Tutoriel : Configurer IDEMIA Mobile ID avec Azure Active Directory B2C

Avant de commencer

Azure Active Directory B2C (Azure AD B2C) dispose de deux méthodes pour définir l’interaction des utilisateurs avec les applications : des flux d’utilisateurs prédéfinis ou des stratégies personnalisées configurables. Vue d’ensemble des flux utilisateur et des stratégies personnalisées

Intégrer Azure AD B2C à IDEMIA Mobile ID

IDEMIA fournit des services d’authentification biométrique tels que l’identification faciale et les empreintes digitales, ce qui réduit la fraude et la réutilisation des identifiants. Avec Mobile ID, les citoyens bénéficient d’une identité numérique de confiance, émise par le gouvernement, en complément de leur identité physique. Mobile ID vérifie l’identité à l’aide d’un code PIN, d’Touch ID ou d’un Face ID sélectionné. Les citoyens contrôlent leur identité en partageant les informations nécessaires à une transaction. De nombreux départements d’État des véhicules à moteur (DMV) utilisent Mobile ID.

Pour en savoir plus, rendez-vous sur idemia.com : IDEMIA

Description du scénario

L’intégration de Mobile ID comprend les composants suivants :

• Azure AD B2C : serveur d’autorisation qui vérifie les informations d’identification de l’utilisateur
  • Il est également connu sous le nom de fournisseur d’identité (IdP).
• IDEMIA Mobile ID - OpenID Connect (OIDC) configuré comme fournisseur externe dans Azure AD B2C
  • Voir Ajouter un fournisseur d’identité à votre instance Azure AD B2C
• Application IDEMIA Mobile ID : une version numérique d’un permis de conduire, ou d’une pièce d’identité délivrée par l’État, dans une application sur votre téléphone
  • Voir IDEMIA Mobile ID

Mobile ID est un document d’identification numérisé, un jeton d’identité mobile portable que les DMV utilisent pour vérifier les identités individuelles. L’ID numérisé et signé est stocké sur le téléphone portable de l’utilisateur en tant qu’identité à la périphérie. Les identifiants signés facilitent l’accès aux services d’identité tels que la preuve d’âge, la connaissance financière du client, l’accès au compte, etc.

Le diagramme suivant illustre les flux d’utilisateurs d’inscription et de connexion avec Mobile ID.

1. L’utilisateur visite la page de connexion Azure AD B2C (la partie qui répond), avec son appareil et Mobile ID, pour effectuer une transaction.
2. Azure AD B2C effectue une vérification d’identité. Il redirige l’utilisateur vers le routeur IDEMIA avec un flux de code d’autorisation OIDC.
3. Le routeur envoie une demande biométrique à l’application mobile de l’utilisateur avec les détails de la demande d’authentification et d’autorisation.
4. En fonction de la sécurité, l’utilisateur peut être invité à fournir plus de détails : saisir un code PIN, prendre un selfie en direct, ou les deux.
5. La réponse d’authentification fournit une preuve de possession, de présence et de consentement. La réponse est renvoyée au routeur.
6. Le routeur vérifie les informations de l’utilisateur et répond à Azure AD B2C avec le résultat.
7. L’accès est accordé ou refusé à l’utilisateur.

Activer Mobile ID

Pour commencer, rendez-vous sur la page idemia.com Contactez-nous pour demander une démonstration. Dans le champ de texte du formulaire de demande, indiquez votre intérêt pour l’intégration d’Azure AD B2C.

Intégrer Mobile ID à Azure AD B2C

Utilisez les sections suivantes pour préparer et exécuter les processus d’intégration.

Conditions préalables

Pour commencer, vous avez besoin des éléments suivants :

• Accès aux utilisateurs disposant d’un identifiant Mobile ID (mID) délivré par IDEMIA, un État américain

  • Ou pendant la phase de test, l’application de démonstration mID d’IDEMIA

• Un abonnement Azure

  • Si vous n’en avez pas, obtenez un compte gratuit Azure

• Un tenant Azure AD B2C lié à l’abonnement Azure

• Votre application web d’entreprise inscrite dans un locataire Azure AD B2C

  • Pour tester, configurez https://jwt.ms, une application Web Microsoft avec le contenu du jeton décodé

  Remarque

  Le contenu du jeton ne quitte pas votre navigateur.

Envoyer une application de partie de confiance pour mID

Lors de l’intégration de Mobile ID, les informations suivantes sont fournies.

Créer une clé de stratégie

Stockez le secret client IDEMIA indiqué dans votre instance Azure AD B2C. Pour les instructions suivantes, utilisez le répertoire associé à votre instance Azure AD B2C.

1. Connectez-vous au portail Azure.
2. Dans la barre d’outils du portail, sélectionnez Répertoires + abonnements.
3. Dans la page Paramètres du portail, Répertoires + abonnements , dans la liste Nom du répertoire , recherchez votre annuaire Azure AD B2C
4. Sélectionnez Changer.
5. Dans le coin supérieur gauche du portail Azure, sélectionnez Tous les services.
6. Recherchez et sélectionnez Azure AD B2C.
7. Dans la page Vue d’ensemble , sélectionnez Identity Experience Framework.
8. Sélectionnez Clés de stratégie.
9. Sélectionnez Ajouter.
10. Pour options, choisissez Manuel.
11. Entrez un nom pour la clé de stratégie. Par exemple : IdemiaAppSecret. Le préfixe B2C_1A_ est ajouté au nom de la clé.
12. Dans Secret, entrez le secret client que vous avez noté.
13. Pour Utilisation de la clé , sélectionnez Signature.
14. Cliquez sur Créer.

Configurer Mobile ID en tant que fournisseur d’identité externe

Pour permettre aux utilisateurs de se connecter avec Mobile ID, définissez IDEMIA en tant que fournisseur de réclamations. Cette action garantit qu’Azure AD B2C communique par le biais d’un point de terminaison, qui fournit des déclarations qu’Azure AD B2C utilise pour vérifier l’authentification de l’utilisateur grâce à la biométrie.

Pour définir IDEMIA en tant que fournisseur de réclamations, ajoutez-le à l’élément ClaimsProvider dans le fichier d’extension de police.

     <TechnicalProfile Id="Idemia-Oauth2">
          <DisplayName>IDEMIA</DisplayName>
          <Description>Login with your IDEMIA identity</Description>
          <Protocol Name="OAuth2" />
          <Metadata>
            <Item Key="METADATA">https://idp.XXXX.net/oxauth/.well-known/openid-configuration</Item>
            <!-- Update the Client ID below to the Application ID -->
            <Item Key="client_id">00001111-aaaa-2222-bbbb-3333cccc4444</Item>
            <Item Key="response_types">code</Item>
            <Item Key="scope">openid id_basic mt_scope</Item>
            <Item Key="response_mode">form_post</Item>
            <Item Key="HttpBinding">POST</Item>
            <Item Key="UsePolicyInRedirectUri">false</Item>
            <Item Key="token_endpoint_auth_method">client_secret_basic</Item>
            <Item Key="ClaimsEndpoint">https://idp.XXXX.net/oxauth/restv1/userinfo</Item>
            <Item Key="ValidTokenIssuerPrefixes">https://login.microsoftonline.com/</Item>
          </Metadata>
          <CryptographicKeys>
            <Key Id="client_secret" StorageReferenceId="B2C_1A_IdemiaAppSecret" />
</CryptographicKeys>
          <InputClaims>
            <InputClaim ClaimTypeReferenceId="acr" PartnerClaimType="acr_values" DefaultValue="loa-2" />
          </InputClaims>
          <OutputClaims>
            <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
            <OutputClaim ClaimTypeReferenceId="tenantId" PartnerClaimType="tid" />
            <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="firstName1" />
            <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="lastName1" />
            <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
            <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="idemia" />
            <OutputClaim ClaimTypeReferenceId="documentId" />
            <OutputClaim ClaimTypeReferenceId="address1" />
          </OutputClaims>
          <OutputClaimsTransformations>
            <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
            <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
            <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
            <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
          </OutputClaimsTransformations>
          <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
        </TechnicalProfile>
           

Définissez client_id sur l'ID de l'application obtenu lors de son enregistrement.

Sélectionnez l'une des valeurs suivantes :

L'endpoint /userinfo fournit les revendications pour la ou les étendues demandées dans la demande d’autorisation. Pour <mt_scope>, il existe des revendications comme le prénom, le nom de famille et le numéro du permis de conduire, entre autres éléments. Les revendications définies pour une étendue sont publiées dans la section scope_to_claims_mapping de l’API de découverte. Azure AD B2C demande des revendications auprès du point de terminaison des revendications et les retourne dans l’élément OutputClaims. Vous aurez peut-être besoin de mapper le nom de la revendication dans votre stratégie à celui figurant dans le fournisseur d’identité. Définissez le type de revendication dans l’élément ClaimSchema :

<ClaimType Id="documentId">
     <DisplayName>documentId</DisplayName>
     <DataType>string</DataType>
</ClaimType>
<ClaimType Id="address1">
     <DisplayName>address</DisplayName>
     <DataType>string</DataType>
</ClaimType>

Ajouter un parcours utilisateur

Pour ces instructions, l’IdP est configuré, mais il ne se trouve dans aucune page de connexion. Si vous n’avez pas de parcours utilisateur personnalisé, copiez un modèle de parcours utilisateur.

1. À partir du pack de démarrage, ouvrez le TrustFrameworkBase.xml fichier.
2. Recherchez et copiez le contenu de l’élément UserJourneys , qui comprend ID=SignUpOrSignIn.
3. Ouvrez le fichier TrustFrameworkExtensions.xml.
4. Recherchez l’élément UserJourneys . S’il n’y a aucun élément, ajoutez-en un.
5. Collez le contenu de l’élément UserJourney en tant qu’enfant de l’élément UserJourneys.
6. Renommez l’ID de parcours utilisateur. Par exemple : ID=CustomSignUpSignIn.

Ajouter l’IdP à un parcours utilisateur

S’il existe un parcours utilisateur, ajoutez-y le nouvel IdP. Tout d’abord, ajoutez un bouton de connexion, puis liez-le à une action, qui est le profil technique que vous avez créé.

1. Dans le parcours utilisateur, recherchez l’élément d’étape d’orchestration avec Type=CombinedSignInAndSignUpou Type=ClaimsProviderSelection. Il s’agit généralement de la première étape d’orchestration. L’élément ClaimsProviderSelections a une liste idP avec laquelle les utilisateurs se connectent. L’ordre des commandes d’éléments est l’ordre des boutons de connexion que l’utilisateur voit.
2. Ajoutez un élément XML ClaimsProviderSelection .
3. Définissez la valeur TargetClaimsExchangeId sur un nom convivial.
4. Ajoutez un élément ClaimsExchange .
5. Définissez l’ID sur la valeur de l’ID cible d’échange des revendications.
6. Mettez à jour la valeur TechnicalProfileReferenceId sur l’ID de profil technique que vous avez créé.

Le code XML suivant illustre les deux premières étapes d’orchestration d’un parcours utilisateur avec l’IdP :

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="IdemiaExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="IdemiaExchange" TechnicalProfileReferenceId="Idemia-Oauth2" />
  </ClaimsExchanges>
</OrchestrationStep>

Configurer la stratégie de partie de confiance

La stratégie de la partie de confiance, par exemple SignUpSignIn.xml, spécifie le parcours utilisateur exécuté par Azure AD B2C.

1. Recherchez l’élément DefaultUserJourney dans la partie de confiance.
2. Mettez à jour le ReferenceId pour qu’il corresponde à l’ID de parcours de l’utilisateur, dans lequel vous avez ajouté l’IdP.

Dans l’exemple suivant, pour le parcours de l’utilisateur CustomSignUpOrSignIn , le ReferenceId est défini sur CustomSignUpOrSignIn.

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Téléchargez la stratégie personnalisée

Pour les instructions suivantes, utilisez le répertoire associé à votre instance Azure AD B2C.

1. Connectez-vous au portail Azure.

2. Dans la barre d’outils du portail, sélectionnez les répertoires + abonnements.

3. Dans les paramètres du portail, les répertoires + la page abonnements , dans la liste des noms d’annuaire , recherchez votre répertoire Azure AD B2C.

4. Sélectionnez Changer.

5. Dans le portail Azure, recherchez et sélectionnez Azure AD B2C.

6. Sous Stratégies, sélectionnez Identity Experience Framework.

7. Sélectionnez Charger une stratégie personnalisée.

8. Chargez les deux fichiers de stratégie que vous avez modifiés, dans l’ordre suivant :

   • Stratégie d’extension, par exemple TrustFrameworkExtensions.xml
   • La stratégie de la partie de confiance comme SignUpSignIn.xml

Tester votre stratégie personnalisée

1. Sélectionnez votre stratégie de partie de confiance, par exemple B2C_1A_signup_signin.
2. Pour l’application, sélectionnez une application web que vous avez inscrite.
3. https://jwt.ms apparaît pour URL de réponse.
4. Sélectionnez Exécuter maintenant.
5. Sur la page d’inscription ou de connexion, sélectionnez IDEMIA.
6. Le navigateur est redirigé vers https://jwt.ms. Consultez le contenu du jeton retourné par Azure AD B2C.

En savoir plus : Tutoriel : Inscrire une application web dans Azure AD B2C

Étapes suivantes

• Vue d’ensemble de la stratégie personnalisée Azure AD B2C
• Tutoriel : Créer des flux utilisateur et des stratégies personnalisées dans Azure AD B2C
• Rendez-vous sur idemia.com pour Mobile ID : prouver votre identité en toute confidentialité