Guida all'implementazione
Rendi il tuo MFA adattivo con modelli di azioni
Sfondo
L'autenticazione multifattoriale adattiva (MFA) riduce le difficoltà per gli utenti legittimi valutando il rischio delle transazioni con algoritmi di apprendimento automatico (ML), in modo che gli utenti noti che si trovano nei loro soliti luoghi vengano rapidamente indirizzati sulla tua piattaforma.
Tuttavia, creare un motore di rischio da zero richiede tempo e ottenere una corretta MFA può fare la differenza tra creare fiducia nei consumatori e far sì che un utente abbandoni la piattaforma perché ci sono troppi passaggi per effettuare l'accesso.
Per potenziare Adaptive MFA, Okta CIC mette a disposizione un punteggio di affidabilità ML pronto all'uso, in base alle tue esigenze di valutazione del rischio, per migliorare l'esperienza utente e la sicurezza per tutti gli utenti che desiderano accedere alla tua piattaforma.
È possibile utilizzare questo calcolo ML con Actions e creare il proprio programma MFA adattivo che risolve i punti ciechi che l'MFA autonomo potrebbe non individuare, ad esempio:
- Come si fa a mantenere ininterrotte le sessioni degli utenti legittimi, bloccando al contempo il traffico indesiderato?
- Quando è opportuno presentare un secondo o un terzo fattore?
- Cosa si considera fondamentale per proteggere la tua piattaforma con MFA?
In questo post spiegheremo come utilizzare le azioni e quali modelli di azioni sono disponibili immediatamente per iniziare subito a implementare le best practice di MFA.
Come parte del nostro framework di estensibilità, le azioni sono una logica drag-and-drop pro-code/no-code che puoi personalizzare per le tue applicazioni e integrazioni che iniziano con Identity.
Actions ti consente di aggiungere codice a punti essenziali nel processo di autenticazione utilizzando solo JavaScript e oltre 2 milioni di moduli npm a tua disposizione.
I modelli di azioni ti insegnano come sfruttare la potenza delle azioni e arrivare sul mercato più velocemente della concorrenza, affrontando casi d'uso comuni che sono essenziali per le organizzazioni odierne.
Modello n. 1
Richiede l'iscrizione MFA
L'iscrizione è un'opportunità unica per dare agli utenti la possibilità di scegliere in termini di autenticazione.
In base alle preferenze di autenticazione di un utente, puoi ridurre le difficoltà per lui e convincerlo a condividere la tua strategia di sicurezza.
Cominciamo con il Richiedi l'iscrizione MFA Modello di azione.
Vai a Azioni > Libreria > Crea da modello.
Ecco il corpo del modello:
exports.onExecutePostLogin = async (evento, api) => {
se (!evento.utente.multifattore?.lunghezza) {
api.multifactor.enable('qualsiasi', { allowRememberBrowser: false });
}
};
Cosa sta realmente succedendo qui: Se non è registrato alcun fattore MFA, consenti all'utente di registrarsi a qualsiasi fattore tu renda disponibile.
Un modello è solo l'inizio: diamo un'occhiata agli oggetti evento e API:
IL oggetto evento ha molti parametri diversi, che includono dati sull'utente, che puoi usare per personalizzare i tuoi requisiti MFA; in questo caso, stiamo interrogando la matrice dei fattori MFA disponibili, event.user.multifactor?.length , e se non ce n'è nessuno (!) registrato, continuiamo con la registrazione.
Valutare la possibilità di richiedere o specificare diversi provider tramite l'oggetto API — i fattori includono: duo, google-authenticator,guardian.
api.multifactor.enable(provider, opzioni)
Opzioni come allowRememberBrowser determinano se il browser deve essere ricordato, in modo che gli utenti possano saltare MFA in seguito. Questo è un booleano facoltativo e il valore predefinito è false. Puoi modificare questa opzione tramite l'API di gestione.
Distribuendo, quindi trascinando e rilasciando la nuova azione nel flusso di accesso (Azioni > Flussi > Accedi) e selezionando Fare domanda a, ora i tuoi utenti devono registrarsi a MFA:
Ripetere il passaggio precedente ogni volta che si desidera aggiungere un'azione a un trigger nella pipeline di autenticazione.
Ottenere adattabilità con il tuo MFA
Vai a Sicurezza > Autenticazione multifattorialee seleziona i fattori che desideri rendere disponibili ai tuoi utenti finali.
Scorri verso il basso fino a Opzioni aggiuntivee attiva l'opzione Personalizza i fattori MFA utilizzando le azioniCiò ti consente di aggiungere la tua logica di azioni con la nostra intelligenza ML Adaptive MFA pronta all'uso.
Ecco alcune informazioni principali da considerare in merito alla transazione di un utente quando si codifica in modo da adattarlo ai propri manuali di sicurezza:
- A quali condizioni il mio utente deve autenticarsi nuovamente?
- In che modo le informazioni sulla sessione sono importanti quando si tratta di condurre una determinata transazione?
- Quali restrizioni delle policy aziendali si traducono in policy applicative?
Tenendo a mente queste considerazioni, vediamo passo dopo passo come implementare Adaptive MFA con i modelli di azioni.
Modello n. 2
Attiva MFA quando la condizione è soddisfatta
Questo modello sfrutta il nostro punteggio di rischio/affidabilità Adaptive MFA: in base alla valutazione del rischio, puoi potenzialmente tenere lontani i malintenzionati, ma anche creare un rapporto di sicurezza con i tuoi clienti per gestire autonomamente un fattore nel caso in cui venga rilevato un comportamento nuovo o anomalo.
In questo modello, newDevice è la condizione valutata per ulteriori richieste MFA; hai quanto segue oggetti di valutazione del rischio disponibile per interrogare un punteggio di confidenza:
- Nuovo dispositivo
- ImpossibileViaggio
- IP non attendibile
- Numero di telefono
Puoi anche combinare le valutazioni per prendere una decisione su l'esito dell'azione; per esample, se si verifica un viaggio impossibile, puoi bloccare completamente la transazione dell'utente.
exports.onExecutePostLogin = async (evento, api) => {
// Decidi quali punteggi di confidenza dovrebbero attivare MFA, per maggiori informazioni
informazioni fare riferimento a
// https://auth0.com/docs/secure/multi-factor-authentication/adaptivemfa/
personalizza-mfa-adattivo#punteggi-di-confidenza
const promptConfidences = ['basso', 'medio'];
// esampcondizione: richiesta MFA solo in base al NewDevice
// livello di confidenza, questo richiederà MFA quando un utente effettua l'accesso
in
// da un dispositivo sconosciuto.
const fiducia =
evento.autenticazione?.riskAssessment?.valutazioni?.NuovoDispositivo
?.fiducia;
const shouldPromptMfa =
fiducia && promptConfidences.includes(fiducia);
// Ha senso richiedere l'MFA solo quando l'utente ha almeno
uno
// fattore MFA iscritto.
const canPromptMfa =
evento.utente.multifattore && evento.utente.multifattore.lunghezza > 0;
se (dovrebbePromptMfa e puòPromptMfa) {
api.multifactor.enable('qualsiasi', { allowRememberBrowser: true });
}
};
Modello n. 3
Attiva MFA quando l'IP richiedente proviene da un intervallo IP esterno a quello specifico
Questo modello limita l'accesso a una determinata applicazione, ad esempio a una rete aziendale, e utilizza la libreria ipaddr.js per analizzare gli IPe, in questo caso, attiva una notifica push tramite Guardian:
exports.onExecutePostLogin = async (evento, api) => {
const ipaddr = require('ipaddr.js');
// ottenere il CIDR attendibile e assicurarsi che sia valido
const corp_network = event.secrets.TRUSTED_CIDR;
se (!corp_network) {
return api.access.deny('Configurazione non valida');
}
// analizza l'IP della richiesta e assicurati che sia valido
lascia current_ip;
Tentativo {
current_ip = ipaddr.parse(evento.richiesta.ip);
} cattura (errore) {
restituisci api.access.deny('Richiesta non valida');
}
// analizza il CIDR e ne garantisce la validità
lascia che il sidro;
Tentativo {
cidr = ipaddr.parseCIDR(corp_network);
} cattura (errore) {
return api.access.deny('Configurazione non valida');
}
// applica l'MFA del guardiano se l'IP non è nell'allocazione attendibile
se (!current_ip.match(cidr)) {
api.multifactor.enable('guardiano', { allowRememberBrowser: false });
}
};
Modello n. 4
Richiedi MFA una volta per sessione
Questo modello fa qualcosa di leggermente diverso dagli altri.
Invece di tenere fuori gli utenti, questa configurazione ti aiuta a raggiungere autenticazione silenziosa, che consente all'utente di proseguire con la sessione dal suo browser di uso abituale senza dover utilizzare l'MFA.
exports.onExecutePostLogin = async (evento, api) => {
// se l'array dei metodi di autenticazione è valido e contiene un
metodo denominato 'mfa', mfa è già stato eseguito in questa sessione
Se (
!evento.autenticazione ||
!Array.isArray(evento.metodi.di autenticazione) ||
!event.authentication.methods.find((metodo) => metodo.name === 'mfa')
) {
api.multifactor.enable('qualsiasi');
}
};
Riepilogo
I nostri modelli illustravano come applicare l'MFA alla registrazione, all'esterno di una rete aziendale, per sessione, e come avviare un'implementazione MFA adattiva.
Tutti questi modelli potenziano il funzionamento del nostro Accesso Universale in diversi contesti di autenticazione, il che significa che puoi affidare a noi la gestione dell'esperienza utente.
Con Actions puoi creare un intero flusso di sicurezza che corrisponda ai casi d'uso di sicurezza della tua organizzazione, eliminando anche gli ostacoli per gli utenti legittimi che occupano un posto elevato nella scala di affidabilità.
Informazioni su Okta
Okta è la società di identità mondiale. In qualità di partner indipendente leader in materia di identità, liberiamo tutti di utilizzare in modo sicuro qualsiasi tecnologia, ovunque, su qualsiasi dispositivo o app. I marchi più affidabili si affidano a Okta per abilitare accesso sicuro, autenticazione e automazione. Con flessibilità e neutralità al centro dei nostri Okta Workforce Identity e Customer Identity Cloud, i leader aziendali e gli sviluppatori possono concentrarsi sull'innovazione e accelerare la trasformazione digitale, grazie a soluzioni personalizzabili e oltre 7,000 integrazioni predefinite. Stiamo costruendo un mondo in cui l'identità appartiene a te. Scopri di più su okta.com.
Auth0 è una tecnologia fondamentale di Okta e della sua linea di prodotti di punta, Okta Customer Identity Cloud. Gli sviluppatori possono saperne di più e creare un account gratuitamente su Auth0.com.
Documenti / Risorse
 |
App di autenticazione multifattoriale adattiva okta [pdf] Guida utente Autenticazione multifattoriale adattiva, App di autenticazione multifattoriale adattiva, App |
