מדריך יישום
הפוך את ה-MFA שלך להסתגלות עם תבניות פעולות
רֶקַע
אימות רב-גורמי אדפטיבי (MFA) מפחית את החיכוך עבור משתמשים לגיטימיים על ידי הערכת סיכון העסקאות באמצעות אלגוריתמים של למידת מכונה (ML), כך שמשתמשים ידועים בשטחי הריצה הרגילים שלהם יעברו מעקב מהיר אל הפלטפורמה שלך.
אבל, לוקח זמן לבנות מנוע סיכון מאפס, וביצוע MFA נכון יכול לעשות את ההבדל בין בניית אמון צרכנים, לבין משתמש שנוטש את הפלטפורמה שלך בגלל שהיו יותר מדי שלבים להתחבר.
כדי להפעיל את ה-Adaptive MFA, ל-Okta CIC יש ניקוד ביטחון ML זמין מהקופסה כדי להתאים לצרכי הערכת הסיכונים שלך, על מנת לשפר את ה-UX והאבטחה עבור כל המשתמשים שרוצים לגשת לפלטפורמה שלך.
אתה יכול להשתמש בחישוב ML זה עם Actions, וליצור תוכנית MFA אדפטיבית משלך הפותרת נקודות עיוורות ש-MFA עצמאי עלול להחמיץ, כגון:
- איך שומרים על הפעלות לגיטימיות של משתמשים ללא הפרעה אך חוסמים תנועה לא רצויה?
- מתי מתאים להציג גורם שני או שלישי?
- מה נחשב בסיס לשמירה על בטיחות הפלטפורמה שלך עם MFA?
בפוסט זה אנו הולכים לכסות כיצד להשתמש ב-actions, ואילו תבניות של Actions זמינות מהקופסה על מנת להגיע לדרך בכל הנוגע לשיטות עבודה מומלצות ליישום MFA.
כחלק ממסגרת ההרחבה שלנו, פעולות הן היגיון פרו-קוד/ללא קוד של גרירה ושחרור שתוכל להתאים אישית עבור האפליקציות והאינטגרציות שלך שמתחילות ב-Identity.
Actions מאפשר לך להוסיף קוד לנקודות חיוניות בצנרת האימות עם JavaScript בלבד - ומודולים של 2M+ npm לרשותך.
תבניות Actions מלמדות אותך כיצד לרתום את הכוח של Actions, ולהגיע לשוק מהר יותר מהמתחרים, תוך התייחסות למקרי שימוש נפוצים שחיוניים לארגונים כיום.
תבנית מס' 1
דורש הרשמה ל-MFA
הרשמה היא הזדמנות ייחודית לתת למשתמשים בחירה בכל הנוגע לאימות.
בהתבסס על העדפת האימות של המשתמש, אתה מפחית את החיכוך עבורו ומכניס אותם לתנוחת האבטחה שלך.
בואו נתחיל עם ה דורש הרשמה ל-MFA תבנית פעולה.
נווט אל פעולות > ספריה > בנה מתבנית.
להלן גוף התבנית:
exports.onExecutePostLogin = אסינכרון (אירוע, API) => {
if (!event.user.multifactor?.length) {
api.multifactor.enable('any', { allowRememberBrowser: false });
}
};
מה באמת קורה כאן: אם לא נרשמו גורמי MFA כלשהם, אפשר למשתמש שלך להירשם לכל מה שאתה מעמיד לרשותך.
תבנית היא רק ההתחלה - בואו נסתכל על אובייקטי האירוע וה-API:
ה אובייקט אירוע בעל פרמטרים רבים ושונים, הכוללים נתונים על המשתמש, שבהם תוכל להשתמש כדי להתאים אישית את דרישות ה-MFA שלך; במקרה זה, אנו בודקים את מערך גורמי ה-MFA הזמינים, event.user.multifactor?.length , ואם אין אף אחד (!), המשך בהרשמה.
שקול לדרוש או לציין ספקים שונים דרך אובייקט ה-API - הגורמים כוללים: צמד, google-authenticator, אפוטרופוס .
api.multifactor.enable(ספק, אפשרויות)
אפשרויות כמו allowRememberBrowser קובעות אם יש לזכור את הדפדפן, כך שמשתמשים יוכלו לדלג על MFA מאוחר יותר. זהו ערך בוליאני אופציונלי, וברירת המחדל היא שקר. אתה יכול שנה אפשרות זו באמצעות ממשק API לניהול.
על ידי פריסה, ולאחר מכן גרירה ושחרור הפעולה החדשה שלך לתוך זרימת הכניסה (פעולות > זרימות > כניסה) ובחירה לִפְנוֹת, המשתמשים שלך נדרשים כעת להירשם ל-MFA:
חזור על השלב שלמעלה בכל פעם שתרצה להוסיף פעולה לטריגר בצינור האימות.
הסתגלות עם MFA שלך
נווט אל אבטחה > אימות רב-גורמי, ובחר את הגורמים שתרצה שיהיו זמינים למשתמשי הקצה שלך.
גלול מטה אל אפשרויות נוספות, והחלף את האפשרות ל התאמה אישית של גורמי MFA באמצעות פעולות. זה מאפשר לך להוסיף לוגיקת Actions משלך עם אינטליגנציה אדפטיבית MFA ML היוצאת מהקופסה שלנו.
הנה כמה פיסות מידע עיקריות שכדאי לקחת בחשבון לגבי עסקה של משתמש בעת קידוד כדי להתאים לספרי האבטחה שלך:
- אילו תנאים אני צריך שהמשתמש שלי יאמת מחדש?
- מה חשוב מידע הפגישה שלהם כשמדובר בביצוע עסקה נתונה?
- אילו מגבלות מדיניות ארגוניות מתורגמות למדיניות יישומים?
עם שיקולים אלה בחשבון, בואו נעבור, שלב אחר שלב, כיצד ליישם MFA אדפטיבי עם תבניות פעולות.
תבנית מס' 2
הפעל MFA כאשר התנאי מתקיים
תבנית זו עושה שימוש בניקוד הסיכונים/ביטחון העצמי של ה-Adaptive MFA שלנו - בהתבסס על הערכת סיכונים, אתה יכול להרחיק שחקנים גרועים, אבל גם לבנות קשר אבטחה עם הלקוחות שלך כדי לשרת את עצמך עם גורם במקרה שתתגלה התנהגות חדשה או חריגה.
בתבנית זו, newDevice הוא התנאי המוערך עבור הנחיות נוספות של MFA; יש לך את הדברים הבאים אובייקטים להערכת סיכונים זמין לסקר ציון ביטחון:
- מכשיר חדש
- נסיעות בלתי אפשריות
- IP לא מהימן
- מספר טלפון
אתה יכול אפילו לשלב הערכות כדי לקבל החלטה לגבי תוצאת הפעולה; למשלampאם תתרחש נסיעה בלתי אפשרית, אתה יכול לחסום את העסקה של המשתמש לחלוטין.
exports.onExecutePostLogin = אסינכרון (אירוע, API) => {
// החליטו אילו ציוני ביטחון צריכים להפעיל MFA, לעוד
מידע מתייחס
// https://auth0.com/docs/secure/multi-factor-authentication/adaptivemfa/
customize-adaptive-mfa#confidence-scores
const promptConfidences = ['נמוך', 'בינוני'];
// דוגמהampתנאי הל: הנחיה MFA רק על סמך ה-NewDevice
// רמת ביטחון, זה יבקש MFA כאשר משתמש מתחבר
in
// ממכשיר לא ידוע.
ביטחון עצמי =
event.authentication?.riskAssessment?.assessments?.NewDevice
?.אֵמוּן;
const shouldPromptMfa =
confidence && promptConfidences.includes(confidence);
// הגיוני לבקש MFA רק כאשר למשתמש יש לפחות
אֶחָד
// גורם MFA רשום.
const canPromptMfa =
event.user.multifactor && event.user.multifactor.length > 0;
if (shouldPromptMfa && canPromptMfa) {
api.multifactor.enable('any', { allowRememberBrowser: true });
}
};
תבנית מס' 3
הפעל MFA כאשר ה-IP המבקש הוא מחוץ לטווח IP ספציפי
תבנית זו מגבילה את הגישה ליישום נתון, למשל, רשת ארגונית ו משתמש בספריית ipaddr.js כדי לנתח כתובות IP, ובמקרה זה, הפעל הודעת דחיפה דרך Guardian:
exports.onExecutePostLogin = אסינכרון (אירוע, API) => {
const ipaddr = require('ipaddr.js');
// קבל את ה-CIDR המהימן וודא שהוא תקף
const corp_network = event.secrets.TRUSTED_CIDR;
if (!corp_network) {
return api.access.deny('תצורה לא חוקית');
}
// נתח את ה-IP של הבקשה ממנו וודא שהוא חוקי
תן current_ip;
נסה {
current_ip = ipaddr.parse(event.request.ip);
} תפוס (שגיאה) {
return api.access.deny('בקשה לא חוקית');
}
// נתח את ה-CIDR והבטח תקפות
תן סידר;
נסה {
cidr = ipaddr.parseCIDR(corp_network);
} תפוס (שגיאה) {
return api.access.deny('תצורה לא חוקית');
}
// לאכוף MFA אפוטרופוס אם ה-IP אינו בהקצאה מהימנה
if (!current_ip.match(cidr)) {
api.multifactor.enable('guardian', { allowRememberBrowser: false });
}
};
תבנית מס' 4
דרוש MFA פעם אחת בכל מפגש
התבנית הזו עושה משהו קצת שונה מהאחרות.
במקום להרחיק משתמשים, תצורה זו עוזרת לך להשיג אימות שקט, התומך במשתמש לבצע את ההפעלה שלו משטחי ה-ramping הרגילים של הדפדפן שלו מבלי להידרש ל-MFA.
exports.onExecutePostLogin = אסינכרון (אירוע, API) => {
// אם מערך שיטות האימות חוקי ומכיל א
שיטה בשם 'mfa', mfa כבר נעשתה בהפעלה זו
אם (
!event.authentication ||
!Array.isArray(event.authentication.methods) ||
!event.authentication.methods.find((method) => method.name === 'mfa')
) {
api.multifactor.enable('any');
}
};
תַקצִיר
התבניות שלנו כיסו כיצד לאכוף MFA ברישום, מחוץ לרשת ארגונית, לכל מפגש, והתחלות של יישום MFA אדפטיבי.
כל התבניות הללו מעצימות את אופן הפעולה של ההתחברות האוניברסלית שלנו בהקשרי אימות שונים, מה שאומר שאתה יכול להשאיר את ה-UX לנו.
עם Actions, אתה יכול ליצור זרימת אבטחה שלמה שתתאים למקרי השימוש באבטחה של הארגון שלך, וגם לחסל חיכוכים עבור משתמשים לגיטימיים שנמצאים גבוה בסולם האמון.
על אוקטה
Okta היא חברת הזהות העולמית. כשותפי הזהות העצמאיים המובילים, אנו משחררים את כולם להשתמש בבטחה בכל טכנולוגיה - בכל מקום, בכל מכשיר או אפליקציה. המותגים המהימנים ביותר סומכים על Okta כדי לאפשר גישה מאובטחת, אימות ואוטומציה. עם גמישות וניטרליות בבסיס ענני ה-Okta Workforce Identity וזהות הלקוח שלנו, מנהיגים ומפתחים עסקיים יכולים להתמקד בחדשנות ולהאיץ את הטרנספורמציה הדיגיטלית, הודות לפתרונות הניתנים להתאמה אישית ויותר מ-7,000 אינטגרציות מובנות מראש. אנחנו בונים עולם שבו זהות שייכת לך. למידע נוסף ב okta.com.
Auth0 היא טכנולוגיה בסיסית של Okta וקו מוצרי הדגל שלה - Okta Customer Identity Cloud. מפתחים יכולים ללמוד עוד וליצור חשבון בחינם בכתובת Auth0.com.
מסמכים / משאבים
 |
Okta אפליקציית אימות רב גורמי אדפטיבית [pdfמדריך למשתמש אימות רב גורמים אדפטיבי, אפליקציית אימות רב גורמי אדפטיבית, אפליקציה |
