Guide d'implémentation
Rendez votre MFA adaptatif avec des modèles d'actions
Arrière-plan
L'authentification multifacteur adaptative (MFA) réduit les frictions pour les utilisateurs légitimes en évaluant le risque de transaction avec des algorithmes d'apprentissage automatique (ML), de sorte que les utilisateurs connus dans leurs terrains de jeu habituels sont rapidement dirigés vers votre plateforme.
Mais il faut du temps pour créer un moteur de risque à partir de zéro, et une MFA efficace peut faire la différence entre l’instauration de la confiance du consommateur et l’abandon de votre plateforme par un utilisateur en raison de trop d’étapes de connexion.
Pour alimenter l'AMF adaptative, Okta CIC dispose d'un système de notation de confiance ML prêt à l'emploi pour répondre à vos besoins d'évaluation des risques, afin d'améliorer l'expérience utilisateur et la sécurité pour tous les utilisateurs qui souhaitent accéder à votre plateforme.
Vous pouvez utiliser ce calcul ML avec des actions et créer votre propre programme MFA adaptatif qui résout les angles morts que le MFA autonome peut manquer, tels que :
- Comment maintenir les sessions des utilisateurs légitimes ininterrompues tout en bloquant le trafic indésirable ?
- Quand est-il approprié de présenter un deuxième ou un troisième facteur ?
- Qu’est-ce qui est considéré comme fondamental pour assurer la sécurité de votre plateforme avec MFA ?
Dans cet article, nous allons aborder comment utiliser les actions et quels modèles d'actions sont disponibles prêts à l'emploi afin de vous permettre de démarrer rapidement en matière de bonnes pratiques de mise en œuvre de l'authentification multifacteur.
Dans le cadre de notre cadre d'extensibilité, les actions sont une logique de glisser-déposer pro-code/sans code que vous pouvez personnaliser pour vos propres applications et intégrations qui commencent par Identity.
Actions vous permet d'ajouter du code à des points vitaux dans le pipeline d'authentification avec juste JavaScript — et plus de 2 millions de modules npm à votre disposition.
Les modèles d'actions vous apprennent à exploiter la puissance des actions et à commercialiser vos produits plus rapidement que la concurrence, en répondant aux cas d'utilisation courants qui sont essentiels pour les organisations d'aujourd'hui.
Modèle n°1
Exiger une inscription au MFA
L’inscription est une opportunité unique de donner aux utilisateurs un choix en matière d’authentification.
En fonction des préférences d'authentification d'un utilisateur, vous réduisez les frictions pour lui et l'amenez à adhérer à votre posture de sécurité.
Commençons par le Exiger une inscription au MFA Modèle d'action.
Accéder à Actions > Bibliothèque > Créer à partir d'un modèle.
Voici le corps du modèle :
exportations.onExecutePostLogin = async (événement, api) => {
si (!event.user.multifactor?.length) {
api.multifactor.enable('any', { allowRememberBrowser: false });
}
};
Que se passe-t-il réellement ici : S'il n'y a aucun facteur MFA inscrit, autorisez votre utilisateur à s'inscrire à ceux que vous mettez à disposition.
Un modèle n'est que le début — Jetons un œil aux objets événement et API :
Le objet événement possède de nombreux paramètres différents, qui incluent des données sur l'utilisateur, que vous pouvez utiliser pour personnaliser vos exigences MFA ; dans ce cas, nous interrogeons le tableau des facteurs MFA disponibles, event.user.multifactor?.length, et s'il n'y en a aucun (!) inscrit, continuons l'inscription.
Envisager d’exiger ou de spécifier des fournisseurs différents via l'objet API — les facteurs incluent : duo, google-authenticator, guardian .
api.multifactor.enable(fournisseur, options)
Des options comme allowRememberBrowser déterminent si le navigateur doit être mémorisé, afin que les utilisateurs puissent ignorer l'authentification multifacteur ultérieurement. Il s'agit d'une valeur booléenne facultative, dont la valeur par défaut est « false ». Vous pouvez modifier cette option via l'API de gestion.
En déployant, puis en faisant glisser et en déposant votre nouvelle action dans le flux de connexion (Actions > Flux > Connexion) et en sélectionnant Appliquer, vos utilisateurs doivent désormais s'inscrire à MFA :
Répétez l’étape ci-dessus chaque fois que vous souhaitez ajouter une action à un déclencheur dans le pipeline d’authentification.
S'adapter à votre MFA
Accéder à Sécurité > Authentification multifacteuret sélectionnez les facteurs que vous souhaitez rendre disponibles pour vos utilisateurs finaux.
Faites défiler vers le bas pour Options supplémentaires, et basculez l'option sur Personnaliser les facteurs MFA à l'aide d'actionsCela vous permet d'ajouter votre propre logique d'actions avec notre intelligence ML MFA adaptative prête à l'emploi.
Voici quelques informations essentielles à prendre en compte concernant la transaction d'un utilisateur lors du codage pour correspondre à vos manuels de sécurité :
- Dans quelles conditions mon utilisateur doit-il se réauthentifier ?
- En quoi leurs informations de session sont-elles importantes lorsqu’il s’agit d’effectuer une transaction donnée ?
- Quelles restrictions de politique d’entreprise se traduisent en politiques d’application ?
Avec ces considérations à l’esprit, examinons, étape par étape, comment implémenter l’authentification multifacteur adaptative avec des modèles d’actions.
Modèle n°2
Déclencher l'AMF lorsque la condition est remplie
Ce modèle utilise notre notation de risque/confiance MFA adaptative. En fonction de l'évaluation des risques, vous pouvez potentiellement empêcher les mauvais acteurs d'entrer, mais également établir une relation de sécurité avec vos clients pour vous servir vous-même avec un facteur dans le cas où un comportement nouveau ou anormal est détecté.
Dans ce modèle, newDevice est la condition évaluée pour les invites MFA supplémentaires ; vous avez les éléments suivants objets d'évaluation des risques disponible pour interroger un score de confiance :
- Nouvel appareil
- ImpossibleTravel
- IP non fiable
- Numéro de téléphone
Vous pouvez même combiner des évaluations pour prendre une décision sur le résultat de l'action; pour example, si un voyage impossible se produit, vous pouvez bloquer complètement la transaction de l'utilisateur.
exportations.onExecutePostLogin = async (événement, api) => {
// Décidez quels scores de confiance doivent déclencher l'AMF, pour en savoir plus
les informations se réfèrent à
// https://auth0.com/docs/secure/multi-factor-authentication/adaptivemfa/
personnaliser-adaptive-mfa#scores-de-confiance
const promptConfidences = ['faible', 'moyen'];
// Exampla condition : invite MFA uniquement en fonction du NewDevice
// niveau de confiance, cela demandera l'authentification multifacteur lorsqu'un utilisateur se connecte
in
// depuis un appareil inconnu.
confiance constante =
événement.authentification?.évaluation des risques?.évaluations?.nouveau périphérique
?.confiance;
const shouldPromptMfa =
confiance && promptConfidences.includes(confiance);
// Il n'est logique de demander l'authentification multifacteur que lorsque l'utilisateur dispose d'au moins
un
// facteur MFA inscrit.
const canPromptMfa =
événement.utilisateur.multifacteur && événement.utilisateur.multifacteur.longueur > 0 ;
si (devraitPromptMfa && peutPromptMfa) {
api.multifactor.enable('any', { allowRememberBrowser: true });
}
};
Modèle n°3
Déclencher MFA lorsque l'adresse IP demandée provient de l'extérieur d'une plage d'adresses IP spécifique
Ce modèle restreint l'accès à une application donnée, par exemple à un réseau d'entreprise, et utilise la bibliothèque ipaddr.js pour analyser les IP, et, dans ce cas, déclencher une notification push via Guardian :
exportations.onExecutePostLogin = async (événement, api) => {
const ipaddr = require('ipaddr.js');
// obtenir le CIDR de confiance et s'assurer qu'il est valide
const corp_network = event.secrets.TRUSTED_CIDR;
si (!corp_network) {
renvoyer api.access.deny('Configuration invalide');
}
// analyser l'adresse IP de la requête et s'assurer qu'elle est valide
laissez current_ip;
essayer {
current_ip = ipaddr.parse(event.request.ip);
} catch (erreur) {
return api.access.deny('Requête invalide');
}
// analyser le CIDR et garantir la validité
laissez cidre;
essayer {
cidr = ipaddr.parseCIDR(réseau_entreprise);
} catch (erreur) {
renvoyer api.access.deny('Configuration invalide');
}
// appliquer le MFA du tuteur si l'adresse IP ne se trouve pas dans l'allocation approuvée
si (!current_ip.match(cidr)) {
api.multifactor.enable('guardian', { allowRememberBrowser: false });
}
};
Modèle n°4
Nécessite une MFA une fois par session
Ce modèle fait quelque chose d'un peu différent des autres.
Au lieu d'exclure les utilisateurs, cette configuration vous aide à atteindre authentification silencieuse, qui permet à un utilisateur de poursuivre sa session à partir de son navigateur habituel sans avoir à être invité à utiliser l'authentification multifacteur.
exportations.onExecutePostLogin = async (événement, api) => {
// si le tableau de méthodes d'authentification est valide et contient un
méthode nommée « mfa », mfa a déjà été effectuée dans cette session
si (
!événement.authentification ||
!Array.isArray(event.authentication.methods) ||
!event.authentication.methods.find((méthode) => méthode.nom === 'mfa')
) {
api.multifactor.enable('tout');
}
};
Résumé
Nos modèles expliquent comment appliquer l’authentification multifacteur lors de l’inscription, en dehors d’un réseau d’entreprise, par session, ainsi que les débuts d’une implémentation de l’authentification multifacteur adaptative.
Tous ces modèles alimentent le fonctionnement de notre connexion universelle dans différents contextes d'authentification, ce qui signifie que vous pouvez nous laisser l'expérience utilisateur.
Avec Actions, vous pouvez créer un flux de sécurité complet pour correspondre aux cas d'utilisation de sécurité de votre organisation et également éliminer les frictions pour les utilisateurs légitimes qui ont un niveau de confiance élevé.
À propos d'Okta
Okta est la société d'identité mondiale. En tant que partenaire d'identité indépendant de premier plan, nous permettons à chacun d'utiliser en toute sécurité n'importe quelle technologie, n'importe où, sur n'importe quel appareil ou application. Les marques les plus fiables font confiance à Okta pour permettre un accès, une authentification et une automatisation sécurisés. Avec la flexibilité et la neutralité au cœur de nos solutions cloud Okta Workforce Identity et Customer Identity, les chefs d'entreprise et les développeurs peuvent se concentrer sur l'innovation et accélérer la transformation numérique, grâce à des solutions personnalisables et à plus de 7,000 XNUMX intégrations prédéfinies. Nous construisons un monde où l'identité vous appartient. Pour en savoir plus, rendez-vous sur okta.com.
Auth0 est une technologie fondamentale d'Okta et de sa gamme de produits phare, Okta Customer Identity Cloud. Les développeurs peuvent en savoir plus et créer un compte gratuitement sur Auth0.com.
Documents / Ressources
 |
Application d'authentification multifacteur adaptative Okta [pdf] Guide de l'utilisateur Authentification multifacteur adaptative, application d'authentification multifacteur adaptative, application |
