Vodič za implementaciju
Učinite svoj MFA prilagodljiv s predlošcima akcija
Pozadina
Prilagodljiva višefaktorska autentikacija (MFA) smanjuje trenje za legitimne korisnike procjenom rizika transakcije pomoću algoritama mašinskog učenja (ML), tako da se poznati korisnici u njihovim uobičajenim uslovima brzo pronalaze na vašoj platformi.
Ali, potrebno je vrijeme da se napravi mehanizam rizika od nule, a ispravan MFA može napraviti razliku između izgradnje povjerenja potrošača i korisnika koji napušta vašu platformu jer je bilo previše koraka za prijavu.
Da bi omogućio Adaptive MFA, Okta CIC ima dostupnost ocjene pouzdanosti ML-a odmah iz kutije kako bi odgovarala vašim potrebama procjene rizika, kako bi se poboljšao UX i sigurnost za sve korisnike koji žele pristupiti vašoj platformi.
Možete koristiti ovaj ML izračun s Actions i kreirati vlastiti Adaptive MFA program koji rješava slijepe točke koje samostalni MFA može propustiti, kao što su:
- Kako održavati sesije legitimnih korisnika neprekidnim, ali blokirati neželjeni promet?
- Kada je prikladno predstaviti drugi ili treći faktor?
- Šta se smatra temeljnim za očuvanje sigurnosti vaše platforme uz MFA?
U ovom postu ćemo pokriti kako koristiti Akcije i koji predlošci Actions su dostupni bez upotrebe kako bismo krenuli u start kada su u pitanju najbolje prakse implementacije MFA.
Kao dio našeg okvira za proširivost, Akcije su drag-and-drop logika pro-code/no-code koju možete prilagoditi za svoje aplikacije i integracije koje počinju s Identity-om.
Actions vam omogućava da dodate kod na vitalne tačke u cevovodu za autentifikaciju samo pomoću javascripta — i 2M+ npm modula koji su vam na raspolaganju.
Predlošci Actions vas uče kako da iskoristite moć Actions i da dođete do tržišta brže od konkurencije, baveći se uobičajenim slučajevima upotrebe koji su od vitalnog značaja za organizacije danas.
Šablon #1
Zahtijeva upis u MFA
Upis je jedinstvena prilika da se korisnicima da izbor kada je u pitanju autentifikacija.
Na osnovu preferencija za autentifikaciju korisnika, vi smanjujete trenje za njih i uključujete ih u svoj sigurnosni položaj.
Počnimo sa Zahtijeva upis u MFA Predložak akcije.
Navigirajte do Radnje > Biblioteka > Napravi iz predloška.
Evo tijela šablona:
exports.onExecutePostLogin = async (događaj, api) => {
if (!event.user.multifactor?.length) {
api.multifactor.enable('any', { allowRememberBrowser: false });
}
};
Šta se ovde zaista dešava: Ako nema upisanih MFA faktora, dozvolite svom korisniku da se upiše u bilo koji faktor koji vi učinite dostupnim.
Šablon je samo početak — pogledajmo događaj i api objekte:
The objekt događaja ima mnogo različitih parametara, koji uključuju podatke o korisniku, koje možete koristiti da prilagodite svoje MFA zahtjeve; u ovom slučaju, ispitujemo niz dostupnih MFA faktora, event.user.multifactor?.length , i ako nijedan (!) nije upisan, nastavite sa upisom.
Razmislite o zahtijevanju ili navođenju različitih provajdera preko API objekta — faktori uključuju: duo, google autentifikator, čuvar .
api.multifactor.enable(provajder, opcije)
Opcije poput allowRememberBrowser određuju da li pretraživač treba da se zapamti, tako da korisnici mogu kasnije preskočiti MFA. Ovo je opcioni boolean, a zadana vrijednost je lažna. Možeš izmijenite ovu opciju putem API-ja za upravljanje.
Postavljanjem, a zatim povlačenjem i ispuštanjem vaše nove radnje u tok prijave (Akcije > Tokovi > Prijava) i odabirom Prijavite se, vaši korisnici sada moraju da se upišu u MFA:
Ponovite gornji korak kad god želite da dodate radnju okidaču u cjevovodu za provjeru autentičnosti.
Prilagođavanje sa svojim MFA
Navigirajte do Sigurnost > Višefaktorska autentifikacija, i odaberite faktore za koje želite da budu dostupni vašim krajnjim korisnicima.
Pomaknite se dolje do Dodatne opcije, i prebacite opciju na Prilagodite MFA faktore koristeći akcije. Ovo vam omogućava da dodate vlastitu logiku radnji s našom Adaptive MFA ML inteligencijom.
Evo nekoliko primarnih informacija koje treba uzeti u obzir o korisnikovoj transakciji kada kodirate kako bi odgovarali vašim sigurnosnim knjigama:
- Koje uslove trebam da moj korisnik ponovo autentifikuje?
- Koliko su bitne njihove informacije o sesiji kada je u pitanju izvođenje date transakcije?
- Koja se ograničenja korporativne politike pretvaraju u politike primjene?
Imajući na umu ova razmatranja, prođimo, korak po korak, kako implementirati Adaptive MFA sa predlošcima Actions.
Šablon #2
Aktivirajte MFA kada je uslov ispunjen
Ovaj predložak koristi našu prilagodljivu MFA bodovanje rizika/pouzdanja — na osnovu procjene rizika, potencijalno možete spriječiti loše aktere, ali i izgraditi sigurnosni odnos sa svojim klijentima kako biste sami sebi poslužili faktorom u slučaju da se otkrije novo ili anomalno ponašanje.
U ovom predlošku, newDevice je procijenjeni uslov za dodatne MFA upite; imate sljedeće objekti procjene rizika dostupno za ispitivanje rezultata povjerenja:
- NewDevice
- ImpossibleTravel
- UntrustedIP
- Telefonski broj
Možete čak i kombinirati procjene kako biste donijeli odluku ishod akcije; za prample, ako dođe do nemogućeg putovanja, možete u potpunosti blokirati transakciju korisnika.
exports.onExecutePostLogin = async (događaj, api) => {
// Odlučite koji rezultati pouzdanosti trebaju pokrenuti MFA, za više
informacije se odnose na
// https://auth0.com/docs/secure/multi-factor-authentication/adaptivemfa/
customize-adaptive-mfa#confidence-scores
const promptConfidences = ['nizak', 'srednji'];
// Example uslov: zatraži MFA samo na osnovu NewDevice
// nivo pouzdanosti, ovo će zatražiti MFA kada se korisnik prijavljuje
in
// sa nepoznatog uređaja.
const confidence =
event.authentication?.riskAssessment?.assessments?.NewDevice
?.pouzdanje;
const shouldPromptMfa =
povjerenje && promptConfidences.includes(pouzdanje);
// Ima smisla tražiti MFA samo kada korisnik ima barem
jedan
// upisani MFA faktor.
const canPromptMfa =
event.user.multifactor && event.user.multifactor.length > 0;
if (trebaPromptMfa && canPromptMfa) {
api.multifactor.enable('any', { allowRememberBrowser: true });
}
};
Šablon #3
Aktivirajte MFA kada je tražena IP adresa izvan određenog IP raspona
Ovaj predložak ograničava pristup datoj aplikaciji, recimo, korporativnoj mreži i koristi biblioteku ipaddr.js za raščlanjivanje IP-ova, i, u ovom slučaju, pokrenite push obavještenje putem Guardiana:
exports.onExecutePostLogin = async (događaj, api) => {
const ipaddr = require('ipaddr.js');
// dobijemo pouzdani CIDR i uvjerimo se da je valjan
const corp_network = event.secrets.TRUSTED_CIDR;
if (!corp_network) {
return api.access.deny('Neispravna konfiguracija');
}
// raščlaniti IP zahtjeva iz i osigurati da je ispravan
neka current_ip;
probaj {
trenutni_ip = ipaddr.parse(event.request.ip);
} uhvatiti (greška) {
return api.access.deny('Nevažeći zahtjev');
}
// raščlaniti CIDR i osigurati valjanost
let cidr;
probaj {
cidr = ipaddr.parseCIDR(corp_network);
} uhvatiti (greška) {
return api.access.deny('Neispravna konfiguracija');
}
// provodi MFA čuvara ako IP nije u pouzdanoj alokaciji
if (!current_ip.match(cidr)) {
api.multifactor.enable('guardian', { allowRememberBrowser: false });
}
};
Šablon #4
Zahtijevajte MFA jednom po sesiji
Ovaj šablon radi nešto malo drugačije od ostalih.
Umjesto da drži korisnike van, ova konfiguracija vam pomaže da postignete tiha autentifikacija, koji podržava korisnika da nastavi svoju sesiju iz svog uobičajenog pretraživača bez potrebe da bude upitan za MFA.
exports.onExecutePostLogin = async (događaj, api) => {
// ako je niz metoda provjere autentičnosti važeći i sadrži a
metoda pod nazivom 'mfa', mfa je već urađeno u ovoj sesiji
ako (
!event.authentication ||
!Array.isArray(event.authentication.methods) ||
!event.authentication.methods.find((metod) => method.name === 'mfa')
) {
api.multifactor.enable('bilo koji');
}
};
Rezime
Naši predlošci pokrivali su kako nametnuti MFA prilikom registracije, izvan korporativne mreže, po sesiji, i početke adaptivne implementacije MFA.
Svi ovi predlošci pokreću način na koji naša univerzalna prijava funkcionira u različitim kontekstima provjere autentičnosti, što znači da nam možete prepustiti UX.
Uz Akcije, možete kreirati cijeli sigurnosni tok koji će odgovarati sigurnosnim slučajevima vaše organizacije, a također eliminirati trenja za legitimne korisnike koji su visoko na ljestvici pouzdanosti.
O Okti
Okta je svjetska kompanija za identitet. Kao vodeći nezavisni Identity partner, oslobađamo svakoga da sigurno koristi bilo koju tehnologiju - bilo gdje, na bilo kojem uređaju ili aplikaciji. Najpouzdaniji brendovi vjeruju Okti kako bi omogućili siguran pristup, autentifikaciju i automatizaciju. Uz fleksibilnost i neutralnost u srži našeg Okta Workforce Identity i Customer Identity Clouda, poslovni lideri i programeri mogu se fokusirati na inovacije i ubrzati digitalnu transformaciju, zahvaljujući prilagodljivim rješenjima i više od 7,000 unaprijed izgrađenih integracija. Gradimo svijet u kojem Identitet pripada vama. Saznajte više na okta.com.
Auth0 je temeljna tehnologija Okte i njene vodeće linije proizvoda — Okta Customer Identity Cloud. Programeri mogu saznati više i kreirati račun besplatno na Auth0.com.
Dokumenti / Resursi
 |
okta Adaptive Multi Factor Authentication App [pdf] Korisnički priručnik Prilagodljiva višefaktorska autentikacija, aplikacija prilagodljive višefaktorske autentifikacije, aplikacija |
