okta Adaptive Multi Factor Authentication App vartotojo vadovas

Įgyvendinimo vadovas

Pritaikykite savo MFA naudodami veiksmų šablonus

Fonas

Adaptyvusis kelių veiksnių autentifikavimas (MFA) sumažina trintį teisėtiems naudotojams, įvertindamas operacijų riziką, naudodamas mašininio mokymosi (ML) algoritmus, kad žinomi naudotojai, esantys įprastoje vietoje, būtų greitai atsekami į jūsų platformą.

Tačiau norint sukurti rizikos variklį nuo nulio, reikia laiko, o tinkamai pasirinkus MFA, gali atsirasti skirtumas tarp vartotojų pasitikėjimo kūrimo ir jūsų platformos atsisakymo, nes buvo per daug prisijungimo veiksmų.

Kad veiktų adaptyvioji MFA, „Okta CIC“ turi ML pasitikėjimo balus, kad atitiktų jūsų rizikos vertinimo poreikius, kad pagerintų UX ir saugumą visiems vartotojams, norintiems pasiekti jūsų platformą.

Galite naudoti šį ML skaičiavimą su veiksmais ir sukurti savo adaptyviąją MFA programą, kuri pašalina akląsias vietas, kurių gali nepastebėti atskira MFA, pvz.:

• Kaip užtikrinti, kad teisėtų naudotojų seansai nenutrūktų, bet blokuotų nepageidaujamą srautą?
• Kada tikslinga pateikti antrą ar trečią veiksnį?
• Kas yra laikoma pagrindu, kad jūsų platforma būtų saugi naudojant MFA?

Šiame įraše apžvelgsime, kaip naudoti veiksmus ir kokius veiksmų šablonus galima įsigyti, kad būtų galima pradėti veikti, kai kalbama apie geriausią MFP įgyvendinimo praktiką.

Kaip mūsų išplėtimo sistemos dalis, Veiksmai yra „vilkimo ir numetimo“ kodo / be kodo logika, kurią galite tinkinti savo programoms ir integracijai, kurios prasideda nuo tapatybės.

Veiksmai leidžia pridėti kodą prie gyvybiškai svarbių autentifikavimo vamzdyno taškų naudojant tik „Javascript“ ir daugiau nei 2 mln. npm modulius.

Veiksmų šablonai moko, kaip panaudoti veiksmų galią ir patekti į rinką greičiau nei konkurentai, sprendžiant įprastus naudojimo atvejus, kurie šiandien yra gyvybiškai svarbūs organizacijoms.

Šablonas Nr. 1

Reikalauti užsiregistruoti MFA

Registracija yra unikali galimybė suteikti vartotojams galimybę pasirinkti autentifikavimą.

Atsižvelgdami į vartotojo autentifikavimo nuostatas, sumažinate jų trintį ir įtraukite juos į savo saugos poziciją.

Pradėkime nuo Reikalauti MFA registracijos Veiksmo šablonas.

Eikite į Veiksmai > Biblioteka > Sukurti iš šablono.

Štai šablono turinys:

exports.onExecutePostLogin = async (įvykis, api) => {
if (!event.user.multifactor?.length) {
api.multifactor.enable('bet', { allowRememberBrowser: false });
}
};

Kas čia iš tikrųjų vyksta: Jei nėra užregistruotų MFA veiksnių, leiskite vartotojui užsiregistruoti bet kuriame, kurį padarote pasiekiamu.

Šablonas yra tik pradžia – pažvelkime į įvykį ir API objektus:

The įvykio objektas turi daug skirtingų parametrų, įskaitant duomenis apie vartotoją, kuriuos galite naudoti norėdami pritaikyti savo MFA reikalavimus; šiuo atveju apklausiame galimų MFA veiksnių masyvą event.user.multifactor?.length ir, jei neužregistruota nė vieno (!), tęskite registraciją.

Apsvarstykite galimybę reikalauti arba nurodyti skirtingus teikėjus per API objektą — veiksniai: duetas, google autentifikatorius, globėjas .

api.multifactor.enable(teikėjas, parinktys)

Tokios parinktys kaip "allowRememberBrowser" nustato, ar naršyklė turi būti atsimenama, kad vartotojai vėliau galėtų praleisti MFA. Tai pasirenkama loginė vertė, o numatytoji vertė yra klaidinga. Jūs galite pakeiskite šią parinktį naudodami valdymo API.

Diegdami, tada vilkdami ir numesdami naują veiksmą į prisijungimo srautą (Veiksmai > Srautai > Prisijungimas) ir pasirenkant Taikyti, jūsų naudotojai dabar turi užsiregistruoti MFA:

Pakartokite aukščiau pateiktą veiksmą, kai norite pridėti veiksmą prie aktyviklio autentifikavimo vamzdyne.

Prisitaikykite prie savo MFA
Eikite į Sauga > Daugiafaktoris autentifikavimasir pasirinkite veiksnius, kuriuos norite pasiekti galutiniams vartotojams.

Slinkite žemyn iki Papildomos parinktysir perjunkite parinktį į Tinkinkite MFA veiksnius naudodami veiksmus. Tai leidžia jums pridėti savo veiksmų logiką su mūsų adaptyviąja MFA ML žvalgyba.

Štai keletas pagrindinių informacijos dalių, į kurias reikia atsižvelgti apie vartotojo operaciją koduojant, kad ji atitiktų jūsų saugos knygeles:

• Kokiomis sąlygomis turiu iš naujo nustatyti naudotojo tapatybę?
• Kuo svarbi jų seanso informacija, kai reikia atlikti tam tikrą operaciją?
• Kokie įmonės politikos apribojimai paverčiami programų politika?

Atsižvelgdami į šias aplinkybes, žingsnis po žingsnio apžvelgsime, kaip įdiegti adaptyviąją MFA naudojant veiksmų šablonus.

Šablonas Nr. 2

Suaktyvinkite MFA, kai įvykdoma sąlyga

Šiame šablone naudojamas mūsų adaptyvusis MFA rizikos / pasitikėjimo balas – remdamiesi rizikos vertinimu galite išvengti blogų veikėjų, bet taip pat užmegzti saugumo ryšį su savo klientais, kad būtų galima savarankiškai aptarnauti, jei būtų aptiktas naujas ar neįprastas elgesys.

Šiame šablone „newDevice“ yra įvertinta papildomų MFA raginimų sąlyga; jūs turite šiuos dalykus rizikos vertinimo objektai galima apklausti pasitikėjimo balą:

• NaujasĮrenginys
• NeįmanomaKelionė
• Nepatikimas IP
• Telefono numeris

Jūs netgi galite derinti vertinimus, kad nuspręstumėte Veiksmo rezultatas; pvzample, jei įvyksta neįmanoma kelionė, galite visiškai užblokuoti vartotojo operaciją.

exports.onExecutePostLogin = async (įvykis, api) => {
// Norėdami sužinoti daugiau, nuspręskite, kurie pasitikėjimo balai turėtų suaktyvinti MFA
informacija nurodyta
// https://auth0.com/docs/secure/multi-factor-authentication/adaptivemfa/
tinkinti-adaptive-mfa#patikimumo balus
const promptConfidences = ['žemas', 'vidutinis'];

// Pvzampsąlyga: raginimas MFA tik remiantis NewDevice
// pasitikėjimo lygis, vartotojui registruojantis paragins MFA
in
// iš nežinomo įrenginio.
const pasitikėjimas =
įvykis.autentifikavimas?.riskAssessment?.assessments?.NewDevice
?.pasitikėjimas;
const shouldPromptMfa =
pasitikėjimas && promptConfidences.includes(pasitikėjimas);

// Prasminga raginti MFA tik tada, kai vartotojas turi bent
vienas
// įtrauktas MFA faktorius.
const canPromptMfa =
event.user.multifactor && event.user.multifactor.length > 0;
if (shouldPromptMfa && canPromptMfa) {
api.multifactor.enable('bet', { allowRememberBrowser: true });
}
};

Šablonas Nr. 3

Suaktyvinkite MFA, kai užklausos IP yra iš konkretaus IP diapazono ribų

Šis šablonas riboja prieigą prie tam tikros programos, pavyzdžiui, įmonės tinklo ir IP analizei naudoja ipaddr.js bibliotekąir šiuo atveju suaktyvinkite tiesioginį pranešimą per „Guardian“:

exports.onExecutePostLogin = async (įvykis, api) => {
const ipaddr = reikalauti('ipaddr.js');

// Gaukite patikimą CIDR ir įsitikinkite, kad jis galioja
const corp_network = event.secrets.TRUSTED_CIDR;
if (!corp_network) {
return api.access.deny('Netinkama konfigūracija');
}

// išanalizuoti užklausos IP iš ir įsitikinti, kad jis galioja
tegul current_ip;
pabandyk {
current_ip = ipaddr.parse(event.request.ip);
} sugauti (klaida) {
return api.access.deny('Netinkama užklausa');
}

// išanalizuoti CIDR ir užtikrinti galiojimą
tegul sidras;
pabandyk {
cidr = ipaddr.parseCIDR(corp_network);
} sugauti (klaida) {
return api.access.deny('Netinkama konfigūracija');
}

// vykdyti globėjo MFA, jei IP nėra patikimame paskirstyme
if (!current_ip.match(cidr)) {
api.multifactor.enable('guardian', { allowRememberBrowser: false });
}
};

Šablonas Nr. 4

Reikalauti MFA vieną kartą per sesiją

Šis šablonas šiek tiek skiriasi nuo kitų.

Ši konfigūracija padeda jums tai pasiekti, užuot pašalinus vartotojus tylus autentifikavimas, kuri padeda vartotojui pradėti savo seansą iš įprastų naršyklės žingsnių, neprašant MFA.

exports.onExecutePostLogin = async (įvykis, api) => {
// jei autentifikavimo metodų masyvas galioja ir jame yra a
metodas pavadintas „mfa“, mfa jau buvo atliktas šioje sesijoje
jei (
!įvykis.autentifikavimas ||
!Array.isArray(event.authentication.methods) ||
!event.authentication.methods.find((method) => method.name === 'mfa')
) {
api.multifactor.enable('bet koks');
}
};

Santrauka

Mūsų šablonuose buvo aprašyta, kaip taikyti MFA registruojantis ne įmonės tinkle, per seansą ir adaptyvaus MFA diegimo pradžią.

Visi šie šablonai lemia tai, kaip universalus prisijungimas veikia skirtinguose autentifikavimo kontekstuose, o tai reiškia, kad UX galite palikti mums.

Naudodami veiksmus galite sukurti visą saugos srautą, kuris atitiktų jūsų organizacijos saugos naudojimo atvejus, taip pat pašalinti trintį teisėtiems vartotojams, kurių patikimumas yra aukštas.

Apie Oktą
„Okta“ yra pasaulio tapatybės kompanija. Kaip pirmaujantis nepriklausomas tapatybės partneris, suteikiame visiems galimybę saugiai naudotis bet kokia technologija – bet kur, bet kuriame įrenginyje ar programoje. Patikimiausi prekių ženklai pasitiki „Okta“, kad užtikrintų saugią prieigą, autentifikavimą ir automatizavimą. Lankstumas ir neutralumas yra mūsų „Okta Workforce Identity“ ir „Customer Identity Clouds“ pagrindas, todėl verslo lyderiai ir kūrėjai gali sutelkti dėmesį į naujoves ir paspartinti skaitmeninę transformaciją dėl pritaikomų sprendimų ir daugiau nei 7,000 XNUMX iš anksto sukurtų integracijų. Mes kuriame pasaulį, kuriame tapatybė priklauso jums. Sužinokite daugiau adresu okta.com.

„Auth0“ yra pagrindinė „Okta“ ir jos pavyzdinės produktų linijos – „Okta Customer Identity Cloud“ – technologija. Kūrėjai gali sužinoti daugiau ir nemokamai susikurti paskyrą adresu Auth0.com.

Dokumentai / Ištekliai

okta Adaptive Multi Factor Autentifikavimo programa [pdfVartotojo vadovas Prisitaikantis kelių veiksnių autentifikavimas, prisitaikanti kelių veiksnių autentifikavimo programa, programa

Nuorodos

• Vartotojo vadovas