Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
A partire dal 1° maggio 2025, Azure AD B2C non sarà più disponibile per l'acquisto per i nuovi clienti. Altre informazioni sono disponibili nelle domande frequenti.
Questa esercitazione descrive come integrare Azure Active Directory B2C (Azure AD B2C) con Onfido, un ID documento e un'app di verifica biometrica facciale. Usarlo per soddisfare i requisiti di conoscenza del cliente e dell'identità. Onfido usa la tecnologia di intelligenza artificiale che verifica l'identità associando un ID foto con la biometria facciale. La soluzione connette un'identità digitale a una persona, offre un'esperienza di onboarding affidabile e contribuisce a ridurre le frodi.
In questa esercitazione, abiliterai il servizio Onfido per verificare l'identità nel processo di iscrizione o di accesso. I risultati di Onfido informano le decisioni relative ai prodotti o ai servizi a cui l'utente accede.
Prerequisiti
Per iniziare, è necessario:
Una sottoscrizione di Azure
- Se non hai già un account, puoi creare un account Azure gratuito
- Un tenant di Azure AD B2C collegato alla sottoscrizione di Azure
- Un account di valutazione Onfido
- Vai a onfido.com Contattaci e compila il modulo
Descrizione dello scenario
L'integrazione di Onfido include i componenti seguenti:
- Tenant di Azure AD B2C : server di autorizzazione che verifica le credenziali utente in base ai criteri personalizzati definiti nel tenant. È anche noto come provider di identità (IdP). Ospita l'app client Onfido, che raccoglie i documenti utente e li trasmette al servizio API Onfido.
- Client Onfido : utilità di raccolta documenti client JavaScript configurabile distribuita nelle pagine Web. Controlla i dettagli, ad esempio le dimensioni e la qualità del documento.
- API REST intermedia : fornisce endpoint per il tenant di Azure AD B2C per comunicare con il servizio API Onfido. Gestisce l'elaborazione dei dati e rispetta i requisiti di sicurezza di entrambi.
- Servizio API Onfido : servizio back-end che salva e verifica i documenti utente.
Il diagramma dell'architettura seguente illustra l'implementazione.
- L'utente si iscrive per creare un nuovo account e immette gli attributi. Azure AD B2C raccoglie gli attributi. L'app client Onfido ospitata in Azure AD B2C verifica la presenza delle informazioni utente.
- Azure AD B2C chiama l'API di livello intermedio e passa gli attributi.
- L'API di livello intermedio raccoglie gli attributi e li converte in un formato API Onfido.
- Onfido elabora gli attributi per convalidare l'identificazione dell'utente e invia il risultato all'API di livello intermedio.
- L'API di livello intermedio elabora i risultati e invia informazioni pertinenti ad Azure AD B2C, in formato JSON (JavaScript Object Notation).
- Azure AD B2C riceve le informazioni. Se la risposta ha esito negativo, viene visualizzato un messaggio di errore. Se la risposta ha esito positivo, l'utente viene autenticato e scritto nella directory.
Creare un account Onfido
- Crea un account Onfido: vai a onfido.com Contattaci e compila il modulo.
- Creare una chiave API: passare a Introduzione (API v3.5).
Annotazioni
La chiave sarà necessaria in un secondo momento.
Documentazione di Onfido
Le chiavi attive sono tuttavia fatturabili, è possibile usare le chiavi sandbox per il test. Passare a onfido.com per, Sandbox e differenze in tempo reale. Le chiavi sandbox producono la stessa struttura dei risultati delle chiavi attive, ma i risultati sono predeterminati. I documenti non vengono elaborati o salvati.
Per altre informazioni su Onfido, vedere:
Configurare Azure AD B2C con Onfido
Distribuire l'API
- Distribuire il codice API in un servizio di Azure. Passare a samples/OnFido-Combined/API/Onfido.Api/. È possibile pubblicare il codice da Visual Studio.
- Configurare la condivisione di risorse tra origini diverse (CORS).
- Aggiungi Origine consentita come
https://{your_tenant_name}.b2clogin.com.
Annotazioni
Per configurare l'ID Microsoft Entra, è necessario l'URL del servizio distribuito.
Aggiunta di impostazioni di configurazione riservate
Configurare le impostazioni dell'app nel servizio app di Azure senza eseguirne il controllo in un repository.
Impostazioni DELL'API REST:
- Nome dell'impostazione dell'applicazione: OnfidoSettings:AuthToken
- Origine: account Onfido
Distribuire l'interfaccia utente
Configurare la posizione di archiviazione
- Nel portale di Azure creare un contenitore.
- Archiviare i file dell'interfaccia utente in /samples/OnFido-Combined/UI nel contenitore BLOB.
- Consentire l'accesso CORS al contenitore di archiviazione creato: passare a Impostazioni>Origine consentita.
- Inserisci
https://{your_tenant_name}.b2clogin.com. - Sostituire il nome del tenant con il nome del tenant di Azure AD B2C, usando lettere minuscole. Ad esempio:
https://fabrikam.b2clogin.com. - Per Metodi consentiti selezionare
GETePUT. - Seleziona Salva.
Aggiornare i file dell'interfaccia utente
- Nei file dell'interfaccia utente passare a samples/OnFido-Combined/UI/ocean_blue.
- Aprire ogni file HTML.
- Trova
{your-ui-blob-container-url}e sostituiscilo con gli URL delle tue cartelle UI ocean_blue, dist e assets. - Trovare
{your-intermediate-api-url}e sostituirlo con l'URL intermedio del servizio app per le API.
Caricare i file
- Archiviare i file della cartella dell'interfaccia utente nel contenitore BLOB.
- Usare Azure Storage Explorer per gestire Azure Managed Disks e le autorizzazioni di accesso.
Configurare Azure AD B2C
Sostituire i valori di configurazione
In /samples/OnFido-Combined/Policies trovare i segnaposto seguenti e sostituirli con i valori corrispondenti dell'istanza.
| Segnaposto | Sostituire con il valore | Esempio |
|---|---|---|
| {your_tenant_name} | Nome breve del locatario | "il tuo tenant" da yourtenant.onmicrosoft.com |
| {your_tenantID} | Il tuo ID tenant di Azure AD B2C | aaaabbbb-0000-cccc-1111-dddd2222eeee |
| {your_tenant_IdentityExperienceFramework_appid} | ID dell'applicazione IdentityExperienceFramework configurata nel tenant di Azure AD B2C | 00001111-aaaa-2222-bbbb-3333cccc44444 |
| {your_tenant_ ProxyIdentityExperienceFramework_appid} | ID app ProxyIdentityExperienceFramework configurato nel tenant di Azure AD B2C | 00001111-aaaa-2222-bbbb-3333cccc44444 |
| {your_tenant_extensions_appid} | ID app dell'applicazione di archiviazione tenant | 00001111-aaaa-2222-bbbb-3333cccc44444 |
| {your_tenant_extensions_app_objectid} | ID oggetto dell'applicazione di archiviazione tenant | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
| {your_app_insights_instrumentation_key} | Chiave di strumentazione dell'istanza di App Insights* | 00001111-aaaa-2222-bbbb-3333cccc44444 |
| {your_ui_file_base_url} | URL posizione delle cartelle dell'interfaccia utente ocean_blue, dist e assets | https://yourstorage.blob.core.windows.net/UI/ |
| {your_app_service_URL} | URL del servizio app configurato | https://yourapp.azurewebsites.net |
*Le informazioni dettagliate sulle app possono trovarsi in un tenant diverso. Questo passaggio è facoltativo. Rimuovere i componenti TechnicalProfiles e OrchestrationSteps corrispondenti, se non sono necessari.
Configurare i criteri di Azure AD B2C
Per istruzioni su come configurare il tenant di Azure AD B2C e configurare i criteri, vedere Pacchetto di avvio dei criteri personalizzato . I criteri personalizzati sono un set di file XML caricati nel tenant di Azure AD B2C per definire profili tecnici e percorsi utente.
Annotazioni
È consigliabile aggiungere la notifica di consenso nella pagina della raccolta di attributi. Notificare agli utenti che le informazioni vengono inviate a servizi di terze parti per la verifica dell'identità.
Testare il flusso utente
- Aprire il tenant di Azure AD B2C.
- Sotto Criteri, selezionare Identity Experience Framework.
- Selezionare l'elemento SignUpSignIn creato in precedenza.
- Seleziona Esegui il flusso utente.
- Per Applicazione selezionare l'app registrata( ad esempio JWT).
- Per URL di risposta selezionare l'URL di reindirizzamento.
- Seleziona Esegui il flusso utente.
- Completare la procedura di iscrizione.
- Creare un account.
- Quando viene creato l'attributo utente, Onfido viene chiamato durante il flusso.
Annotazioni
Se il flusso è incompleto, verificare che l'utente venga salvato nella directory.