Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Descrição geral
O Face Check é uma combinação facial que respeita a privacidade. Ele permite que as empresas realizem verificações de alta garantia de forma segura, simples e em escala. O Face Check adiciona uma camada crítica de confiança ao realizar a correspondência facial entre a selfie em tempo real de um usuário e uma foto. A correspondência facial é suportada por serviços de IA do Azure. O Face Check protege a privacidade do usuário compartilhando apenas os resultados da correspondência e não quaisquer dados confidenciais de identidade, permitindo que as organizações tenham certeza de que a pessoa que reivindica uma identidade é realmente ela.
Pré-requisitos
A Verificação Facial é um recurso premium dentro da Identificação Verificada. Você precisa ativar o complemento Face Check na configuração do ID Verificada do Microsoft Entra antes de fazer as verificações do Face Check.
- Certifique-se de que o ID Verificada do Microsoft Entra está configurado no seu tenant antes de usar o Face Check.
- Associar ou adicionar uma subscrição do Azure ao seu locatário Microsoft Entra
- Verifique se o usuário que está configurando o Face Check tem a função de Colaborador para a assinatura do Azure
Configure uma verificação facial com o ID Verificada do Microsoft Entra
O Complemento de Verificação Facial pode ser ativado de duas maneiras a partir do Centro de Administração do Microsoft Entra ou usando a API Rest do Azure Resource Manager (ARM) via CLI. Se você vai usar o Face Check em um locatário com a licença do Microsoft Entra Suite, o Face Check é habilitado no nível do locatário e a configuração se aplica a todas as autoridades dentro desse locatário. Para quaisquer outras licenças, você pode habilitar o Face Check individualmente por cada autoridade em seu locatário usando a API Rest do Azure Resource Manager (ARM).
Nota
A API ARM Rest para ID Verificada do Microsoft Entra está atualmente em versão preliminar.
Configure o Face Check com o ID Verificada do Microsoft Entra no Centro de Administração
Para ativar o add-on Face Check a partir do centro de administração, siga estes passos:
Na página de visão geral do ID Verificado, desça até à nova secção de Complementos e ative o complemento Verificação Facial.
Na etapa Vincular uma assinatura, selecione uma Assinatura, um grupo de Recursos e o Local do recurso. Em seguida, selecione Validar. Se não houver assinaturas listadas, consulte E se eu não conseguir encontrar uma assinatura?
Depois de validado, pode ativar o add-on.
Agora você pode começar a usar o Face Check em seus aplicativos corporativos.
Configure o Face Check com o ID Verificada do Microsoft Entra usando a API Rest do Azure Resource Manager (ARM)
Nota
A API ARM Rest para ID Verificada do Microsoft Entra está atualmente em versão preliminar.
Para configurar o Complemento de Verificação Facial em uma determinada autoridade, você deve ter as ferramentas do Azure PowerShell em sua máquina. Este mecanismo encapsula a chamada REST. Pode alternativamente usar a API REST PUT do Azure Resource Manager (ARM) em conformidade.
Execute o comando seguinte no PowerShell.
az login --tenant <tenant ID>Selecione a subscrição em que quer ativar a faturação do Face Check.
Execute o seguinte comando.
az rest --method PUT --uri /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.VerifiedId/authorities/<authority-id>?api-version=2024-01-26-preview --body "{'location':'<rp-location>'}"- substitua
<subscription-id>pelo seu ID de subscrição - substituir
<resource-group-name>pelo nome do grupo de recursos - substitua
<authority-id>pelo seu ID de autoridade. Você pode obter oauthority-idusando a chamada GET Authorities na API Admin. - Substitua
<rp-location>usando um dos dois valores a seguir:- Para os arrendatários da UE, utilize
northeurope - Para utilização fora da UE
westus2
- Para os arrendatários da UE, utilize
- substitua
O Complemento de Verificação Facial agora está habilitado em seu locatário.
Introdução ao Face Check usando MyAccount
Você pode começar a usar facilmente o Face Check usando MyAccount, que pode emitir VerifiedEmployee credenciais, e um aplicativo de teste público fornecido pela Microsoft. Para começar, você precisa executar as seguintes etapas:
- Crie um utilizador de teste no seu locatário do Microsoft Entra e carregue uma foto sua de si mesmo.
- Vá para MyAccount, entre como o usuário de teste e emita uma
VerifiedEmployeecredencial para o usuário. - Use a aplicação de teste público para apresentar a sua credencial usando o Face Check.
Quando o Microsoft Authenticator recebe uma solicitação de apresentação, incluindo uma Verificação facial, há um item extra após o tipo de credencial que o usuário é solicitado a compartilhar. Quando o utilizador seleciona esse item, é realizada a verificação facial efetiva e o utilizador pode então partilhar a credencial solicitada e a pontuação de confiança da verificação com a aplicação pública de teste (parte de confiança). Pode rever os resultados na aplicação Test.
Nota
A MyAccount utiliza a foto de perfil do utilizador Microsoft Entra ID ao emitir a credencial VerifiedEmployee. Você pode recuperar sua foto por meio da API do Microsoft Graph https://graph.microsoft.com/v1.0/me/photos/240x240/$value
Introdução ao Face Check usando a API de Solicitação de Serviço
As aplicações podem usar a API de Serviço de Pedidos para criar pedidos para que os utilizadores realizem uma verificação facial contra uma VerifiedEmployee credencial, um documento de identificação governamental emitido pelo Estado ou uma credencial digital personalizada com uma fotografia de confiança. Por exemplo, um serviço de suporte técnico pode solicitar uma verificação facial em relação a uma VerifiedEmployee credencial para verificar a identidade de forma rápida e segura para permitir uma ampla variedade de cenários de autoatendimento, incluindo a ativação de uma chave de acesso ou a redefinição de uma senha. Para reduzir o risco de conformidade, os aplicativos recebem uma pontuação de confiança para correspondência com a foto da credencial desejada, sem obter acesso aos dados de vivacidade.
Emitir uma credencial de Identificação Verificada com uma foto
Os tipos de credenciais personalizados que usam o fluxo de atestado idTokenHint também podem emitir uma credencial de ID Verificada contendo uma foto. A definição de credencial precisa incluir a definição de exibição e as regras para a reivindicação fotográfica.
A definição de ecrã para a declaração de foto deve ter o tipo definido como image/jpg;base64url de modo a permitir que o Microsoft Authenticator entenda que ela deve ser processada como uma foto corretamente.
{
"claim": "vc.credentialSubject.photo",
"label": "User picture",
"type": "image/jpg;base64url"
}
Ao definir o valor real da reivindicação da foto, ela deve estar no formato UrlEncode(Base64Encode(JPEG image)).
{
"outputClaim": "photo",
"required": false,
"inputClaim": "photo",
"indexed": false
}
Nota
Ao emitir uma credencial personalizada com uma fotografia, é responsabilidade da aplicação fornecer o JPEG a ser usado e codificá-lo.
Pedidos de apresentação, incluindo verificação facial
A payload JSON para a API Request Service para criar uma solicitação de apresentação precisa especificar que uma verificação facial deve ser realizada. A declaração que contém a foto deve ser nomeada e, opcionalmente, você pode especificar seu limite de confiança como um número inteiro entre 50 e 100. O padrão é 70.
// POST https://verifiedid.did.msidentity.com/v1.0/verifiableCredentials/createPresentationRequest
...
"requestedCredentials": [
{
"type": "VerifiedEmployee",
"acceptedIssuers": [ "did:web:woodgrove.com" ],
"configuration": {
"validation": {
"allowRevoked": false,
"validateLinkedDomain": true,
"faceCheck": {
"sourcePhotoClaimName": "photo",
"matchConfidenceThreshold": 70
}
}
Evento de retorno de chamada bem-sucedido do Face Check presentation_verified
A carga útil JSON para o presentation_verified contém mais dados na resposta quando um Face Check é realizado com sucesso durante a apresentação de uma credencial de Identidade Verificada. É adicionada a secção faceCheck que contém um matchConfidenceScore. Tenha em atenção que não é possível solicitar e receber o recibo de apresentação quando o pedido inclui o faceCheck.
"verifiedCredentialsData": [
{
"issuer": "did:web:woodgrove.com",
"type": [ "VerifiableCredential", "VerifiedEmployee" ],
"claims": {
...
},
...
"faceCheck": {
"matchConfidenceScore": 86.314159,
"sourcePhotoQuality": "HIGH"
}
}
],
Face Check presentation_verified recibo de evento de retorno de chamada
Se a solicitação de apresentação foi criada solicitando um recibo, então a chamada de retorno de presentation_verified conterá um atributo chamado faceCheck.
{
"requestId": "11111111-2222-3333-4444-55555555",
"requestStatus": "presentation_verified",
"receipt": {
...
"faceCheck": "eyJhbGc...svw"
},
...
}
O valor do atributo faceCheck é um token JWT assinado que é um dado de origem para a verificação de atividade. Base64-decodificação do token JWT fornece uma credencial verificável do tipo MicrosoftFaceCheckReceipt. A sourceVcJti é a identidade da credencial usada para corresponder à verificação de validade de presença.
...
"type": [
"VerifiableCredential",
"MicrosoftFaceCheckReceipt"
],
"credentialSubject": {
"faceCheckResults": [
{
"sourceVcJti": "urn:pic:4f741111222233334444000000000000",
"matchConfidenceThreshold": 70,
"matchConfidenceScore": 86.314159,
"sourcePhotoQuality": "HIGH"
}
]
Evento de retorno de chamada do Face Check com falha
Quando a pontuação de confiança é inferior ao limite, a solicitação de apresentação é reprovada e um presentation_error é retornado. A aplicação de verificação não recebe a pontuação retornada.
{
"requestId": "...",
"requestStatus": "presentation_error",
"state": "...",
"error": {
"code": "claimValidationError",
"message": "Match confidence score failing to meet the threshold."
}
}
O Autenticador exibe uma mensagem de erro informando ao usuário que a pontuação de confiança não atingiu o limite.
Perguntas frequentes sobre o Face Check com o ID Verificada do Microsoft Entra
O que é o Face Check?
O Face Check com o ID Verificada do Microsoft Entra é um recurso premium dentro do Verified ID usado para correspondência facial que respeita a privacidade. Ele permite que as empresas realizem verificações de alta garantia de forma segura, simples e em escala. O Face Check adiciona uma camada crítica de confiança ao realizar a correspondência facial entre a selfie em tempo real de um usuário e uma foto. A correspondência facial é suportada por serviços de IA do Azure.
Qual é a diferença entre Face Check e Face ID?
O Face ID é uma opção de segurança biométrica baseada em visão oferecida nos produtos Apple para desbloquear um dispositivo para aceder a uma aplicação móvel. O Face Check é um recurso de ID Verificado do Microsoft Entra que também usa tecnologia de IA baseada em visão, mas compara o usuário com o ID Verificado apresentado. O Face Check determina a identidade do usuário em uma ampla gama de cenários on-line onde o acesso de alta garantia é necessário. Alguns exemplos disso são processos de negócios de alto valor ou acesso a informações confidenciais da empresa. Ambos os mecanismos exigem que um usuário enfrente uma câmera no processo, mas operam de maneiras diferentes.
A verificação de visão biométrica Face Check é realizada no dispositivo móvel?
N.º A verificação biométrica entre a foto e os dados de vivacidade capturados é realizada na nuvem, usando a API do Visão de IA do Azure Face. A captura de selfie do usuário durante o processo não é compartilhada com o site de verificação de ID solicitante.
O que é o Face Liveness Check?
O Face Check com ID Verificada do Microsoft Entra usa a verificação de vivacidade da API Visão de IA do Azure Face para confirmar que a pessoa nas imagens de selfie capturadas pela câmera no dispositivo do usuário é real. Essa verificação ajuda a garantir que uma foto estática ou um vídeo 2D de um usuário não possa ser usado no lugar de seu eu ao vivo.
O que acontece aos dados de vivacidade recolhidos?
Quando a câmera é ligada no dispositivo móvel, imagens ao vivo são capturadas no dispositivo móvel. Estas imagens são depois passadas para a Verified ID, que as utiliza para invocar os serviços Serviços de IA do Azure.
Os dados não são armazenados ou mantidos por nenhum dos serviços Microsoft Authenticator, Verified ID ou Azure AI. Além disso, as imagens também não são compartilhadas com o aplicativo verificador. O aplicativo verificador recebe apenas a pontuação de confiança em troca. Em um sistema baseado em IA, a pontuação de confiança é a porcentagem de probabilidade de resposta para uma consulta ao sistema. Para este cenário, a pontuação de confiança é a probabilidade de a fotografia do utilizador de ID Verificada corresponder à captura do utilizador no dispositivo móvel. Para mais informações, consulte Dados e privacidade para Azure AI Services.
Que requisitos de segurança de dispositivos são necessários para suportar o Verified ID Face Check?
O Verified ID Face Check requer dispositivos que cumpram os requisitos específicos de sistema operativo e integridade do dispositivo. Estas verificações garantem que os resultados do Face Check são gerados em dispositivos de confiança e protegem contra ataques de falsificação, manipulação ou repetição.
Tanto o Android como o iOS exigem dispositivos seguros e não modificados com versões do sistema operativo suportadas, embora os mecanismos de aplicação variem consoante a plataforma.
Requisitos para dispositivos Android
Verified ID Face Check no Android requer tanto uma versão Android suportada como uma validação forte da integridade do dispositivo via Google.
Versão Android
Os dispositivos devem executar o nível de API Android 26 ou superior. Isto está alinhado com os requisitos mínimos do cliente Azure Face usado pelo Face Check.
Para mais informações, consulte Visão de IA do Azure Face UI – Requisitos Android.
Integridade do dispositivo (Google Play Integrity)
O dispositivo deve passar nas verificações de integridade do Google Play e devolver um MEETS_STRONG_INTEGRITY resultado.
Isto indica que:
- O dispositivo não está enraizado.
- O dispositivo passa nas verificações de integridade do sistema certificadas pela Google.
- O dispositivo está a funcionar com níveis aceitáveis de patches de segurança.
Os resultados do Face Check de dispositivos que não cumprem este nível de integridade são rejeitados por razões de segurança, mesmo que a versão do sistema operativo Android seja suportada.
Para mais informações, consulte Google Play Integrity API – etiquetas opcionais de integridade do dispositivo.
Instalação do autenticador
O Microsoft Authenticator deve ser instalado através da Google Play Store, garantindo:
- A própria aplicação é de confiança.
- A aplicação da Integridade de Jogo pode ser aplicada corretamente.
Requisitos para dispositivos iOS
Verified ID Face Check no iOS baseia-se na confiança dos dispositivos da Apple e nas garantias de segurança da plataforma.
Versão iOS
Os dispositivos devem correr uma versão suportada do iOS (iOS 11 ou posterior).
Confiança no dispositivo
Espera-se que os dispositivos iOS façam:
- Seja sem modificações (sem jailbreak).
- Utilize mecanismos de segurança e confiança de dispositivos fornecidos pela Apple.
Apple não fornece avaliações detalhadas e visíveis ao cliente como o Android. No entanto, verificações semelhantes de confiança em dispositivos são aplicadas internamente para proteger os fluxos do Face Check.
Para mais informações, consulte a documentação do Apple DeviceCheck.
Por que existem estes requisitos
Verified ID Face Check foi concebido para cenários de verificação de identidade de alta garantia. Os requisitos de segurança dos dispositivos ajudam a garantir que:
- A entrada da câmara não pode ser alterada.
- Os sinais biométricos originam-se de componentes de hardware e sistema operativo de confiança.
- Os resultados não podem ser reproduzidos ou manipulados em dispositivos comprometidos.
Sem estes controlos, os resultados do Face Check poderiam ser falsificados ou reutilizados, enfraquecendo as garantias de segurança do Verified ID.
Quanto custa o Face Check?
Para obter as informações mais recentes sobre faturamento e preços de uso, consulte Preços do Microsoft Entra.
E se eu não conseguir encontrar uma assinatura?
Se nenhuma assinatura estiver disponível no painel Vincular uma assinatura, aqui estão alguns motivos possíveis:
Você não tem as permissões apropriadas. Certifique-se de iniciar sessão com a conta do Azure que tenha pelo menos a função de Colaborador dentro da assinatura ou de um grupo de recursos dentro da assinatura.
Existe uma assinatura, mas ela ainda não está associada ao seu diretório. Pode associar uma subscrição existente ao seu inquilino e, em seguida, repetir os passos para a associar ao seu inquilino.
Não existe subscrição. No painel Vincular uma assinatura, você pode criar uma assinatura selecionando o link se ainda não tiver uma assinatura, você pode criar uma aqui. Depois de criar uma nova assinatura, você precisará criar um grupo de recursos na nova assinatura e repetir as etapas para vinculá-la ao seu locatário.
Perguntas frequentes para desenvolvedores do Face Check
O Face Check requer o Microsoft Authenticator?
Sim. O Face Check está limitado ao uso do ID Verificado com o Microsoft Authenticator. Esta limitação existe para prevenir ataques de injeção no Face Check. Para cenários que não envolvam Face Check, está disponível um SDK da Carteira para outras soluções Verified ID. Para mais informações, consulte Usar a Biblioteca de Carteiras.
O que é a correspondência percentual de confiança e o que significa confiança?
As organizações podem escolher seu limite de pontuação de confiança para que seu aplicativo aceite uma verificação de verificação facial. Um limite mais alto significa que é menos provável que um imitador seja falsamente aceito. Na pontuação de confiança padrão de 50%, a chance de a pessoa na selfie ao vivo não ser o legítimo proprietário da credencial é de uma em 100.000. O nível necessário depende do cenário específico, do quão público é o ponto de entrada e dos usuários planejados. Com uma pontuação de confiança de 90%, essa chance de usuário falso positivo é de uma em um bilhão. Um limite mais alto resulta no aumento do potencial de rejeição de um usuário autorizado devido à maior sensibilidade do aplicativo. É importante encontrar o equilíbrio certo entre definir um limite de pontuação de confiança alto que proteja seu aplicativo sem torná-lo tão alto que muitas vezes rejeite usuários autorizados devido a pequenas mudanças na aparência ou nas condições visuais de seus arredores, como iluminação.
Saiba mais sobre a API do Azure Face.
O que é a API do Visão de IA do Azure Face?
A IA do Azure é um conjunto de serviços de nuvem na Plataforma Azure. A API do Visão de IA do Azure Face oferece serviços para deteção de rosto, reconhecimento facial, correspondência facial e verificação de vivacidade. O ID Verificada do Microsoft Entra usa os serviços de deteção de rosto, correspondência facial e verificação de vivacidade facial ao executar o FaceCheck. Para mais informações, consulte Visão de IA do Azure Face API.
Quão justa é a API do Visão de IA do Azure Face?
A Microsoft realizou testes de equidade da API Face. A equipe de serviços de IA do Azure está continuamente se esforçando para garantir o uso responsável e inclusivo da IA. O relatório Face API Fairness está disponível para revisão.
Você está em conformidade com iBeta Nível 2?
Sim. A IA da API do Azure Face e o Face Check são compatíveis com iBeta Nível 2 para serem resistentes a vários estilos de apresentação de ataque para se passar por um utilizador. Saiba mais sobre os testes ISO Presentation Attack Detection da iBeta.
Se um usuário recentemente cortou o cabelo, raspou os pelos faciais ou alterou sua aparência física, ele não poderá concluir uma verificação de verificação facial?
O Face Check compara a selfie ao vivo de um utilizador com a fotografia associada à sua Identificação Verificada. Quanto menos o usuário se parece com essa foto, menor é a pontuação da partida. A aceitação da verificação do Face Check dependerá da diferença atual na aparência do utilizador em relação à sua foto salva anteriormente e do nível de confiança necessário do aplicativo. Se o seu aplicativo tiver um limite relativamente alto, é recomendável que os usuários mantenham uma aparência física consistente com a foto de identificação verificada carregada ou substituam a foto por uma que reflita a aparência atual do usuário.
Depois de utilizar o Face Check, para onde vão os meus dados? Onde é armazenado?
As imagens usadas durante o Face Check não são armazenadas a longo prazo. Durante uma solicitação de Face Check, uma selfie é capturada do dispositivo móvel do usuário. Em seguida, essa imagem é passada para a ID Verificada, que a usa para invocar os serviços de IA da API do Azure Face. Uma vez feito o processamento, a imagem da selfie é descartada e não salva em nenhum dispositivo ou serviço. Os serviços Microsoft Authenticator, ID Verificada e Azure AI NÃO armazenarão ou manterão esses dados. Além disso, a imagem de selfie capturada também não é compartilhada com o aplicativo verificador. O aplicativo verificador recebe apenas uma pontuação de confiança da correspondência resultante.
Para mais informações, consulte Dados e privacidade para serviços Azure AI.
A verificação do Face Check com o ID Verificada do Microsoft Entra acontece na carteira ou na nuvem?
O serviço de ID Verificada executa o processo de verificação na nuvem, não no dispositivo. As credenciais são armazenadas no dispositivo de um usuário para que ele tenha controle total do uso de uma credencial. Um usuário deve optar por compartilhar uma credencial com um verificador para que ela seja processada para verificação.
Quais são os requisitos para a foto na Identificação Verificada?
A foto deve ser clara e nítida em qualidade e não inferior a 200 pixels x 200 pixels. O rosto deve estar centralizado dentro da imagem e desobstruído da vista. O tamanho máximo da foto na credencial é de 1 MB. Note que ter uma imagem maior não garante um resultado melhor. Uma boa foto menor é melhor do que uma grande ruim.
Para mais informações sobre como melhorar a precisão do processamento fotográfico, consulte Características e limitações da API Facial.
Para mais informações sobre limites de tamanho de credenciais verificáveis, consulte o FAQ sobre ID Verificado.
Próximos passos
- Saiba como configurar a sua entidade para o ID Verificada do Microsoft Entra e utilizar o MyAccount.
- Saiba como emitir credenciais de ID Verificada do Microsoft Entra a partir de um aplicativo Web.
- Saiba como verificar as credenciais de ID Verificada do Microsoft Entra.