Partilhar via

Tutorial para configurar o Onfido com o Azure Active Directory B2C

  • Artigo

Neste tutorial, saiba como integrar o Azure Active Directory B2C (Azure AD B2C) com o Onfido, um ID de documento e uma aplicação de verificação de biometria facial. Utilize-o para cumprir os requisitos de identidade e o Seu Cliente . O Onfido utiliza tecnologia de inteligência artificial (IA) que verifica a identidade ao combinar um ID de fotografia com biometria facial. A solução liga uma identidade digital a uma pessoa, proporciona uma experiência de integração fiável e ajuda a reduzir a fraude.

Neste tutorial, irá ativar o serviço Onfido para verificar a identidade no fluxo de inscrição ou início de sessão. Os resultados onfido informam as decisões sobre os produtos ou serviços aos quais o utilizador acede.

Pré-requisitos

Para começar, terá de:

Descrição do cenário

A integração do Onfido inclui os seguintes componentes:

  • Azure AD inquilino B2C – o servidor de autorização que verifica as credenciais de utilizador com base em políticas personalizadas definidas no inquilino. Também é conhecido como o fornecedor de identidade (IdP). Aloja a aplicação cliente Onfido, que recolhe os documentos do utilizador e os transmite para o serviço API Onfido.
  • Cliente Onfido – um utilitário de coleção de documentos de cliente JavaScript configurável implementado em páginas Web. Verifica os detalhes, como o tamanho e a qualidade do documento.
  • API REST Intermédia – fornece pontos finais para que o inquilino do Azure AD B2C comunique com o serviço API Onfido. Trata do processamento de dados e cumpre os requisitos de segurança de ambos.
  • Serviço de API Onfido – o serviço de back-end, que guarda e verifica documentos de utilizador.

O seguinte diagrama de arquitetura mostra a implementação.

Diagrama de arquitetura onfido.

  1. O utilizador inscreve-se para criar uma nova conta e introduz atributos. Azure AD B2C recolhe os atributos. A aplicação cliente Onfido alojada no Azure AD B2C verifica as informações do utilizador.
  2. Azure AD B2C chama a API de camada média e transmite os atributos.
  3. A API de camada média recolhe atributos e converte-os num formato de API Onfido.
  4. O Onfido processa atributos para validar a identificação do utilizador e envia o resultado para a API de camada média.
  5. A API de camada média processa os resultados e envia informações relevantes para Azure AD B2C, no formato JSON (JavaScript Object Notation).
  6. Azure AD B2C recebe as informações. Se a resposta falhar, será apresentada uma mensagem de erro. Se a resposta for bem-sucedida, o utilizador será autenticado e escrito no diretório.

Criar uma conta Onfido

  1. Criar uma conta Onfido: aceda a onfido.com Contacte-nos e preencha o formulário.
  2. Crie uma chave de API: aceda a Introdução (API v3.5).

Nota

Irá precisar da chave mais tarde.

Documentação do Onfido

No entanto, as chaves dinâmicas são faturáveis, pode utilizar as teclas do sandbox para testes. Aceda a onfido.com para Sandbox e diferenças em direto. No entanto, as teclas de sandbox produzem a mesma estrutura de resultados que as chaves dinâmicas. No entanto, os resultados são predeterminados. Os documentos não são processados nem guardados.

Para obter mais documentação sobre o Onfido, consulte:

Configurar Azure AD B2C com o Onfido

Implementar a API

  1. Implemente o código da API num serviço do Azure. Aceda a exemplos/OnFido-Combined/API/Onfido.Api/. Pode publicar o código a partir do Visual Studio.
  2. Configurar a partilha de recursos entre origens (CORS).
  3. Adicionar Origem Permitida como https://{your_tenant_name}.b2clogin.com.

Nota

Precisará do URL do serviço implementado para configurar Microsoft Entra ID.

Adicionar definições de configuração confidenciais

Configure as definições da aplicação no serviço Aplicação Azure AD sem as verificar num repositório.

Definições da API REST:

  • Nome da definição da aplicação: OnfidoSettings:AuthToken
  • Origem: Conta Onfido

Implementar a IU

Configurar a sua localização de armazenamento

  1. No portal do Azure, crie um contentor.
  2. Armazene os ficheiros de IU em /samples/OnFido-Combined/UI, no contentor de blobs.
  3. Permitir o acesso CORS ao contentor de armazenamento que criou: Aceda a Definições>Origem Permitida.
  4. Introduza https://{your_tenant_name}.b2clogin.com.
  5. Substitua o nome do inquilino pelo seu Azure AD nome do inquilino B2C, utilizando letras minúsculas. Por exemplo, https://fabrikam.b2clogin.com.
  6. Para Métodos Permitidos, selecione GET e PUT.
  7. Selecione Guardar.

Atualizar ficheiros de IU

  1. Nos ficheiros de IU, aceda a exemplos/OnFido-Combined/IU/ocean_blue.
  2. Abra cada ficheiro html.
  3. Localize {your-ui-blob-container-url}e substitua-o pelos URLs da pasta ocean_blue, dist e assets da IU.
  4. Localize {your-intermediate-api-url}e substitua-o pelo URL do serviço de aplicações da API intermédia.

Carregar os seus ficheiros

  1. Armazene os ficheiros da pasta de IU no contentor de blobs.
  2. Utilize Explorador de Armazenamento do Azure para gerir discos geridos do Azure e permissões de acesso.

Configurar Azure AD B2C

Substituir os valores de configuração

Em /samples/OnFido-Combined/Policies, localize os seguintes marcadores de posição e substitua-os pelos valores correspondentes da sua instância.

Marcador de posição Substituir por valor Exemplo
{your_tenant_name} Nome abreviado do inquilino "o seu inquilino" do yourtenant.onmicrosoft.com
{your_tenantID} O seu Azure AD B2C TenantID 01234567-89ab-cdef-0123-456789abcdef
{your_tenant_IdentityExperienceFramework_appid} IdentityExperienceFramework app App ID configured in your Azure AD B2C tenant (ID da Aplicação IdentityExperienceFramework configurado no inquilino do Azure AD B2C) 01234567-89ab-cdef-0123-456789abcdef
{your_tenant_ ProxyIdentityExperienceFramework_appid} ID da Aplicação ProxyIdentityExperienceFramework configurada no inquilino do Azure AD B2C 01234567-89ab-cdef-0123-456789abcdef
{your_tenant_extensions_appid} O ID da Aplicação de armazenamento do inquilino 01234567-89ab-cdef-0123-456789abcdef
{your_tenant_extensions_app_objectid} O ID do Objeto da aplicação de armazenamento do inquilino 01234567-89ab-cdef-0123-456789abcdef
{your_app_insights_instrumentation_key} A chave de instrumentação da instância do Application Insights* 01234567-89ab-cdef-0123-456789abcdef
{your_ui_file_base_url} URL de localização das pastas de IU ocean_blue, dist e recursos https://yourstorage.blob.core.windows.net/UI/
{your_app_service_URL} O URL do serviço de aplicações que configurou https://yourapp.azurewebsites.net

*As informações da aplicação podem estar num inquilino diferente. Este passo é opcional. Remova os TechnicalProfiles e OrchestrationSteps correspondentes, se não forem necessários.

Configurar Azure AD política B2C

Veja Pacote de arranque da política personalizada para obter instruções para configurar o inquilino do Azure AD B2C e configurar políticas. As políticas personalizadas são um conjunto de ficheiros XML que carrega para o inquilino Azure AD B2C para definir perfis técnicos e percursos de utilizador.

Nota

Recomendamos que adicione uma notificação de consentimento na página da coleção de atributos. Notifique os utilizadores de que as informações vão para serviços de terceiros para verificação de identidade.

Testar o fluxo de utilizador

  1. Abra o Azure AD inquilino B2C.
  2. Em Políticas , selecione Identity Experience Framework.
  3. Selecione o signUpSignIn criado anteriormente.
  4. Selecione Executar fluxo de utilizador.
  5. Em Aplicação, selecione a aplicação registada (por exemplo, JWT).
  6. Para URL de Resposta, selecione o URL de redirecionamento.
  7. Selecione Executar fluxo de utilizador.
  8. Conclua o fluxo de inscrição.
  9. Criar uma conta.
  10. Quando o atributo de utilizador é criado, Onfido é chamado durante o fluxo.

Nota

Se o fluxo estiver incompleto, confirme que o utilizador foi guardado no diretório.

Passos seguintes