okta Adaptive Multi Factor Authentication App User Guide

Framkvæmdaleiðbeiningar

Gerðu MFA aðlögunarhæfni með aðgerðasniðmátum

Bakgrunnur

Aðlagandi fjölþátta auðkenning (MFA) dregur úr núningi fyrir lögmæta notendur með því að meta viðskiptaáhættu með vélrænni (ML) reikniritum, þannig að þekktir notendur á sínum venjulegu staði eru fljótir að rekja inn á pallinn þinn.

En það tekur tíma að byggja áhættuvél frá grunni og að fá MFA rétt getur skipt sköpum á milli þess að byggja upp traust neytenda og að notandi yfirgefur vettvang þinn vegna þess að það voru of mörg skref til að skrá þig inn.

Til að knýja Adaptive MFA hefur Okta CIC ML sjálfstraustskorun í boði beint úr kassanum til að henta áhættumatsþörfum þínum, til að bæta notendanotkun og öryggi fyrir alla notendur sem vilja fá aðgang að vettvanginum þínum.

Þú getur notað þennan ML útreikning með Actions og búið til þitt eigið Adaptive MFA forrit sem leysir blinda bletti sem sjálfstæður MFA gæti misst af, eins og:

• Hvernig heldurðu ótruflunum lögmætum notendalotum en lokar fyrir óæskilega umferð?
• Hvenær er rétt að setja fram annan eða þriðja þátt?
• Hvað er talið grunnurinn til að halda vettvangi þínum öruggum með MFA?

Í þessari færslu ætlum við að fjalla um hvernig á að nota Actions og hvaða Actions sniðmát eru fáanleg úr kassanum til að komast í gang þegar kemur að bestu starfsvenjum MFA innleiðingar.

Sem hluti af stækkanleikaramma okkar, Actions eru drag-and-drop pro-code/no-code rökfræði sem þú getur sérsniðið fyrir þín eigin forrit og samþættingar sem byrja með Identity.

Aðgerðir gerir þér kleift að bæta kóða við mikilvæga punkta í auðkenningarleiðslunni með bara javascript - og 2M+ npm einingum til ráðstöfunar.

Actions sniðmát kenna þér hvernig á að virkja kraft Actions og komast hraðar á markað en samkeppnisaðilinn, og takast á við algeng notkunartilvik sem eru mikilvæg fyrir stofnanir í dag.

Snið #1

Krefjast MFA skráningar

Skráning er einstakt tækifæri til að gefa notendum val þegar kemur að auðkenningu.

Byggt á auðkenningarvali notanda dregur þú úr núningi fyrir þá og færð þá um borð með öryggisstöðu þinni.

Við skulum byrja með Krefjast MFA skráningar Aðgerðarsniðmát.

Siglaðu til Aðgerðir > Bókasafn > Byggja úr sniðmáti.

Hér er meginmál sniðmátsins:

exports.onExecutePostLogin = ósamstilltur (atburður, api) => {
if (!event.user.multifactor?.length) {
api.multifactor.enable('any', { allowRememberBrowser: false });
}
};

Hvað er eiginlega að gerast hér: Ef það eru engir MFA þættir skráðir, leyfðu notandanum að skrá sig í hvaða sem þú gerir aðgengilega.

Sniðmát er aðeins byrjunin - Við skulum skoða atburðinn og API-hluti:

The atburðarhlutur hefur margar mismunandi breytur, sem innihalda gögn um notandann, sem þú getur notað til að sérsníða MFA kröfur þínar; í þessu tilviki erum við að skoða fjölda tiltækra MFA þátta, event.user.multifactor?.length , og ef það eru engir (!) skráðir, haltu áfram með skráningu.

Íhugaðu að krefjast eða tilgreina mismunandi veitendur í gegnum API hlutinn — þættir innihalda: dúó, google-authenticator, forráðamaður.

api.multifactor.enable(veita, valkostir)

Valkostir eins og allowRememberBrowser ákvarðar hvort muna eigi vafrann, svo að notendur geti sleppt MFA síðar. Þetta er valfrjálst boolean og sjálfgefið er rangt. Þú getur breyttu þessum valkosti í gegnum stjórnunar-API.

Með því að nota, draga og sleppa nýju aðgerðinni í innskráningarflæðið (Aðgerðir > Flæði > Innskráning) og velja Sækja um, notendur þínir þurfa nú að skrá sig í MFA:

Endurtaktu skrefið hér að ofan hvenær sem þú vilt bæta aðgerð við kveikju í auðkenningarleiðslunni.

Aðlögunarhæfni með MFA þinni
Siglaðu til Öryggi > Fjölþátta auðkenning, og veldu þá þætti sem þú vilt að séu tiltækir fyrir notendur þína.

Skrunaðu niður að Viðbótarvalkostir, og skiptu valkostinum í Sérsníddu MFA þætti með aðgerðum. Þetta gerir þér kleift að bæta við þinni eigin Actions rökfræði með okkar útúr kassanum Adaptive MFA ML greind.

Hér eru nokkrar aðalupplýsingar sem þarf að hafa í huga um viðskipti notanda við kóða til að passa við öryggisleikbókina þína:

• Hvaða skilyrði þarf ég að notandinn minn geti auðkennt aftur?
• Hvaða máli skipta fundarupplýsingar þeirra þegar kemur að því að framkvæma ákveðin viðskipti?
• Hvaða takmarkanir fyrirtækjastefnu þýða í umsóknarstefnu?

Með þessar hugleiðingar í huga skulum við ganga í gegnum, skref fyrir skref, hvernig á að innleiða Adaptive MFA með Actions sniðmátum.

Snið #2

Kveiktu á MFA þegar skilyrði er uppfyllt

Þetta sniðmát notar okkar aðlögunarhæfni MFA áhættu/öryggisstig – byggt á áhættumati geturðu hugsanlega haldið slæmum leikurum frá, en einnig byggt upp öryggissamband við viðskiptavini þína til að þjóna sjálfum sér með þátt ef ný eða afbrigðileg hegðun greinist.

Í þessu sniðmáti er newDevice metið ástand fyrir frekari MFA leiðbeiningar; þú ert með eftirfarandi áhættumatshlutir í boði til að skoða sjálfstraustskor:

• Nýtt tæki
• ImpossibleTravel
• Ótraust IP
• Símanúmer

Þú getur jafnvel sameinað mat til að taka ákvörðun um niðurstöðu aðgerðarinnar; fyrir fyrrvample, ef ómöguleg ferðalög eiga sér stað, getur þú loka fyrir viðskipti notandans með öllu.

exports.onExecutePostLogin = ósamstilltur (atburður, api) => {
// Ákveðið hvaða sjálfstraustsstig ætti að kalla fram MFA, fyrir meira
upplýsingar vísa til
// https://auth0.com/docs/secure/multi-factor-authentication/adaptivemfa/
customize-adaptive-mfa#confidence-scores
const promptConfidences = ['lágt', 'miðlungs'];

// Fyrrverandiample skilyrði: hvetja MFA aðeins byggt á NewDevice
// sjálfstraustsstig, þetta mun biðja um MFA þegar notandi er að skrá sig
in
// frá óþekktu tæki.
const traust =
atburður.auðkenning?.áhættumat?.mat?.Nýtt tæki
?.traust;
const shouldPromptMfa =
traust && promptConfidences.includes(traust);

// Það er aðeins skynsamlegt að biðja um MFA þegar notandinn hefur amk
einn
// skráður MFA þáttur.
const canPromptMfa =
event.user.multifactor && event.user.multifactor.length > 0;
if (shouldPromptMfa && canPromptMfa) {
api.multifactor.enable('any', { allowRememberBrowser: true });
}
};

Snið #3

Kveiktu á MFA þegar IP sem biður um er utan tiltekins IP sviðs

Þetta sniðmát takmarkar aðgang að tilteknu forriti, svo sem fyrirtækjaneti og notar ipaddr.js bókasafnið til að flokka IP-tölur, og, í þessu tilviki, kveikja á ýttu tilkynningu í gegnum Guardian:

exports.onExecutePostLogin = ósamstilltur (atburður, api) => {
const ipaddr = require('ipaddr.js');

// fáðu trausta CIDR og tryggðu að það sé gilt
const corp_network = atburður.leyndarmál.TRUSTED_CIDR;
if (!corp_network) {
return api.access.deny('Ógild stilling');
}

// þátta IP beiðni frá og tryggja að hún sé gild
láta núverandi_ip;
reyndu {
current_ip = ipaddr.parse(event.request.ip);
} grípa (villa) {
return api.access.deny('Ógild beiðni');
}

// þátta CIDR og tryggja réttmæti
láta cidr;
reyndu {
cidr = ipaddr.parseCIDR(corp_network);
} grípa (villa) {
return api.access.deny('Ógild stilling');
}

// framfylgja forráðamanni MFA ef IP er ekki í traustri úthlutun
if (!current_ip.match(cidr)) {
api.multifactor.enable('guardian', { allowRememberBrowser: false });
}
};

Snið #4

Krefjast MFA einu sinni á fundi

Þetta sniðmát gerir eitthvað aðeins öðruvísi en hin.

Í stað þess að halda notendum úti hjálpar þessi uppsetning þér að ná hljóðlaus auðkenning, sem styður notanda til að fara í lotuna sína frá venjulegu vafranum sínum án þess að þurfa að vera beðinn um MFA.

exports.onExecutePostLogin = ósamstilltur (atburður, api) => {
// ef fylkið af auðkenningaraðferðum er gilt og inniheldur a
aðferð sem heitir 'mfa', mfa hefur þegar verið gerð á þessari lotu
ef (
!event.authentication ||
!Array.isArray(event.authentication.methods) ||
!event.authentication.methods.find((aðferð) => aðferð.nafn === 'mfa')
) {
api.multifactor.enable('hver sem er');
}
};

Samantekt

Sniðmát okkar fjallaði um hvernig á að framfylgja MFA við skráningu, utan fyrirtækjanets, á hverri lotu og upphaf aðlögunar MFA útfærslu.

Öll þessi sniðmát knýja fram hvernig alhliða innskráningin okkar virkar í mismunandi auðkenningarsamhengi, sem þýðir að þú getur skilið okkur eftir UX.

Með Actions geturðu búið til heilt öryggisflæði til að passa við öryggisnotkunartilvik fyrirtækisins, og einnig útrýma núningi fyrir lögmæta notendur sem eru ofarlega á sjálfstraustskvarðanum.

Um Okta
Okta er auðkennisfyrirtæki heimsins. Sem leiðandi sjálfstæði Identity samstarfsaðili gefum við öllum frjálsan aðgang að hvaða tækni sem er á öruggan hátt - hvar sem er, í hvaða tæki eða forriti sem er. Traustustu vörumerkin treysta Okta til að gera öruggan aðgang, auðkenningu og sjálfvirkni kleift. Með sveigjanleika og hlutleysi í kjarna Okta Workforce Identity og Customer Identity Clouds okkar, geta leiðtogar fyrirtækja og þróunaraðilar einbeitt sér að nýsköpun og flýtt fyrir stafrænni umbreytingu, þökk sé sérhannaðar lausnum og meira en 7,000 fyrirframbyggðum samþættingum. Við erum að byggja upp heim þar sem Identity tilheyrir þér. Frekari upplýsingar á okta.com.

Auth0 er grunntækni Okta og flaggskip vörulínu þess - Okta Customer Identity Cloud. Hönnuðir geta lært meira og stofnað reikning ókeypis á Auth0.com.

Skjöl / auðlindir

okta Adaptive Multi Factor Authentication App [pdfNotendahandbók Adaptive Multi Factor Authentication, Adaptive Multi Factor Authentication App, App

Heimildir

• Notendahandbók