Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Importante
A partir de 1º de maio de 2025, o Azure AD B2C não estará mais disponível para compra para novos clientes. Saiba mais nas nossas Perguntas Frequentes.
Neste tutorial, saiba como integrar o Azure Ative Directory B2C (Azure AD B2C) com o Onfido, um ID de documento e aplicativo de verificação de biometria facial. Use-o para atender aos requisitos de Conheça seu Cliente e identidade. A Onfido usa tecnologia de inteligência artificial (IA) que verifica a identidade combinando um documento de identificação com foto com a biometria facial. A solução conecta uma identidade digital a uma pessoa, fornece uma experiência de integração confiável e ajuda a reduzir fraudes.
Neste tutorial, você habilitará o serviço Onfido para verificar a identidade no fluxo de inscrição, ou login. Os resultados do Onfido informam as decisões sobre quais produtos ou serviços o usuário acessa.
Pré-requisitos
Para começar, você precisará:
Uma assinatura do Azure
- Se não tiver ativado, pode obter uma conta gratuita do Azure
- Um tenant do Azure AD B2C vinculado à sua assinatura do Azure
- Conta de avaliação Onfido
- Aceda a onfido.com Contacte-nos e preencha o formulário
Descrição do cenário
A integração Onfido inclui os seguintes componentes:
- Locatário do Azure AD B2C – O servidor de autorização que verifica as credenciais do usuário com base em políticas personalizadas definidas no locatário. Também é conhecido como provedor de identidade (IdP). Ele hospeda o aplicativo cliente Onfido, que coleta os documentos do usuário e os transmite para o serviço de API Onfido.
- Cliente Onfido – Um utilitário configurável de coleta de documentos do cliente JavaScript implantado em páginas da Web. Ele verifica detalhes como tamanho e qualidade do documento.
- API REST intermediária – Fornece pontos de extremidade para o locatário do Azure AD B2C se comunicar com o serviço de API Onfido. Ele lida com o processamento de dados e adere aos requisitos de segurança de ambos.
- Serviço de API Onfido – O serviço de back-end, que salva e verifica documentos do usuário.
O diagrama de arquitetura a seguir mostra a implementação.
- O usuário se inscreve para criar uma nova conta e insere atributos. O Azure AD B2C coleta os atributos. O aplicativo cliente Onfido hospedado no Azure AD B2C verifica as informações do usuário.
- O Azure AD B2C chama a API de camada intermediária e passa os atributos.
- A API de camada intermediária coleta atributos e os converte em um formato de API Onfido.
- O Onfido processa atributos para validar a identificação do usuário e envia o resultado para a API de camada intermediária.
- A API de camada intermediária processa os resultados e envia informações relevantes para o Azure AD B2C, no formato JSON (JavaScript Object Notation).
- O Azure AD B2C recebe as informações. Se a resposta falhar, será exibida uma mensagem de erro. Se a resposta for bem-sucedida, o usuário será autenticado e gravado no diretório.
Criar uma conta Onfido
- Crie uma conta Onfido: vá a onfido.com Contacte-nos e preencha o formulário.
- Criar uma chave de API: vá para Introdução (API v3.5).
Observação
Você precisará da chave mais tarde.
Documentação Onfido
As chaves em tempo real são faturáveis, no entanto, você pode usar as chaves de área restrita para testes. Vá para onfido.com para ver as diferenças entre Sandbox e live. As chaves de área restrita produzem a mesma estrutura de resultados que as chaves dinâmicas, no entanto, os resultados são predeterminados. Os documentos não são processados nem guardados.
Para obter mais documentação do Onfido, consulte:
Configurar o Azure AD B2C com o Onfido
Implantar a API
- Implante o código da API em um serviço do Azure. Vá para samples/OnFido-Combined/API/Onfido.Api/. Você pode publicar o código do Visual Studio.
- Configure o compartilhamento de recursos entre origens (CORS).
- Adicionar origem permitida como
https://{your_tenant_name}.b2clogin.com.
Observação
Você precisará da URL do serviço implantado para configurar o Microsoft Entra ID.
Adicionando definições de configuração confidenciais
Configure as configurações do aplicativo no serviço de Aplicativo do Azure sem verificá-las em um repositório.
Configurações da API REST:
- Nome da configuração do aplicativo: OnfidoSettings:AuthToken
- Fonte: Conta Onfido
Implantar a interface do usuário
Configure seu local de armazenamento
- No portal do Azure, crie um contêiner.
- Armazene os arquivos da interface do usuário em /samples/OnFido-Combined/UI, em seu contêiner de blob.
- Permitir acesso CORS ao contêiner de dados que criou: vá para Configurações>Origem Permitida.
- Introduza
https://{your_tenant_name}.b2clogin.com. - Substitua o nome do locatário pelo nome do locatário do Azure AD B2C, usando letras minúsculas. Por exemplo,
https://fabrikam.b2clogin.com. - Em Métodos permitidos, selecione
GETePUT. - Selecione Guardar.
Atualizar ficheiros da interface de utilizador
- Nos arquivos da interface do usuário, vá para samples/OnFido-Combined/UI/ocean_blue.
- Abra cada ficheiro html.
- Encontre
{your-ui-blob-container-url}e substitua-o pelos URLs das pastas ocean_blue, dist e ativos da sua interface do utilizador. - Encontre
{your-intermediate-api-url}e substitua-o pela URL intermediária do serviço de aplicativo de API.
Carregue os seus ficheiros
- Armazene os arquivos da pasta da interface do usuário no contêiner de blob.
- Use o Gerenciador de Armazenamento do Azure para gerenciar discos gerenciados do Azure e permissões de acesso.
Configurar o Azure AD B2C
Substitua os valores de configuração
Em /samples/OnFido-Combined/Policies, localize os seguintes espaços reservados e substitua-os pelos valores correspondentes da sua instância.
| Marcador de posição | Substituir por valor | Exemplo |
|---|---|---|
| {your_tenant_name} | Nome abreviado do seu inquilino | "seu inquilino" de yourtenant.onmicrosoft.com |
| {your_tenantID} | Seu ID de Locatário do Azure AD B2C | aaaabbbb-0000-cccc-1111-dddd2222eeee |
| {your_tenant_IdentityExperienceFramework_appid} | ID da aplicação IdentityExperienceFramework configurado no tenant do Azure AD B2C | 00001111-aaaa-2222-bbbb-3333cccc444 |
| {your_tenant_ ProxyIdentityExperienceFramework_appid} | ID da aplicação ProxyIdentityExperienceFramework configurada no seu tenant Azure AD B2C | 00001111-aaaa-2222-bbbb-3333cccc444 |
| {your_tenant_extensions_appid} | ID do aplicativo de armazenamento do locatário | 00001111-aaaa-2222-bbbb-3333cccc444 |
| {your_tenant_extensions_app_objectid} | ID do objecto da aplicação de armazenamento do locatário | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
| {a sua chave de instrumentação do app insights} | A chave de instrumentação da sua instância do App Insights | 00001111-aaaa-2222-bbbb-3333cccc444 |
| {your_ui_file_base_url} | URL de localização das pastas da interface do usuário ocean_blue, dist e ativos | https://yourstorage.blob.core.windows.net/UI/ |
| {your_app_service_URL} | A URL do serviço de aplicativo que você configurou | https://yourapp.azurewebsites.net |
*As informações da aplicação podem estar num locatário diferente. Esta etapa é opcional. Remova os TechnicalProfiles e OrchestrationSteps correspondentes, se não forem necessários.
Configurar a política do Azure AD B2C
Consulte Pacote inicial de políticas personalizado para obter instruções sobre como configurar seu locatário do Azure AD B2C e configurar políticas. As políticas personalizadas são um conjunto de arquivos XML que você carrega no locatário do Azure AD B2C para definir perfis técnicos e jornadas do usuário.
Observação
Recomendamos que você adicione a notificação de consentimento na página de coleta de atributos. Notifique os usuários de que as informações vão para serviços de terceiros para verificação de identidade.
Testar o fluxo do usuário
- Abra o locatário do Azure AD B2C.
- Em Políticas , selecione Identity Experience Framework.
- Selecione seu SignUpSignIn criado anteriormente.
- Selecione Executar fluxo de utilizador.
- Em Aplicativo, selecione o aplicativo registrado (exemplo é JWT).
- Em URL de resposta, selecione o URL de redirecionamento.
- Selecione Executar fluxo de utilizador.
- Conclua o fluxo de inscrição.
- Crie uma conta.
- Quando o atributo user é criado, Onfido é chamado durante o fluxo.
Observação
Se o fluxo estiver incompleto, confirme se o usuário está salvo no diretório.