Guida di Implementazione
Fate u vostru MFA adattativu cù mudelli d'azzioni
Sfondate
L'autenticazione multifattoriale adattativa (MFA) riduce l'attrito per l'utilizatori legittimi evaluendu u risicu di transazzione cù algoritmi di apprendimentu automaticu (ML), in modu chì l'utilizatori cunnisciuti in i so terreni di stomping abituali sò rapidamente tracciati nantu à a vostra piattaforma.
Ma, ci vole u tempu per custruisce un mutore di risicu da zero, è ottene MFA ghjustu pò fà a diferenza trà a creazione di a fiducia di i cunsumatori, è un utilizatore chì abbandunà a vostra piattaforma perchè ci era troppu passi per login.
Per alimentà l'MFA Adattivu, Okta CIC hà un punteghju di fiducia ML dispunibule fora di a scatula per adattà à i vostri bisogni di valutazione di risicu, per migliurà UX è a sicurità per tutti l'utilizatori chì volenu accede à a vostra piattaforma.
Pudete aduprà stu calculu ML cù Actions, è creà u vostru propiu prugramma Adaptive MFA chì risolve i punti cechi chì l'MFA standalone pò mancassi, cum'è:
- Cumu mantene e sessioni di l'utilizatori legittimi ininterrotte ma bluccà u trafficu indesideratu?
- Quandu hè appruvatu di prisentà un secondu o terzu fattore?
- Ciò chì hè cunsideratu fundamentale per mantene a vostra piattaforma sicura cù MFA?
In questu post andemu à copre cumu utilizà l'Azzioni, è quali mudelli di Azioni sò dispunibuli fora di a scatula in modu di chjappà in terra quandu si tratta di e migliori pratiche di implementazione MFA.
Comu parte di u nostru quadru di estensibilità, l'Azzioni sò una logica pro-code / senza codice di drag-and-drop chì pudete persunalizà per e vostre propiu applicazioni è integrazioni chì cumincianu cù Identità.
Actions vi permette di aghjunghje codice à punti vitali in u pipeline di autentificazione cù solu javascript - è 2M + moduli npm à a vostra dispusizione.
I mudelli Actions vi insegnanu cumu sfruttà u putere di Actions, è ghjunghje à u mercatu più veloce di a cumpetizione, affruntendu casi d'usu cumuni chì sò vitali per l'urganisazioni oghje.
Template #1
Esige l'iscrizzione MFA
L'iscrizzione hè una opportunità unica per dà l'utilizatori una scelta quandu si tratta di l'autentificazione.
Basatu nantu à a preferenza di l'autentificazione di l'utilizatore, diminuite l'attrito per elli, è li mette à bordu cù a vostra postura di sicurità.
Cuminciamu cù u Esige l'iscrizzione MFA U mudellu d'azzione.
Navigate à Actions> Library> Custruisce da Template.
Eccu u corpu di u mudellu:
exports.onExecutePostLogin = async (avvenimentu, api) => {
if (!event.user.multifactor?.length) {
api.multifactor.enable('qualsiasi', { allowRememberBrowser: false });
}
};
Ciò chì succede veramente quì: Se ùn ci sò micca fattori MFA iscritti, permette à u vostru utilizatore di iscrive in quellu chì rende dispunibule.
Un mudellu hè solu u principiu - Fighjemu un ochju à l'avvenimentu è l'uggetti api:
U ughjettu di l'avvenimentu hà parechji paràmetri diffirenti, chì includenu dati nantu à l'utilizatori, chì pudete aduprà per persunalizà e vostre esigenze MFA; in questu casu, simu polling l'array of available MFA factors, event.user.multifactor?.length , è s'ellu ùn ci hè nimu (!) iscrittu, cuntinuà cù l'iscrizzione.
Cunsiderate di dumandà o di specificà diversi fornitori via l'ughjettu API - fattori include: duo, google-authenticator, guardian .
api.multifactor.enable (furnitore, opzioni)
Opzioni cum'è allowRememberBrowser determina se u navigatore deve esse ricurdatu, perchè l'utilizatori ponu saltà MFA dopu. Questu hè un boolean opcional, è u predeterminatu hè falsu. Poi mudificà sta opzione via l'API di gestione.
Implementendu, poi trascinendu è lasciate a vostra nova azzione in u flussu di login (Azzioni > Flussi > Login) è selezziunate Applica, i vostri utenti sò avà tenuti à iscrizzione in MFA:
Repetite u passu sopra ogni volta chì vulete aghjunghje una Azione à un trigger in u pipeline di autentificazione.
Aduprate cù u vostru MFA
Navigate à Sicurezza> Autentificazione multifattore, è selezziunate i fatturi chì vulete esse dispunibule per i vostri utilizatori finali.
Scroll down to Opzioni supplementari, è cambia l'opzione à Personalizà i Fattori MFA usendu Azioni. Questu permette di aghjunghje a vostra propria logica di Azioni cù a nostra intelligenza Adaptive MFA ML out-of-the-box.
Eccu alcuni pezzi primari d'infurmazioni da cunsiderà nantu à a transazzione di un utilizatore quandu codifica per currisponde à i vostri libri di sicurezza:
- Chì cundizioni aghju bisognu di u mo utilizatore per riautentificà?
- Cumu importa a so informazione di sessione quandu si tratta di fà una transazzione determinata?
- Chì restrizioni di a pulitica corporativa si traducenu in e pulitiche d'applicazione?
Cù queste considerazioni in mente, andemu à traversu, passu per passu, cumu implementà i mudelli Adaptive MFA cù Azioni.
Template #2
Trigger MFA quandu a cundizione hè cumpleta
Stu mudellu face usu di u nostru Adaptive MFA riscu / cunfidenza puntuazione - basatu annantu à a valutazione di u risicu, pudete potenzalmentu mantene l'attori cattivi fora, ma ancu custruisce un rapportu di sicurezza cù i vostri clienti per autoservà cù un fattore in casu chì un cumpurtamentu novu o anomalu hè rilevatu.
In questu mudellu, newDevice hè a cundizione valutata per richieste MFA supplementari; avete i seguenti oggetti di valutazione di risicu dispunibule per sondaghju un puntu di cunfidenza:
- Dispositivu novu
- Impossible Travel
- IP senza fiducia
- Numeru di telefonu
Pudete ancu cumminà valutazioni per fà una determinazione u risultatu di l'Azione; per esample, s'è u viaghju impussibile accade, pudete bluccà a transazzione di l'utilizatore in tuttu.
exports.onExecutePostLogin = async (avvenimentu, api) => {
// Decide quali punteggi di fiducia duveranu attivà MFA, per più
infurmazione riferite à
// https://auth0.com/docs/secure/multi-factor-authentication/adaptivemfa/
customize-adaptive-mfa#confidence-scores
const promptConfidences = ['bassu', 'mediu'];
// Esample condition: prompt MFA solu basatu nantu à u NewDevice
// Livellu di cunfidenza, questu dumandarà MFA quandu un utilizatore hè logu
in
// da un dispositivu scunnisciutu.
cunfidenza constante =
event.authentication?.riskAssessment?.assessments?.NewDevice
?.confidenza;
const shouldPromptMfa =
cunfidenza && promptConfidences.includes(confidenza);
// Hè sensu solu per dumandà MFA quandu l'utilizatore hà almenu
unu
// fattore MFA iscrittu.
const canPromptMfa =
event.user.multifactor && event.user.multifactor.length > 0;
if (souldPromptMfa && canPromptMfa) {
api.multifactor.enable('qualsiasi', { allowRememberBrowser: true });
}
};
Template #3
Trigger MFA quandu l'IP dumandata hè fora di un intervallu IP specificu
Stu mudellu restringe l'accessu à una determinata applicazione per dì, una reta corporativa, è usa a libreria ipaddr.js per analizà l'IP, è, in questu casu, attivate una notificazione push via Guardian:
exports.onExecutePostLogin = async (avvenimentu, api) => {
const ipaddr = require('ipaddr.js');
// uttene u CIDR di fiducia è assicuratevi chì hè validu
const corp_network = event.secrets.TRUSTED_CIDR;
if (!corp_network) {
return api.access.deny('Configurazione invalida');
}
// analizà a dumanda IP da è assicuratevi chì hè valida
lascia current_ip;
pruvà {
current_ip = ipaddr.parse (event.request.ip);
} catch (errore) {
return api.access.deny('Richiesta invalida');
}
// analizà u CIDR è assicurà a validità
lasciate cidr;
pruvà {
cidr = ipaddr.parseCIDR (corp_network);
} catch (errore) {
return api.access.deny('Configurazione invalida');
}
// infurzà u guardianu MFA se l'IP ùn hè micca in l'allocazione di fiducia
if (!current_ip.match (cidr)) {
api.multifactor.enable('guardianu', { allowRememberBrowser: false });
}
};
Template #4
Esige MFA una volta per sessione
Stu mudellu faci qualcosa un pocu sfarente da l'altri.
Invece di mantene l'utilizatori fora, sta cunfigurazione vi aiuta à ottene autenticazione silenziosa, chì sustene un utilizatore per andà in a so sessione da u so navigatore abituale stomping grounds senza avè da esse dumandatu per MFA.
exports.onExecutePostLogin = async (avvenimentu, api) => {
// se l'array di metudi di autentificazione hè validu è cuntene a
metudu chjamatu 'mfa', mfa hè statu fattu in questa sessione digià
si (
!event.authentication ||
!Array.isArray(event.authentication.methods) ||
!event.authentication.methods.find((metudu) => method.name === 'mfa')
) {
api.multifactor.enable('qualsiasi');
}
};
Riassuntu
I nostri mudelli copreu cumu applicà l'MFA in a registrazione, fora di una rete corporativa, per sessione, è l'iniziu di una implementazione MFA adattativa.
Tutti questi mudelli alimentanu cumu funziona u nostru login universale in diversi cuntesti di autentificazione, chì significa chì pudete lascià l'UX à noi.
Cù Actions, pudete creà un flussu di sicurità tutale per currisponde à i casi di usu di sicurezza di a vostra urganizazione, è ancu eliminà l'attrito per l'utilizatori legittimi chì sò in alta scala di fiducia.
À propositu di Okta
Okta hè a Cumpagnia d'identità di u mondu. Cum'è u principale partenariu d'identità indipendente, liberemu tutti à aduprà in modu sicuru qualsiasi tecnulugia - in ogni locu, in ogni dispositivu o app. I marchi più affidati cunfidanu Okta per attivà l'accessu sicuru, l'autentificazione è l'automatizazione. Cù flessibilità è neutralità in u core di i nostri Okta Workforce Identity and Customer Identity Clouds, i dirigenti di l'imprese è i sviluppatori ponu fucalizza nantu à l'innuvazione è accelerà a trasfurmazioni digitale, grazie à soluzioni persunalizabili è più di 7,000 integrazioni pre-custruite. Custruemu un mondu induve l'identità vi appartene. Sapete più à okta.com.
Auth0 hè una tecnulugia fundamentale di Okta è a so linea di prudutti di punta - Okta Customer Identity Cloud. I sviluppatori ponu amparà di più è creà un contu gratuitamente à Auth0.com.
Documenti / Risorse
 |
okta App di autenticazione multifattore adattativa [pdfGuida di l'utente Autenticazione multifattore adattativa, App di autenticazione multifattore adattativa, App |
