Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Von Bedeutung
Ab dem 1. Mai 2025 steht Azure AD B2C nicht mehr für neue Kunden zur Verfügung. Weitere Informationen finden Sie in unseren HÄUFIG gestellten Fragen.
In diesem Tutorial erfahren Sie, wie Sie Azure Active Directory B2C (Azure AD B2C) in Onfido integrieren, eine App zur Überprüfung der Dokument-ID und der biometrischen Gesichtsdaten. Verwenden Sie es, um die Anforderungen an "Know Your Customer" und "Identity" zu erfüllen. Onfido verwendet eine Technologie der künstlichen Intelligenz (KI), die die Identität überprüft, indem sie einen Lichtbildausweis mit biometrischen Gesichtsdaten abgleicht. Die Lösung verbindet eine digitale Identität mit einer Person, bietet ein zuverlässiges Onboarding-Erlebnis und hilft, Betrug zu reduzieren.
In diesem Tutorial aktivieren Sie den Onfido-Dienst, um die Identität im Registrierungs- oder Anmeldeablauf zu überprüfen. Die Ergebnisse von Onfido geben Aufschluss über die Entscheidung, auf welche Produkte oder Dienstleistungen der Nutzer zugreift.
Voraussetzungen
Zunächst benötigen Sie Folgendes:
Ein Azure-Abonnement
- Wenn Sie kein Konto haben, können Sie ein kostenloses Azure-Konto erhalten.
- Ein Azure AD B2C-Mandant , der mit Ihrem Azure-Abonnement verknüpft ist
- Ein Onfido-Testkonto
- Gehen Sie zu onfido.com Kontaktieren Sie uns und füllen Sie das Formular aus
Szenariobeschreibung
Die Onfido-Integration umfasst die folgenden Komponenten:
- Azure AD B2C-Mandant – Der Autorisierungsserver, der Benutzeranmeldeinformationen basierend auf benutzerdefinierten Richtlinien überprüft, die im Mandanten definiert sind. Er wird auch als Identitätsanbieter (Identity Provider, IdP) bezeichnet. Es hostet die Onfido-Client-App, die die Benutzerdokumente sammelt und an den Onfido-API-Dienst übermittelt.
- Onfido-Client – Ein konfigurierbares JavaScript-Client-Dienstprogramm zum Sammeln von Dokumenten, das auf Webseiten bereitgestellt wird. Es überprüft Details wie Dokumentgröße und -qualität.
- Zwischen-REST-API : Stellt Endpunkte für den Azure AD B2C-Mandanten bereit, um mit dem Onfido-API-Dienst zu kommunizieren. Es übernimmt die Datenverarbeitung und hält sich an die Sicherheitsanforderungen beider.
- Onfido API-Dienst – Der Backend-Dienst, der Benutzerdokumente speichert und überprüft.
Das folgende Architekturdiagramm zeigt die Implementierung.
- Der Benutzer meldet sich an, um ein neues Konto zu erstellen, und gibt Attribute ein. Azure AD B2C sammelt die Attribute. Die in Azure AD B2C gehostete Onfido-Client-App sucht nach Benutzerinformationen.
- Azure AD B2C ruft die API der mittleren Ebene auf und übergibt die Attribute.
- Die API der mittleren Schicht sammelt Attribute und konvertiert sie in ein Onfido-API-Format.
- Onfido verarbeitet Attribute, um die Benutzeridentifikation zu validieren, und sendet das Ergebnis an die API der mittleren Schicht.
- Die API der mittleren Ebene verarbeitet die Ergebnisse und sendet relevante Informationen im JSON-Format (JavaScript Object Notation) an Azure AD B2C.
- Azure AD B2C empfängt die Informationen. Wenn die Antwort fehlschlägt, wird eine Fehlermeldung angezeigt. Wenn die Antwort erfolgreich ist, wird der Benutzer authentifiziert und in das Verzeichnis geschrieben.
Erstellen Sie ein Onfido-Konto
- Erstellen Sie ein Onfido-Konto: Gehen Sie zu onfido.com Kontaktieren Sie uns und füllen Sie das Formular aus.
- Erstellen Sie einen API-Schlüssel: Gehen Sie zu Erste Schritte (API v3.5).
Hinweis
Den Schlüssel benötigen Sie später.
Onfido Dokumentation
Live-Schlüssel sind kostenpflichtig. Sie können jedoch die Sandbox-Schlüssel zum Testen verwenden. Wechseln Sie zu onfido.com, wo Sie Informationen zu den Unterschieden zwischen Sandbox und Live erhalten. Die Sandbox-Schlüssel erzeugen die gleiche Ergebnisstruktur wie Live-Schlüssel, die Ergebnisse sind jedoch vorgegeben. Dokumente werden nicht verarbeitet oder gespeichert.
Weitere Informationen zur Onfido-Dokumentation finden Sie unter:
Konfigurieren von Azure AD B2C mit Onfido
Bereitstellen der API
- Stellen Sie den API-Code in einem Azure-Dienst bereit. Wechseln Sie zu samples/OnFido-Combined/API/Onfido.Api/. Sie können den Code aus Visual Studio veröffentlichen.
- Einrichten von CORS (Cross-Origin Resource Sharing).
-
Fügen Sie den zulässigen Ursprung als
https://{your_tenant_name}.b2clogin.comhinzu.
Hinweis
Sie benötigen die URL des bereitgestellten Diensts, um die Microsoft Entra ID zu konfigurieren.
Hinzufügen vertraulicher Konfigurationseinstellungen
Konfigurieren Sie App-Einstellungen in Azure App Service, ohne sie in ein Repository einzuchecken.
REST-API-Einstellungen:
- Name der Anwendungseinstellung: OnfidoSettings:AuthToken
- Quelle: Onfido Account
Bereitstellen der Benutzeroberfläche
Konfigurieren des Speicherorts
- Erstellen Sie im Azure-Portal einen Container.
- Speichern Sie die UI-Dateien in /samples/OnFido-Combined/UI in Ihrem Blobcontainer.
- CORS-Zugriff auf den von Ihnen erstellten Speichercontainer gewähren: Gehen Sie zu Einstellungen>Zulässiger Ursprung.
- Geben Sie
https://{your_tenant_name}.b2clogin.comein. - Ersetzen Sie Ihren Mandantennamen durch den Namen Ihres Azure AD B2C-Mandanten, und verwenden Sie dabei Kleinbuchstaben. Beispiel:
https://fabrikam.b2clogin.com. - Wählen Sie für Zulässige Methoden
GETundPUTaus. - Wählen Sie Speichern aus.
Aktualisieren von UI-Dateien
- Wechseln Sie in den Benutzeroberflächendateien zu samples/OnFido-Combined/UI/ocean_blue.
- Öffnen Sie jede HTML-Datei.
- Suchen Sie
{your-ui-blob-container-url}und ersetzen Sie es durch die URLs Ihrer UI-Ordner ocean_blue, dist und assets. - Suchen Sie
{your-intermediate-api-url}, und ersetzen Sie es durch die Zwischen-URL des API-App-Dienstes.
Hochladen Ihrer Dateien
- Speichern Sie die Dateien des UI-Ordners in Ihrem Blobcontainer.
- Verwenden Sie den Azure Storage-Explorer, um verwaltete Azure-Datenträger und Zugriffsberechtigungen zu verwalten .
Konfigurieren von Azure AD B2C
Ersetzen der Konfigurationswerte
Suchen Sie in /samples/OnFido-Combined/Policies die folgenden Platzhalter und ersetzen Sie sie durch die entsprechenden Werte aus Ihrer Instance.
| Platzhalter | Durch Wert ersetzen | Beispiel |
|---|---|---|
| {Ihr_Mietername} | Kurzname Ihres Mieters | "Ihr Mieter" von yourtenant.onmicrosoft.com |
| {your_tenantID} | Ihre Azure AD B2C-Mandanten-ID | aaaabbbb-0000-cccc-1111-dddd2222eeee |
| {your_tenant_IdentityExperienceFramework_appid} | App-ID der IdentityExperienceFramework-App, die in Ihrem Azure AD B2C-Mandanten konfiguriert ist | 00001111-aaaa-2222-bbbb-3333cccc44444 |
| {your_tenant_ ProxyIdentityExperienceFramework_appid} | Die App-ID der ProxyIdentityExperienceFramework-App, die in Ihrem Azure AD B2C-Mandanten konfiguriert ist | 00001111-aaaa-2222-bbbb-3333cccc44444 |
| {your_tenant_extensions_appid} | Die App-ID Ihrer Mandantenspeicheranwendung | 00001111-aaaa-2222-bbbb-3333cccc44444 |
| {your_tenant_extensions_app_objectid} | Die Objekt-ID Ihrer Mandantenspeicheranwendung | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
| {your_app_insights_instrumentation_key} | Der Instrumentierungsschlüssel Ihrer Application Insights-Instanz* | 00001111-aaaa-2222-bbbb-3333cccc44444 |
| {your_ui_file_base_url} | Speicherort-URL Ihrer Benutzeroberflächenordner ocean_blue, dist und Assets | https://yourstorage.blob.core.windows.net/UI/ |
| {your_app_service_URL} | Die App-Dienst-URL, die Sie eingerichtet haben | https://yourapp.azurewebsites.net |
* Application Insights kann sich in einem anderen Mandanten befinden. Dieser Schritt ist optional. Entfernen Sie die entsprechenden TechnicalProfiles und OrchestrationSteps, wenn sie nicht benötigt werden.
Konfigurieren der Azure AD B2C-Richtlinie
Anweisungen zum Einrichten Ihres Azure AD B2C-Mandanten und zum Konfigurieren von Richtlinien finden Sie unter Starter Pack für benutzerdefinierte Richtlinien . Benutzerdefinierte Richtlinien sind eine Reihe von XML-Dateien, die Sie in Ihren Azure AD B2C-Mandanten hochladen, um technische Profile und User Journeys zu definieren.
Hinweis
Es wird empfohlen, eine Zustimmungsbenachrichtigung auf der Attributsammlungsseite hinzuzufügen. Benachrichtigen Sie Benutzer, dass Informationen zur Identitätsüberprüfung an Drittanbieterdienste gesendet werden.
Testen des Benutzerflows
- Öffnen Sie den Azure AD B2C-Mandanten.
- Wählen Sie unter "Richtlinien" das Identitätsdarstellungsframework aus.
- Wählen Sie Ihr zuvor erstelltes SignUpSignIn aus.
- Wählen Sie Benutzerflow ausführen aus.
- Wählen Sie für "Anwendung" die registrierte App aus (z. B. JWT).
- Wählen Sie für antwort-URL die Umleitungs-URL aus.
- Wählen Sie Benutzerflow ausführen aus.
- Schließen Sie den Registrierungsablauf ab.
- Erstellen Sie ein Konto.
- Wenn das Benutzerattribut erstellt wird, wird Onfido während des Ablaufs aufgerufen.
Hinweis
Wenn der Fluss unvollständig ist, bestätigen Sie, dass der Benutzer im Verzeichnis gespeichert ist.