de transferência ou redefinir uma senha. Para reduzir o risco de conformidade, os aplicativos recebem uma pontuação de confiança para correspondência com a foto da credencial desejada, sem obter acesso aos dados de vida.

Emitindo uma credencial de ID verificada com uma foto

Tipos de credencial personalizados usando o fluxo de atestado idTokenHint também podem emitir uma credencial de ID verificada contendo uma foto. A definição de credencial precisa ter a definição de exibição e regras para a declaração de foto.

A definição de exibição para a declaração de foto deve ter o tipo definido como image/jpg;base64url para permitir que o Microsoft Authenticator entenda que ela deva ser renderizada como uma foto.

{ 
  "claim": "vc.credentialSubject.photo", 
  "label": "User picture", 
  "type": "image/jpg;base64url" 
}

Ao definir o valor real da declaração da foto, ela deve estar em formato UrlEncode(Base64Encode(JPEG image)).

{ 
  "outputClaim": "photo", 
  "required": false, 
  "inputClaim": "photo", 
  "indexed": false 
}

Solicitação de apresentação, incluindo Verificação Facial

Para criar uma solicitação de apresentação, o conteúdo JSON para a API do Serviço de Solicitação precisa especificar que uma Verificação Facial deve ser executada. A declaração que contém a foto deve ser nomeada e você pode, opcionalmente, especificar seu limite de confiança como um inteiro entre 50 e 100. O padrão é 70.

// POST https://verifiedid.did.msidentity.com/v1.0/verifiableCredentials/createPresentationRequest
...
  "requestedCredentials": [
    {
      "type": "VerifiedEmployee",
      "acceptedIssuers": [ "did:web:yourdomain.com" ],
      "configuration": {
        "validation": {
          "allowRevoked": false,
          "validateLinkedDomain": true,
          "faceCheck": {
            "sourcePhotoClaimName": "photo",
            "matchConfidenceThreshold": 70
          }
        }

Evento de retorno de chamada presentation_verified de Verificação Facial bem-sucedido

O conteúdo JSON para presentation_verified tem mais dados quando uma Verificação Facial foi bem-sucedida durante uma apresentação de credencial de ID verificada. A seção faceCheck é adicionada. Ela contém um matchConfidenceScore. Observe que não é possível solicitar e receber o recibo da apresentação quando a solicitação inclui faceCheck.

  "verifiedCredentialsData": [ 
    { 
      "issuer": "did:web:yourdomain.com", 
      "type": [ "VerifiableCredential", "VerifiedEmployee" ], 
      "claims": { 
        ... 
      }, 
      ... 
      "faceCheck": { 
        "matchConfidenceScore": 86.314159,
        "sourcePhotoQuality": "HIGH"
      } 
    } 
  ],

Falha do evento de retorno de chamada de Verificação Facial

Quando a pontuação de confiança é menor que o limite, a solicitação de apresentação falha e um presentation_error é retornado. O aplicativo de verificação não recebe a pontuação retornada.

{ 
  "requestId": "...", 
  "requestStatus": "presentation_error", 
  "state": "...", 
  "error": { 
    "code": "claimValidationError", 
    "message": "Match confidence score failing to meet the threshold." 
  } 
}

O Authenticator exibe uma mensagem de erro informando ao usuário que a pontuação de confiança não conseguiu atingir o limite.

Captura de tela da baixa pontuação de confiança na Verificação Facial.

Perguntas frequentes sobre a Verificação Facial com a ID Verificada do Microsoft Entra

O que é a Verificação Facial?

A ID Verificada do Microsoft Entra é um serviço gerenciado de credenciais verificáveis que deixa as organizações criarem cenários de identidade exclusivos e controlados pelos usuários. Tudo isso por meio de uma rede de emissores, verificadores e apresentadores de credenciais de identidade.

A Verificação Facial com a ID Verificada do Microsoft Entra é uma funcionalidade premium dentro da ID Verificada usada para reconhecimento facial que respeita a privacidade. Ela permite que as empresas realizem verificações de alta garantia com segurança, simplicidade e em escala. A Verificação Facial adiciona uma camada crítica de confiança fazendo a correspondência facial entre a selfie em tempo real de um usuário e uma foto. A correspondência facial pertence à plataforma de serviços de IA do Azure.

Qual é a diferença entre a Verificação Facial e o Face ID?

O Face ID é uma oferta de opção de segurança biométrica baseada em visão em produtos da Apple para desbloquear um dispositivo ao acessar um aplicativo móvel. A Verificação Facial é um recurso de ID verificada do Microsoft Entra que também usa a tecnologia de IA baseada em visão, mas compara o usuário com a ID verificada apresentada. A Verificação Facial determina a identidade do usuário em uma ampla variedade de cenários online em que o acesso de alta garantia é necessário. Alguns exemplos disso são processos de negócios de alto valor ou o acesso a informações confidenciais da empresa. Ambos os mecanismos exigem que um usuário olhe para uma câmera no processo, mas opera de maneiras diferentes.

A verificação de visão biométrica de Verificação Facial é executada no dispositivo móvel?

Não. A verificação biométrica entre a foto e os dados de vida capturados é executada na nuvem, usando a API de Detecção Facial da Visão de IA do Azure. A captura da selfie do usuário durante o processo não é compartilhada com o site que solicitou a verificação de ID.

O que é a verificação de vivacidade facial?

A Verificação Facial com a ID Verificada do Microsoft Entra usa a API de Detecção Facial da Visão de IA do Azure para verificar se a pessoa no vídeo selfie capturado pela câmera do dispositivo do usuário é real. Essa verificação ajuda a garantir que fotos estáticas ou vídeos 2D não sejam usados para simular a presença real do usuário.

O que acontece com os dados de vida obtidos?

Quando a câmera é ativada no dispositivo móvel, as imagens ao vivo são capturadas no dispositivo móvel. Essa filmagem é então passada para a ID verificada que a usa para invocar serviços de serviços de IA do Azure.

Os dados não são armazenados ou mantidos por nenhum dos seguintes serviços: Microsoft Authenticator, ID Verificada ou IA do Azure. Além disso, as imagens também não são compartilhadas com o aplicativo verificador. O aplicativo verificador obtém apenas a pontuação de confiança em troca. Em um sistema baseado em IA, a pontuação de confiança é a resposta percentual de probabilidade para uma consulta ao sistema. Para esse cenário, a pontuação de confiança é a probabilidade de a foto do usuário da ID verificada corresponder à captura do usuário no dispositivo móvel. Os dados e a privacidade dos Serviços de IA do Azure podem ser encontrados aqui.

Quanto custa a Verificação Facial?

Para obter as informações mais recentes sobre cobrança de uso e preços, consulte Preços do Microsoft Entra.

Perguntas frequentes para Desenvolvedores de Verificação Facial

A verificação facial requer o Microsoft Authenticator?

Sim. O uso da Verificação Facial está limitada à ID Verificada com o MS Authenticator. Essa restrição existe para evitar ataques de injeção na Verificação Facial. Para cenários de verificação não facial, um Wallet SDK está disponível para outras soluções da ID verificada. Mais informações aqui

O que é a porcentagem de confiança e o que significa confiança?

A Verificação Facial utiliza o mesmo limite padrão de confiança que o Windows Hello para Empresas para realizar os reconhecimentos. Os desenvolvedores têm a flexibilidade de ajustar esse limite para mais ou para menos, conforme a necessidade do cenário de uso. Quanto maior a pontuação de confiança, menor é a chance de um reconhecimento ser um falso positivo.

O que é a API de Detecção Facial da Visão de IA do Azure?

A IA do Azure é um conjunto de serviços de nuvem na Plataforma do Azure. A API de Detecção Facial da Visão de IA do Azure oferece serviços para detecção facial, reconhecimento facial, correspondência facial e verificação de atividade. O Microsoft Entra Verified ID usa os serviços de detecção facial, correspondência facial e verificação de atividade facial ao executar o FaceCheck. Mais informações podem ser aqui.

Quão imparcial é a API de Detecção Facial da Visão de IA do Azure?

A Microsoft realizou testes de imparcialidade na API de Detecção Facial. A equipe dos serviços de IA do Azure está empenhada em garantir o uso responsável e inclusivo da IA. Confira o relatório de imparcialidade da API de Detecção Facial.

E se eu não encontrar uma assinatura?

Se não houver assinaturas disponíveis no painel Vincular uma assinatura, estes serão alguns motivos possíveis:

Você não tem as permissões apropriadas. Certifique-se de entrar com uma conta do Azure que tenha pelo menos a função Colaborador na assinatura ou um grupo de recursos na assinatura.

Há uma assinatura, mas ainda não está associada ao diretório. Você pode associar uma assinatura existente ao seu locatário e, em seguida, repetir as etapas para vinculá-la a ele.

Não ná nenhuma assinatura. No painel Vincular uma assinatura, você pode criar uma assinatura selecionando o link Se você ainda não tem uma assinatura, crie uma aqui. Depois de criar uma assinatura, você precisará criar um grupo de recursos na nova assinatura e, em seguida, repetir as etapas para vinculá-la ao seu locatário.

Ela é compatível com o iBeta Level 2?

Sim. A API de Detecção Facial de IA do Azure e a Verificação Facial estão em conformidade com o nível 2 do iBeta, resistindo a diferentes estilos de apresentação de ataques que tentam usurpar a identidade de um usuário. Saiba mais sobre o teste de Detecção de Ataques de Apresentação ISO da iBeta.

Quais são os requisitos para a foto de uma ID verificada?

A foto deve ser clara, de alta qualidade e ter no mínimo 200 pixels x 200 pixels. O rosto deve estar centralizado e visível na imagem. Encontre mais informações sobre como pontos faciais são detectados na imagem aqui.

Mais informações sobre como pontos faciais são detectados na imagem podem ser encontradas aqui

Próximas etapas