Использование Face Check с проверенными удостоверениями Microsoft Entra и обеспечение высокой надежности проверок в масштабе

Проверка лиц — это сопоставление лиц, соблюдающее конфиденциальность. Это позволяет предприятиям безопасно выполнять проверки высокой надежности, просто и в масштабе. Проверка лиц добавляет критически важный уровень доверия, выполняя сопоставление лиц между селфи пользователя в режиме реального времени и фотографией. Сопоставление лиц осуществляется службами ИИ Azure. Face Check защищает конфиденциальность пользователей, предоставляя общий доступ только к результатам соответствия, а не конфиденциальным данным удостоверения, позволяя организациям быть уверенными, что пользователь подтверждает свою личность.

Предварительные условия

функция проверки лиц является премиум-опцией в Verified ID. Перед проверкой лиц необходимо включить надстройку Face Check в настройках Microsoft Entra Verified ID.

• Перед использованием Face Check убедитесь, что учетные данные Microsoft Entra Verified ID настроены в арендаторе.
• Добавьте или свяжите подписку Azure с вашим клиентом Microsoft Entra
• Убедитесь, что пользователь, настраивающий Face Check, имеет роль участника для подписки Azure

Настройка Face Check с помощью проверенных идентификаторов Microsoft Entra

Расширение для проверки лиц может быть включено двумя способами: в Центре администрирования Microsoft Entra или с помощью REST API Azure Resource Manager (ARM) через интерфейс командной строки. Если вы собираетесь использовать проверку лиц в клиенте с лицензией Microsoft Entra Suite, проверка лиц включена на уровне клиента, а конфигурация применяется ко всем властям этого клиента. Для любых других лицензий вы можете включить Проверку лица отдельно для каждого властного органа в вашей учетной записи с помощью REST API Azure Resource Manager (ARM).

Настройка проверки лица с Microsoft Entra Verified ID в Центре администрирования

1. На странице обзора Verified ID прокрутите вниз до нового раздела надстроек и Enable надстройки проверки лиц.

2. На шаге "Связать подписку" выберите подписку, группу ресурсов и расположение ресурса. Затем выберите Validate. Если нет подписок, см. статью "Что делать, если не удается найти подписку?"

3. После проверки вы можете Enable добавить дополнение.

Теперь вы можете начать использовать проверку лиц в корпоративных приложениях.

Настройка Face Check с использованием проверенных удостоверений личности Microsoft Entra через REST API Azure Resource Manager (ARM)

Чтобы настроить надстройку проверки лиц для данного органа, на компьютере должны быть установлены средства Azure PowerShell. Этот механизм упаковывает вызов REST. Кроме того, можно использовать REST API Azure Resource Manager (ARM) PUT соответствующим образом.

1. В PowerShell выполните следующую команду:

  az login --tenant  <tenant ID>

1. Выберите подписку, для которой вы хотите включить выставление счетов посредством Face Check

2. Выполните следующую команду.

  az rest --method PUT --uri /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.VerifiedId/authorities/<authority-id>?api-version=2024-01-26-preview --body "{'location':'<rp-location>'}"

• Замените идентификатор <subscription-id> на идентификатор вашей подписки
• замените <resource-group-name> на имя вашей группы ресурсов
• замените <authority-id> идентификатором полномочий. Вы можете получить authority-id с помощью вызова GET Authorities из Административного API.
• Замените <rp-location> на одно из следующих двух значений:
  • Для клиентов ЕС используйте northeurope
  • Для использования вне ЕС westus2

Надстройка "Проверка лиц" теперь включена в вашем арендном пространстве.

Начните использовать Face Check с помощью MyAccount

Вы можете легко начать использовать Face Check с помощью MyAccount, который может выдавать VerifiedEmployee учетные данные, и общедоступного тестового приложения, предоставляемого Microsoft. Чтобы приступить к работе, необходимо выполнить следующие действия:

1. Создание тестового пользователя в клиенте Microsoft Entra и отправка фотографии себя
2. Перейдите в MyAccount, войдите в систему как тестовый пользователь и выдайте учетные данные для пользователя.
3. Используйте общедоступное тестовое приложение для представления VerifiedEmployee учетных данных с помощью Face Check.

Когда Microsoft Authenticator получает запрос на презентацию, включая функцию проверки лица, пользователю предоставляется дополнительный пункт после типа учетных данных, которые он должен предоставить. Когда пользователь выбирает этот элемент, выполняется фактическая проверка лица, а затем пользователь может предоставить доступ к запрашиваемым учетным данным и оценке уверенности проверки общедоступному тест-приложению (доверяющей стороне). Вы можете просмотреть результаты в тестовом приложении.

Начните работу с распознаванием лиц, используя API сервиса запросов.

Приложения могут использовать API службы запросов для создания запроса, чтобы пользователи могли выполнить проверку лица с использованием удостоверения личности, выданного государственными органами, или пользовательских цифровых учетных данных с доверенной фотографией. Например, служба технической поддержки может запросить проверку лица с использованием VerifiedEmployee учетных данных, чтобы быстро и безопасно подтвердить личность и включить широкий спектр сценариев самообслуживания, включая активацию ключа доступа или сброс пароля. Чтобы снизить риск несоответствия требованиям, приложения получают оценку достоверности для сопоставления с фотографией из требуемых учетных данных, не получая доступа к данным о жизнепригодности.

Выдача удостоверения личности с верификацией и фотографией

Пользовательские типы удостоверений с использованием потока аттестации idTokenHint также могут выдавать проверенное удостоверение, содержащее фотографию. Определение учетных данных должно включать определение отображения и правил для запроса фотографии.

Определение отображения для утверждения фотографии должно иметь заданный тип, чтобы Microsoft Authenticator мог правильно отображать её как фотографию.

{ 
  "claim": "vc.credentialSubject.photo", 
  "label": "User picture", 
  "type": "image/jpg;base64url" 
} 

При установке фактического значения параметра фотографии оно должно быть в формате UrlEncode(Base64Encode(JPEG image)).

{ 
  "outputClaim": "photo", 
  "required": false, 
  "inputClaim": "photo", 
  "indexed": false 
} 

Запросы на презентацию, включая идентификацию лица

Полезные данные JSON для API службы запросов на создание презентации должны указать, что необходимо выполнить проверку лица. Утверждение, содержащее фотографию, должно быть названо, и при необходимости можно указать порог достоверности в качестве целого числа от 50 до 100. Значение по умолчанию — 70.

// POST https://verifiedid.did.msidentity.com/v1.0/verifiableCredentials/createPresentationRequest
...
  "requestedCredentials": [
    {
      "type": "VerifiedEmployee",
      "acceptedIssuers": [ "did:web:yourdomain.com" ],
      "configuration": {
        "validation": {
          "allowRevoked": false,
          "validateLinkedDomain": true,
          "faceCheck": {
            "sourcePhotoClaimName": "photo",
            "matchConfidenceThreshold": 70
          }
        }

Успешное событие presentation_verified с вызовом обратной проверки лица

Полезные данные JSON для presentation_verified содержат больше информации в ответе при успешной проверке лица во время предъявления учетных данных проверенного идентификатора. Добавлен раздел faceCheck, содержащий показатель уверенности соответствия. Обратите внимание, что невозможно запрашивать и получать квитанцию о презентации, когда запрос включает faceCheck.

  "verifiedCredentialsData": [ 
    { 
      "issuer": "did:web:yourdomain.com", 
      "type": [ "VerifiableCredential", "VerifiedEmployee" ], 
      "claims": { 
        ... 
      }, 
      ... 
      "faceCheck": { 
        "matchConfidenceScore": 86.314159,
        "sourcePhotoQuality": "HIGH"
      } 
    } 
  ], 

Получение события обратного вызова для проверки лица с подтверждением презентации

Если запрос презентации был создан с просьбой о выдаче квитанции, то обратный вызов presentation_verified будет содержать атрибут с именем faceCheck.

{
  "requestId": "11111111-2222-3333-4444-55555555",
  "requestStatus": "presentation_verified",
  "receipt": {
    ...
    "faceCheck": "eyJhbGc...svw"
  },
  ...
}

Значение атрибута faceCheck является подписанным маркером JWT, который служит исходными данными для проверки живучести. Декодирование токена JWT base64 предоставляет проверяемые учетные данные типа MicrosoftFaceCheckReceipt. sourceVcJti — это идентификатор учетных данных, используемых для проверки живости.

... 
    "type": [
      "VerifiableCredential",
      "MicrosoftFaceCheckReceipt"
    ],
    "credentialSubject": {
      "faceCheckResults": [
        {
          "sourceVcJti": "urn:pic:4f741111222233334444000000000000",
          "matchConfidenceThreshold": 70,
          "matchConfidenceScore": 86.314159,
          "sourcePhotoQuality": "HIGH"
        }
      ]

Событие обратного вызова проверки лица прошло с ошибкой.

Если оценка достоверности ниже порогового значения, запрос презентации отклоняется и presentation_error возвращается как результат. Проверяющее приложение не получает возвращаемую оценку.

{ 
  "requestId": "...", 
  "requestStatus": "presentation_error", 
  "state": "...", 
  "error": { 
    "code": "claimValidationError", 
    "message": "Match confidence score failing to meet the threshold." 
  } 
} 

В приложении Authenticator отображается сообщение об ошибке, информирующее пользователя о том, что оценка достоверности не удалось достичь порогового значения.

Часто задаваемые вопросы о Face Check с помощью Microsoft Entra Verified ID

Что такое проверка лиц?

Проверка лиц с помощью Microsoft Entra Verified ID — это премиальная функция, используемая для сопоставления лиц с соблюдением конфиденциальности. Это позволяет предприятиям безопасно выполнять проверки высокой надежности, просто и в масштабе. Проверка лиц добавляет критически важный уровень доверия, выполняя сопоставление лиц между селфи пользователя в режиме реального времени и фотографией. Сопоставление лиц осуществляется службами ИИ Azure.

Что такое разница между проверкой лиц и идентификатором лица?

Face ID — это опция биометрической безопасности на основе распознавания лиц в продуктах Apple для разблокировки устройства и доступа к мобильным приложениям. Сканирование лица — это функция Проверенных учетных данных Microsoft Entra, которая также использует технологию компьютерного зрения на базе ИИ, но сравнивает пользователя с предоставленным удостоверением личности. Определение личности с помощью проверки лиц осуществляется в широком диапазоне онлайн-сценариев, где требуется доступ с высоким уровнем обеспечения уверенности. Некоторые примеры того — это высокозначимые бизнес-процессы или доступ к конфиденциальной информации компании. Оба механизма требуют, чтобы пользователь столкнулся с камерой в процессе, но работает разными способами.

Выполняется ли биометрическая проверка лица на мобильном устройстве?

№ Биометрическая проверка между фотографией и данными о живости выполняется в облаке с помощью Azure AI Vision Face API. Селфи пользователя, снятое во время процесса, не передается сайту, запрашивающему проверку идентификатора.

Что такое проверка живости лица?

Проверка лица с помощью Microsoft Entra Verified ID использует проверку активности Azure AI Vision Face API, чтобы убедиться, что это реальный человек на селфи-снимке с камеры на устройстве пользователя. Эта проверка помогает убедиться, что статическое фото или двухмерное видео пользователя не могут использоваться вместо его живого образа.

Что происходит с собранными данными о активности?

Когда камера включена на мобильном устройстве, на мобильном устройстве записываются живые кадры. Затем эти кадры передаются в Verified ID, который использует их для вызова служб Azure AI.

Данные не хранятся ни в одной из служб Microsoft Authenticator, проверенного идентификатора или искусственного интеллекта Azure. Кроме того, видеоматериалы также не передаются программе проверки. Приложение для проверки получает только оценку достоверности. В системе на основе искусственного интеллекта оценка достоверности — это ответ на процент вероятности для запроса к системе. В этом сценарии оценка достоверности — это вероятность того, что фотография проверенного пользователя с идентификатором соответствует записи пользователя на мобильном устройстве. Здесь можно найти данные и конфиденциальность для служб ИИ Azure.

Сколько стоит проверка лиц?

Последние сведения о выставлении счетов и ценах на использование см. в разделе о ценах Microsoft Entra.

Что делать, если не удается найти подписку

Если в области «Связывание подписки» нет доступных подписок, это может быть связано со следующими причинами:

У вас нет соответствующих разрешений. Не забудьте войти с помощью учетной записи Azure, которая имеет как минимум роль участника в подписке или в группе ресурсов в этой подписке.

Подписка существует, но она еще не связана с каталогом. Вы можете связать существующую подписку с клиентом , а затем повторить шаги по связыванию подписки с клиентом.

Подписка не существует. В панели "Связывание подписки" вы можете создать подписку, выбрав ссылку. Если у вас еще нет подписки, вы можете создать ее здесь. После создания новой подписки необходимо создать группу ресурсов в новой подписке, а затем повторить действия по связыванию ее с клиентом.

Часто задаваемые вопросы для разработчиков проверки лиц

Требуется ли для Face Check приложение MS Authenticator?

Да. Идентификация по лицу доступна только при использовании проверенного идентификатора с MS Authenticator. Это ограничение введено, чтобы предотвратить инъекционную атаку на Face Check. Для сценариев, не связанных с проверкой лиц, SDK для кошелька доступен наряду с другими проверенными решениями по идентификаторам. Дополнительные сведения см. здесь

Каков процент совпадения по достоверности и что означает достоверность?

Организации могут выбрать порог оценки достоверности для своего приложения, чтобы принять проверку распознавания лиц. Более высокий порог означает, что вероятность ложного принятия олицетворяющего лица снижается. При уровне доверия 50%, вероятность того, что человек на селфи, сделанном в реальном времени, не является законным владельцем учетных данных, составляет один из 100 000. Требуемый уровень зависит от конкретного сценария, того, как общедоступна точка входа и запланированные пользователи. С вероятностью 90% вероятность ложноположительного пользователя составляет один на миллиард. Более высокое пороговое значение приводит к увеличению потенциального отклонения авторизованного пользователя из-за более высокой конфиденциальности приложения. Важно найти правильный баланс между настройкой порога оценки достоверности, который защищает приложение, не делая его таким высоким, что часто отклоняет авторизованных пользователей из-за незначительных изменений внешнего вида или визуальных условий их окружения, таких как освещение.

Дополнительные сведения об API распознавания лиц Azure.

Что такое API распознавания лиц Azure AI?

Azure AI — это набор облачных служб на платформе Azure. API обработки изображений Azure AI Vision предлагает службы для обнаружения лиц, распознавания лиц, сопоставления лиц и проверки живости. Microsoft Entra Verified ID использует сервисы распознавания лиц, сопоставления лиц и проверки активности лиц в ходе выполнения FaceCheck. Дополнительные сведения можно найти здесь.

Насколько объективно работает API распознавания лиц Azure AI?

Корпорация Майкрософт провела тестирование справедливости API распознавания лиц. Команда служб искусственного интеллекта Azure постоянно стремится обеспечить ответственное и инклюзивное использование ИИ. Просмотрите отчет о справедливости API распознавания лиц.

Вы соответствуете уровню 2 iBeta?

Да. Azure Face API и Face Check соответствуют уровню 2 iBeta для противодействия различным методам атак, направленных на имитацию пользователя. Узнайте больше о тестировании обнаружения атак по стандарту ISO в iBeta.

Насколько объективно работает API распознавания лиц Azure AI?

Корпорация Майкрософт провела тестирование справедливости API распознавания лиц. Команда служб искусственного интеллекта Azure постоянно стремится обеспечить ответственное и инклюзивное использование биометрического ИИ. Отчет о справедливости API распознавания лиц доступен здесь.

Если пользователь недавно получил стрижку, побрил свои волосы на лице или иначе изменил свой физический вид, он не сможет завершить проверку лица?

Проверка лица сравнивает селфи пользователя с фотографией, связанной с верифицированным идентификатором. Чем меньше пользователь выглядит на фотографию, тем ниже его оценка соответствия. Решение о принятии верификации лица зависит от того, насколько отличается текущий вид пользователя по сравнению с ранее сохраненной фотографией и каков установленный порог уверенности приложения. Если ваше приложение имеет относительно высокий порог, рекомендуется, чтобы пользователи поддерживали внешний вид, который соответствует их отправленной фотографии верифицированного удостоверения личности, или заменили фотографию на ту, которая отражает их текущий внешний вид.

Когда я использую проверку лиц, куда идут мои данные? Где он хранится?

Изображения, используемые во время проверки лиц, не хранятся в долгосрочной перспективе. Во время запроса проверки лиц селфи записывается с мобильного устройства пользователя. Затем этот образ передается в проверенный идентификатор, который использует его для вызова служб ИИ API распознавания лиц Azure. После завершения обработки образ селфи удаляется и не сохраняется на любом устройстве или службе. Microsoft Authenticator, Verified ID и службы Azure AI не будут хранить эти данные. Кроме того, захваченное изображение селфи также не предоставляется проверяющему приложению. Приложение проверяющего получает только оценку достоверности совпадения результата.

Здесь можно найти данные и конфиденциальность для служб ИИ Azure.

Происходит ли проверка лица с использованием удостоверения личности Microsoft Entra Verified ID в кошельке или в облаке?

Служба проверенных идентификаторов выполняет процесс проверки в облаке, а не на устройстве. Учетные данные хранятся на устройстве пользователя, чтобы они имели полный контроль над использованием учетных данных. Пользователь должен выбрать, хочет ли он поделиться учетными данными с проверяющим, чтобы они были обработаны для проверки.

Каковы требования к фотографии в проверенном идентификаторе?

Фотография должна быть четкой и резкой в качестве и не меньше 200 пикселей x 200 пикселей. Лицо должно быть центрировано в пределах изображения и не закрыто для обзора. Максимальный размер фотографии в учетных данных составляет 1 МБ. Обратите внимание, что наличие большего изображения не гарантирует лучшего результата. Хорошая небольшая фотография лучше, чем большая плохая.

Дополнительные сведения о том, как улучшить точность обработки фотографий, см . здесь

Дополнительные сведения об ограничениях размера проверяемых учетных данных см . здесь

Следующие шаги

• Узнайте, как настроить клиент для идентификатора Microsoft Entra и использовать MyAccount (Моя учетная запись).
• Узнайте, как выдавать проверенные учетные данные Microsoft Entra из веб-приложения.
• Узнайте, как верифицировать проверенные учетные данные Microsoft Entra.