Průvodce implementací
Přizpůsobte své MFA pomocí šablon akcí
Pozadí
Adaptivní vícefaktorová autentizace (MFA) snižuje tření pro legitimní uživatele tím, že vyhodnocuje transakční riziko pomocí algoritmů strojového učení (ML), takže známí uživatelé na svých obvyklých místech jsou rychle sledováni na vaší platformě.
Vybudování rizikového motoru od nuly však nějakou dobu trvá a správné MFA může znamenat rozdíl mezi budováním důvěry spotřebitelů a tím, že uživatel opustí vaši platformu, protože k přihlášení bylo příliš mnoho kroků.
Pro podporu Adaptive MFA má Okta CIC okamžitě k dispozici skóre spolehlivosti ML, které vyhovuje vašim potřebám v oblasti hodnocení rizik, aby se zlepšilo uživatelské prostředí a zabezpečení pro všechny uživatele, kteří chtějí mít přístup k vaší platformě.
Tento výpočet ML můžete použít s Akcemi a vytvořit si svůj vlastní program Adaptive MFA, který řeší slepá místa, která může samostatné MFA minout, jako například:
- Jak udržujete relace legitimních uživatelů nepřerušené, ale blokujete nežádoucí provoz?
- Kdy je vhodné prezentovat druhý nebo třetí faktor?
- Co je považováno za základní pro zajištění bezpečnosti vaší platformy pomocí MFA?
V tomto příspěvku se budeme zabývat tím, jak používat akce a jaké šablony akcí jsou k dispozici hned po vybalení, abychom se dostali do praxe, pokud jde o osvědčené postupy implementace MFA.
Jako součást našeho rámce rozšiřitelnosti jsou Actions logika typu „drag-and-drop“ pro kódování/bez kódu, kterou si můžete přizpůsobit pro své vlastní aplikace a integrace, které začínají s Identitou.
Actions vám umožní přidat kód k životně důležitým bodům v autentizačním kanálu pouze pomocí javascriptu – a 2M+ npm modulů, které máte k dispozici.
Šablony akcí vás naučí, jak využít sílu akcí a dostat se na trh rychleji než konkurence, a řeší běžné případy použití, které jsou pro dnešní organizace životně důležité.
Šablona #1
Vyžadovat registraci MFA
Registrace je jedinečnou příležitostí, jak dát uživatelům na výběr, pokud jde o ověřování.
Na základě preferencí ověřování uživatele snížíte jeho tření a zapojíte je do svého bezpečnostního postoje.
Začněme s Vyžadovat registraci MFA Šablona akce.
Přejděte na Akce > Knihovna > Sestavit ze šablony.
Zde je tělo šablony:
exports.onExecutePostLogin = async (událost, api) => {
if (!event.user.multifactor?.length) {
api.multifactor.enable('any', { allowRememberBrowser: false });
}
};
Co se tu vlastně děje: Pokud nejsou zaregistrovány žádné faktory MFA, umožněte svému uživateli zapsat se do jakéhokoli, který zpřístupníte.
Šablona je jen začátek — Podívejme se na událost a objekty API:
The objekt události má mnoho různých parametrů, které zahrnují údaje o uživateli, které můžete použít k přizpůsobení svých požadavků na MFA; v tomto případě se dotazujeme na pole dostupných faktorů MFA, event.user.multifactor?.length , a pokud není žádný (!) zaregistrován, pokračujte v registraci.
Zvažte požadavek nebo specifikaci různých poskytovatelů přes objekt API — faktory zahrnují: duo, google-authenticator, opatrovník .
api.multifactor.enable(poskytovatel, možnosti)
Možnosti jako allowRememberBrowser určují, zda má být prohlížeč zapamatován, takže uživatelé mohou MFA později přeskočit. Toto je volitelná logická hodnota a výchozí hodnota je false. Můžete upravit tuto možnost prostřednictvím rozhraní API pro správu.
Nasazením a následným přetažením nové akce do procesu přihlášení (Akce > Toky > Přihlásit) a výběr Použít, vaši uživatelé se nyní musí zaregistrovat do MFA:
Opakujte výše uvedený krok, kdykoli budete chtít přidat akci ke spouštěči v kanálu ověřování.
Přizpůsobte se pomocí MFA
Přejděte na Zabezpečení > Vícefaktorové ověřovánía vyberte faktory, které chcete mít k dispozici koncovým uživatelům.
Přejděte dolů na Další možnostia přepněte možnost na Přizpůsobte faktory MFA pomocí akcí. To vám umožní přidat vlastní logiku akcí s naší předpřipravenou inteligencí Adaptive MFA ML.
Zde je několik základních informací, které je třeba vzít v úvahu o transakci uživatele při kódování, aby odpovídalo vašim bezpečnostním příručkám:
- Za jakých podmínek potřebuji, aby se můj uživatel znovu autentizoval?
- Jak záleží na informacích o jejich relaci, pokud jde o provedení dané transakce?
- Jaká omezení podnikových zásad se promítají do zásad aplikací?
S ohledem na tyto úvahy si projdeme krok za krokem, jak implementovat adaptivní MFA se šablonami akcí.
Šablona #2
Spustit MFA, když je splněna podmínka
Tato šablona využívá naše adaptivní hodnocení rizik/důvěry MFA – na základě vyhodnocení rizik můžete potenciálně zabránit špatným aktérům, ale také vytvořit bezpečnostní vztah se svými zákazníky, který bude sloužit jako faktor pro případ, že bude zjištěno nové nebo anomální chování.
V této šabloně je nové zařízení hodnocenou podmínkou pro další výzvy MFA; máte následující objekty hodnocení rizik k dispozici pro hlasování o skóre spolehlivosti:
- Nové zařízení
- ImpossibleTravel
- NedůvěryhodnýIP
- Telefonní číslo
Můžete dokonce kombinovat hodnocení, abyste se rozhodli výsledek akce; napřample, pokud dojde k nemožnému cestování, můžete zcela zablokovat transakci uživatele.
exports.onExecutePostLogin = async (událost, api) => {
// Rozhodněte, které skóre spolehlivosti by mělo spustit makrofinanční pomoc, získáte další informace
informace odkazovat
// https://auth0.com/docs/secure/multi-factor-authentication/adaptivemfa/
custom-adaptive-mfa#continuous-scores
const promptConfidences = ['nízká', 'střední'];
// Přample condition: výzva MFA pouze na základě NewDevice
// úroveň spolehlivosti, toto vyzve k zadání MFA, když se uživatel přihlašuje
in
// z neznámého zařízení.
stálá důvěra =
událost.ověření?.Posouzení rizik?.hodnocení?.NovéZařízení
?.důvěra;
const shouldPromptMfa =
důvěra && promptConfidences.includes(důvěra);
// Má smysl žádat o MFA pouze tehdy, když má uživatel alespoň
jeden
// zapsaný faktor MFA.
const canPromptMfa =
event.user.multifactor && event.user.multifactor.length > 0;
if (shouldPromptMfa && canPromptMfa) {
api.multifactor.enable('any', { allowRememberBrowser: true });
}
};
Šablona #3
Spustit MFA, když je IP adresa mimo konkrétní rozsah IP adres
Tato šablona omezuje přístup k dané aplikaci, například k podnikové síti a používá knihovnu ipaddr.js k analýze IP adresa v tomto případě spustit oznámení push přes Guardian:
exports.onExecutePostLogin = async (událost, api) => {
const ipaddr = require('ipaddr.js');
// získejte důvěryhodný CIDR a ujistěte se, že je platný
const corp_network = event.secrets.TRUSTED_CIDR;
if (!corp_network) {
return api.access.deny('Neplatná konfigurace');
}
// analyzovat IP požadavku z a zajistit, že je platná
nech aktuální_ip;
zkuste {
aktuální_ip = ipaddr.parse(event.request.ip);
} catch (chyba) {
return api.access.deny('Neplatný požadavek');
}
// analyzovat CIDR a zajistit platnost
nechat cidr;
zkuste {
cidr = ipaddr.parseCIDR(corp_network);
} catch (chyba) {
return api.access.deny('Neplatná konfigurace');
}
// vynutit MFA opatrovníka, pokud IP není v důvěryhodné alokaci
if (!current_ip.match(cidr)) {
api.multifactor.enable('guardian', { allowRememberBrowser: false });
}
};
Šablona #4
Vyžadovat MFA jednou za relaci
Tato šablona dělá něco trochu jiného než ostatní.
Namísto toho, abyste udrželi uživatele mimo, tato konfigurace vám pomůže dosáhnout tiché ověřování, která umožňuje uživateli přejít na relaci z obvyklého prostředí prohlížeče, aniž by musel být vyzván k MFA.
exports.onExecutePostLogin = async (událost, api) => {
// pokud je pole autentizačních metod platné a obsahuje a
metoda s názvem 'mfa', mfa již byla v této relaci provedena
pokud (
!událost.ověření ||
!Array.isArray(událost.autentizační.metody) ||
!event.authentication.methods.find((metoda) => method.name === 'mfa')
) {
api.multifactor.enable('jakýkoli');
}
};
Shrnutí
Naše šablony se zabývaly tím, jak vynutit MFA při registraci, mimo podnikovou síť, na relaci, a začátky adaptivní implementace MFA.
Všechny tyto šablony umožňují fungování našeho univerzálního přihlášení v různých kontextech ověřování, což znamená, že uživatelské prostředí můžete nechat na nás.
Pomocí Akce můžete vytvořit celý tok zabezpečení, který bude odpovídat případům použití zabezpečení vaší organizace, a také eliminovat třenice pro legitimní uživatele, kteří jsou na stupnici spolehlivosti vysoko.
O Oktě
Okta je společnost World's Identity Company. Jako přední nezávislý partner Identity umožňujeme každému bezpečně používat jakoukoli technologii – kdekoli, na jakémkoli zařízení nebo aplikaci. Nejdůvěryhodnější značky důvěřují Oktě, že umožňuje bezpečný přístup, ověřování a automatizaci. Díky flexibilitě a neutralitě, která je jádrem našich cloudů Okta Workforce Identity a Customer Identity, se mohou obchodní vedoucí a vývojáři zaměřit na inovace a urychlit digitální transformaci díky přizpůsobitelným řešením a více než 7,000 XNUMX předem připravených integrací. Budujeme svět, kde Identita patří vám. Více se dozvíte na okta.com.
Auth0 je základní technologie společnosti Okta a její vlajkové produktové řady — Okta Customer Identity Cloud. Vývojáři se mohou dozvědět více a vytvořit si účet zdarma na Auth0.com.
Dokumenty / zdroje
 |
Aplikace okta Adaptive Multi Factor Authentication App [pdfUživatelská příručka Adaptivní vícefaktorová autentizace, aplikace adaptivní vícefaktorové autentizace, aplikace |
