我们的身份验证(IDV)合作伙伴网络扩展了Microsoft Entra 验证的 ID 功能,以帮助你构建无缝的最终用户体验。 使用已验证 ID,可以与 IDV 集成,以实现使用身份验证和证明服务进行政府 ID 检查的远程加入等场景。 此图显示了一个低级别工作流,其中显示了在远程载入方案中,各方如何相互交互。 此集成模式可用作参考。
以下部分介绍了 IDV 可用于设置发放流程和客户验证 IDV 验证 ID 的一组步骤。
颁发者流
标识验证(IDV)合作伙伴是独立软件供应商(ISV),他们可以使用已验证的 ID 请求服务 REST API 颁发已验证 ID。 IDV 作为发行方所需的操作步骤如下:
设置Microsoft Entra 验证 ID 服务:使用 快速设置 或 高级设置说明。
注释
对于多租户模型,如果客户需要 1:1 的对应关系,IDV 应考虑设置专门的授权机构。 请参考文档中Admin API部分以创建权限。
设置一个凭据定义,用于定义从服务发出的凭据类型 – 自定义凭据。 根据方案,在 ID 令牌(用于提供程序的 Open ID 连接证明)或 ID 令牌提示(ISV 使用 REST API 获取所需的证明)、自行颁发(用户提供的输入)、演示文稿或多个证明之间进行选择。
如果此凭据用于常规用途使用,请确保在“已验证 ID”网络中发布凭据。 如果为特定客户创建了此凭据,请跳过此步骤。 若要在“已验证的 ID 网络”中发布凭据,请在“管理”下选择“ 颁发凭据 ”选项,然后选择“ 将凭据发布到已验证的 ID 网络 ”复选框。 还可以使用管理员 API 将凭据的 “availableInVcDirectory" 设置为 true。
IDV 必须为用户旅程配置产品/服务或客户快速入门 URL,并将其集成到客户的信赖方应用程序中。 参考图中的 步骤 5 作为示例。
最终用户开始信赖方应用程序的旅程 - 在上面的示例中,Contoso 的载入门户要求用户证明其身份。 如果用户已有加入所需的已验证 ID,可以按照图表中的步骤 1 到 4 进行操作。 如果用户没有所需的已验证 ID,用户必须从载入应用程序启动 IDV 产品/服务 URL 来启动身份验证过程。 IDV 和客户信赖方需要构建这种重定向模型。 IDV 需要确定用户从已注册的组织进入 IDV 门户,并且不是垃圾邮件请求。 信赖方需要生成带有 JWT 令牌的“一次性”使用 URL,例如:
https://idvpartner.com/contoso/?token=jwt_token请注意,JWT 令牌使用客户的依赖方私钥进行签名,公钥通过终结点或通过预定程序与 IDV 共享。 IDV 需要确保在快速启动过程中,它使用 JWT 中的属性,例如组织 ID、请求 ID、mscv ID 和到期时间。 请注意, mscv 是端到端故障排除的首选。 JWT 的示例如下所示:
标头:算法和令牌类型
{ "alg": "RS256", "typ": "JWT" }有效负载:数据
{ "OrgId": "", "RequestId": "", "exp": 1684986555, "redirectUrl": "https://customerRPurl" }成功完成后,IDV 将启动已验证的 ID 颁发流,并颁发已验证的 ID。 此时,用户会显示一个深层链接或 QR 码,用于在 Microsoft Authenticator 应用程序中 添加卡片 。 IDV 网站从已验证 ID 服务收到一个成功的发布回调。
注释
IDV 合作伙伴必须提供或构建必要的网络体验,以便能够按照信赖方应用程序与 IDV 合作伙伴之间的协议,通过任何必要的方法验证用户身份。 完成此过程后,会根据已验证的 ID 凭据类型收集一个值列表。 这些值(作为“claims”参数)是作为验证 ID 发布请求 API 调用的一部分传递的。 如果 IDV 正在 Web 应用上构建此旅程,IDV 需要将其呈现为 QR 码或深层链接。 有关更多详细信息,请参阅 指定请求服务 REST API 的签发请求。
IDV 将用户重定向回客户的信赖方应用程序。
对于关系图中的其余步骤(即步骤 14 到步骤 16),用户被要求使用 FaceCheck 显示已验证的 ID。 成功演示后,用户将加入系统。
注释
客户必须与 IDV 合作伙伴合作,以设置所需的 IDV 载入步骤,包括组织载入、计费合同和其他必需的先决条件。
验证程序流
应用程序开发人员可以使用 IDV 颁发的已验证 ID 在其应用程序中进行验证流。 有关规划详细信息 ,请参阅规划验证解决方案 文档。 设置验证所需的步骤如下:
如果您从 IDV 合作伙伴处获得了 VCType 和 did 等详细信息,则可以使用 演示文稿请求 API 部分中的有效负载参考来验证由身份验证合作伙伴(IDV)颁发的已验证 ID。
客户还可以使用以下步骤生成演示文稿请求 API 有效负载:
- 转到 Microsoft Entra 管理中心 ->Verified ID。
- 选择“ 创建验证请求 ”选项卡
- 选择 第一个用户。
- 在“搜索/选择颁发者”下拉菜单中查找相应的 IDV ,方法是键入其名称,例如 woodgrove.com。
- 从 IDV 中选择应用程序所需的凭据类型进行验证。 这在展示请求 API 数据负载中也称为 VCType。
- 选择添加,然后选择查看。
- 下载请求正文并复制/粘贴 POST API 请求 URL。
- 开发人员现在具有租户管理员的请求 URL 和正文,可以按照以下步骤更新应用程序或网站。 若要从用户请求已验证 ID,请在应用程序或网站中包含请求 URL 和正文。
注释
有关示例应用程序,请参阅 Microsoft Entra 验证 ID GitHub 存储库 https://aka.ms/vcsample
- 请务必将 URL、状态和 API 密钥的值替换为相应的值。
- 向应用授予权限以获取验证 ID 服务请求主体的访问令牌。
若要测试用户流,始终可以使用 示例应用 文档在 Azure 应用服务环境中部署其中一个示例应用程序。
合作伙伴列表
下表显示了已验证 ID IDV 合作伙伴的列表。 如果您是希望在此画廊中列出的 IDV 合作伙伴,请使用自助提交表单提交您的解决方案详细信息:https://aka.ms/VIDCertifiedPartnerForm
| IDV 合作伙伴 | 说明 | 集成演练 |
|---|---|---|
|
AU10TIX 提高了可验证性,同时保护了企业、员工、承包商、供应商和客户的隐私。 | 将 AU10TIX 提供支持的验证 ID 配置为身份验证合作伙伴。 |
|
LexisNexis 风险解决方案可验证凭据使员工、学生、公民或其他人员能够更快地加入服务。 | 将 LexisNexis 风险解决方案提供支持的验证 ID 配置为身份验证合作伙伴。 |
|
Vu 可验证凭据,只使用一张自拍照和 ID。 | 将 VU 标识卡提供支持的验证 ID 配置为身份验证合作伙伴 |
|
在几分钟内开始颁发和接收可验证凭据。 使用可验证凭据和 Onfido,可以在尊重隐私的同时验证一个人的身份。 以数字方式验证个人 ID 或其生物特征的信息。 | * |
|
Jumio 正在帮助支持 Microsoft 基于可验证凭据和分散式标识符标准的一种新形式的数字身份,让消费者验证一次即可在任何地方使用。 | * |
|
Idemia 与验证 ID 集成可实现“一次验证,随处使用”功能。 | 将 IDEMIA 验证的 ID 配置为身份验证合作伙伴 |
|
Clear 与 Microsoft 合作,通过验证凭证创建更安全的数字体验。 | * |
* - 尚无可用文档
后续步骤
在提到的表格中选择一个合作伙伴,了解如何将他们的解决方案与应用程序集成。 了解详细信息
- Microsoft Entra 验证 ID 演示网站: https://aka.ms/vcdemo
- GitHub 示例: https://aka.ms/vcsample
- FaceCheck 身份验证挑战演示:https://aka.ms/facecheckdemo
- Microsoft相关向量 mscv 的规范:这是一种协议,用于基于轻型矢量时钟通过分布式系统跟踪和关联事件。