Поделиться через

Руководство по настройке Onfido для работы с Azure Active Directory B2C

  • Статья

В этом руководстве описано, как интегрировать Azure Active Directory B2C (Azure AD B2C) с Приложением onfido, приложением для проверки биометрических данных и идентификатора документа. Используйте его для удовлетворения требований "Знай своего клиента" и удостоверений. Onfido использует технологию искусственного интеллекта (ИИ), которая проверяет личность путем сопоставления идентификатора фотографии с биометрией лица. Решение подключает цифровое удостоверение к человеку, обеспечивает надежную адаптацию и помогает снизить уровень мошенничества.

В этом руководстве описано, как включить службу Onfido для проверки личности в потоке регистрации или входа. Результаты onfido сообщают о том, к каким продуктам или службам обращается пользователь.

Предварительные требования

Чтобы приступить к работе, вам потребуется:

Описание сценария

Интеграция с Onfido предусматривает следующие компоненты:.

  • Azure AD клиента B2C — сервер авторизации, который проверяет учетные данные пользователя на основе пользовательских политик, определенных в клиенте. Он также называется поставщиком удостоверений (IdP). В нем размещается клиентское приложение Onfido, которое собирает пользовательские документы и передает их в службу API Onfido.
  • Клиент Onfido — настраиваемая служебная программа для сбора документов клиента JavaScript, развернутая на веб-страницах. Он проверяет такие сведения, как размер и качество документа.
  • Промежуточный REST API — предоставляет конечные точки для клиента Azure AD B2C для взаимодействия со службой API Onfido. Он обрабатывает данные и соответствует требованиям безопасности обоих типов.
  • Служба API Onfido — серверная служба, которая сохраняет и проверяет документы пользователей.

Принцип работы системы показан на схеме архитектуры ниже.

Схема архитектуры onfido.

  1. Пользователь регистрируется для создания новой учетной записи и вводит атрибуты. Azure AD B2C собирает атрибуты. Клиентское приложение Onfido, размещенное в Azure AD B2C, проверяет сведения о пользователе.
  2. Azure AD B2C вызывает API среднего уровня и передает атрибуты.
  3. API среднего уровня собирает атрибуты и преобразует их в формат API Onfido.
  4. Onfido обрабатывает атрибуты для проверки идентификации пользователей и отправляет результаты в API среднего уровня.
  5. API среднего уровня обрабатывает результаты и отправляет соответствующие сведения в Azure AD B2C в формате нотации объектов JavaScript (JSON).
  6. Azure AD B2C получает информацию. Если ответ завершается сбоем, появляется сообщение об ошибке. Если ответ выполнен успешно, пользователь проходит проверку подлинности и записывается в каталог.

Создание учетной записи Onfido

  1. Создайте учетную запись Onfido: перейдите по адресу onfido.com свяжитесь с нами и заполните форму.
  2. Создание ключа API: перейдите к разделу Начало работы (API версии 3.5).

Примечание

Ключ понадобится позже.

Документация по onfido

Динамические ключи оплачиваются, однако вы можете использовать ключи песочницы для тестирования. Перейдите к onfido.com для, Песочница и динамические различия. Ключи песочницы создают ту же структуру результатов, что и динамические ключи, однако результаты предопределены. Документы не обрабатываются и не сохраняются.

Дополнительные сведения о onfido см. в разделе:

Настройка Azure AD B2C для работы с Onfido

Развертывание API

  1. Разверните код API в службе Azure. Перейдите в раздел samples/OnFido-Combined/API/Onfido.Api/. Вы можете опубликовать код из Visual Studio.
  2. Настройка общего доступа к ресурсам независимо от источника (CORS).
  3. Добавьте разрешенный источник в качестве https://{your_tenant_name}.b2clogin.com.

Примечание

Для настройки идентификатора Microsoft Entra потребуется URL-адрес развернутой службы.

Добавление конфиденциальных параметров конфигурации

Настройка параметров приложения в службе приложение Azure без их проверки в репозитории.

Параметры REST API:

  • Имя параметра приложения: OnfidoSettings:AuthToken
  • Источник: Учетная запись Onfido

Развертывание пользовательского интерфейса

Настройте расположение хранилища

  1. В портал Azure создайте контейнер.
  2. Храните файлы пользовательского интерфейса в /samples/OnFido-Combined/UI в контейнере больших двоичных объектов.
  3. Разрешить доступ CORS к созданному контейнеру хранилища. Перейдите в раздел Параметры>Разрешенный источник.
  4. Введите https://{your_tenant_name}.b2clogin.com.
  5. Замените имя клиента своим Azure AD именем клиента B2C, используя строчные буквы. Например, https://fabrikam.b2clogin.com.
  6. В качестве допустимых методов выберите GET и PUT.
  7. Щелкните Сохранить.

Изменение файлов пользовательского интерфейса

  1. В файлах пользовательского интерфейса перейдите в раздел samples/OnFido-Combined/UI/ocean_blue.
  2. Откройте каждый HTML-файл.
  3. Найдите {your-ui-blob-container-url}и замените его URL-адресами папок ocean_blue, dist и assets пользовательского интерфейса.
  4. Найдите {your-intermediate-api-url}и замените его промежуточным URL-адресом службы приложений API.

Отправка файлов.

  1. Сохраните файлы папок пользовательского интерфейса в контейнере BLOB-объектов.
  2. Используйте Обозреватель службы хранилища Azure для управления управляемыми дисками Azure и разрешениями на доступ.

Настройка Azure AD B2C

Замените значения конфигурации.

В /samples/OnFido-Combined/Policies найдите следующие заполнители и замените их соответствующими значениями из вашего экземпляра.

Заполнитель Замена значением Пример
{your_tenant_name} Короткое имя вашего клиента "ваш клиент" из yourtenant.onmicrosoft.com
{your_tenantID} Идентификатор клиента B2C Azure AD 01234567-89ab-cdef-0123-456789abcdef
{your_tenant_IdentityExperienceFramework_appid} Идентификатор приложения IdentityExperienceFramework, настроенный в клиенте Azure AD B2C 01234567-89ab-cdef-0123-456789abcdef
{your_tenant_ ProxyIdentityExperienceFramework_appid} ProxyIdentityExperienceFramework, идентификатор приложения, настроенный в клиенте B2C Azure AD 01234567-89ab-cdef-0123-456789abcdef
{your_tenant_extensions_appid} Идентификатор приложения хранилища клиента 01234567-89ab-cdef-0123-456789abcdef
{your_tenant_extensions_app_objectid} Идентификатор объекта приложения хранилища клиента 01234567-89ab-cdef-0123-456789abcdef
{your_app_insights_instrumentation_key} Ключ инструментирования экземпляра App Insights* 01234567-89ab-cdef-0123-456789abcdef
{your_ui_file_base_url} URL-адрес расположения папок пользовательского интерфейса ocean_blue, dist и ресурсов https://yourstorage.blob.core.windows.net/UI/
{your_app_service_URL} НАСТРОЕННЫй URL-адрес службы приложений https://yourapp.azurewebsites.net

\* App Insights может находиться в другом клиенте. Это необязательный шаг. Удалите соответствующие TechnicalProfiles и OrchestrationSteps, если они не нужны.

Настройка политики B2C Azure AD

Инструкции по настройке клиента Azure AD B2C и политик см. в разделе Начальный пакет настраиваемых политик. Настраиваемые политики представляют собой набор XML-файлов, которые вы отправляете в клиент Azure AD B2C для определения технических профилей и путей взаимодействия пользователей.

Примечание

Мы рекомендуем добавить уведомление о согласии на странице коллекции атрибутов. Уведомлять пользователей о том, что информация передается сторонним службам для проверки удостоверений.

Тестирование потока пользователя

  1. Откройте клиент Azure AD B2C.
  2. В разделе Политики выберите Identity Experience Framework.
  3. Выберите ранее созданное значение SignUpSignIn.
  4. Выберите Выполнить поток пользователя.
  5. В поле Приложение выберите зарегистрированное приложение (например, JWT).
  6. URL-адрес ответа: выберите URL-адрес перенаправления.
  7. Выберите Выполнить поток пользователя.
  8. Завершите процесс регистрации.
  9. Создайте учетную запись.
  10. При создании атрибута пользователя во время потока вызывается Onfido.

Примечание

Если поток не завершен, убедитесь, что пользователь сохранен в каталоге.

Дальнейшие действия