Водич за имплементација
Направете го вашето МНР приспособливо со шаблони за дејства
Позадина
Адаптивната автентикација со повеќе фактори (MFA) го намалува триењето за легитимните корисници со проценување на ризикот од трансакцијата со алгоритмите за машинско учење (ML), така што познатите корисници во нивните вообичаени места за газење брзо се следат на вашата платформа.
Но, потребно е време да се изгради мотор за ризик од нула, а правилното добивање на МНР може да ја направи разликата помеѓу градењето доверба на потрошувачите и корисникот што ја напушта вашата платформа бидејќи имаше премногу чекори за да се најави.
За да се напојува приспособливото MFA, Okta CIC има оценка за доверба во ML достапно надвор од кутијата за да одговара на вашите потреби за проценка на ризик, со цел да се подобри UX и безбедноста за сите корисници кои сакаат да пристапат до вашата платформа.
Можете да ја користите оваа ML-калкулација со Actions и да креирате своја сопствена програма за адаптивно MFA што ги решава слепите точки што може да ги пропушти самостојното MFA, како што се:
- Како да ги одржувате сесиите на легитимните корисници непрекинати, но да го блокирате несаканиот сообраќај?
- Кога е соодветно да се претстави втор или трет фактор?
- Што се смета за основа за одржување на вашата платформа безбедна со МНР?
Во оваа објава ќе опфатиме како да се користат Акциите и кои шаблони за дејства се достапни надвор од кутијата со цел да се забрзаат кога станува збор за најдобрите практики за имплементација на МНР.
Како дел од нашата рамка за проширување, Actions се логика за влечење и спуштање на про-код/не-код што можете да ја приспособите за вашите сопствени апликации и интеграции кои започнуваат со Идентитет.
Акциите ви овозможуваат да додавате код до виталните точки во цевководот за автентикација само со Javascript — и 2M+ npm модули на располагање.
Шаблоните за дејства ве учат како да ја искористите моќта на Actions и да стигнете на пазарот побрзо од конкуренцијата, адресирајте ги случаите за вообичаена употреба кои се од витално значење за организациите денес.
Шаблон #1
Потребно е запишување во МНР
Уписот е единствена можност на корисниците да им се даде избор кога станува збор за автентикација.
Врз основа на претпочитањето за автентикација на корисникот, го намалувате триењето за него и го прифаќате со вашето безбедносно држење.
Ајде да започнеме со Потребно е запишување во МНР Шаблон за акција.
Одете до Дејства > Библиотека > Изградба од Шаблон.
Еве го телото на шаблонот:
exports.onExecutePostLogin = асинхронизиран (настан, api) => {
ако (! настан. корисник. мултифактор?. должина) {
api.multifactor.enable('било кој', { allowRememberBrowser: false });
}
};
Што навистина се случува овде: Ако не се регистрирани фактори за МНР, дозволете му на вашиот корисник да се запише на кој било што ќе го ставите на располагање.
Шаблонот е само почеток - Ајде да ги погледнеме настаните и објектите на api:
На објект на настанот има многу различни параметри, кои вклучуваат податоци за корисникот, кои можете да ги користите за да ги приспособите вашите барања за МНР; во овој случај, ја испитуваме низата достапни фактори MFA, event.user.multifactor?.length , и ако нема (!) запишани, продолжете со запишувањето.
Размислете да барате или наведете различни провајдери преку објектот API — фактори вклучуваат: дуо, google-authenticator, чувар.
api.multifactor.enable (провајдер, опции)
Опциите како allowRememberBrowser одредуваат дали прелистувачот треба да се запомни, така што корисниците можат да го прескокнат MFA подоцна. Ова е опционален бул, а стандардното е неточно. Можеш изменете ја оваа опција преку API за управување.
Со распоредување, потоа влечење и пуштање на вашето ново дејство во протокот за најавување (Дејства > Текови > Најавете се) и избирање Пријавете се, вашите корисници сега треба да се запишат во МНР:
Повторете го чекорот погоре секогаш кога сакате да додадете дејство на активирањето во цевководот за автентикација.
Прилагодување со вашето МНР
Одете до Безбедност > Повеќефакторска автентикација, и изберете ги факторите што сакате да им бидат достапни на вашите крајни корисници.
Скролувајте надолу до Дополнителни опции, и префрлете ја опцијата на Приспособете ги факторите на МНР користејќи Акции. Ова ви овозможува да додадете своја сопствена логика на дејства со нашата адаптивна МФА ML интелигенција надвор од кутијата.
Еве неколку основни информации што треба да се земат предвид за трансакцијата на корисникот при кодирање за да одговараат на вашите безбедносни книги:
- Кои услови ми се потребни мојот корисник за повторно да се автентицира?
- Како се важни информациите за нивната сесија кога станува збор за спроведување на дадена трансакција?
- Кои ограничувања на корпоративната политика се претвораат во политики за апликација?
Имајќи ги на ум овие размислувања, ајде да одиме низ, чекор-по-чекор, како да ги имплементираме приспособливите MFA со шаблони за дејства.
Шаблон #2
Активирајте MFA кога условот е исполнет
Овој шаблон го користи нашето приспособливо бодување за ризик/доверба на МНР - врз основа на проценката на ризикот, потенцијално можете да ги задржите лошите актери надвор, но и да изградите безбедносен однос со вашите клиенти за да се самопослужуваат со фактор во случај да се открие ново или аномално однесување.
Во овој шаблон, newDevice е проценетиот услов за дополнителни известувања за MFA; го имате следново објекти за проценка на ризик достапни за анкета за резултат на доверба:
- Нов уред
- ImpossibleTravel
- Недоверлив IP
- Телефонски број
Можете дури и да комбинирате проценки за да одлучите исходот од акцијата; за прampле, ако се случи невозможно патување, можете целосно блокирајте ја трансакцијата на корисникот.
exports.onExecutePostLogin = асинхронизиран (настан, api) => {
// Одлучете кои оценки за доверба треба да го активираат МНР, за повеќе
информации се однесуваат на
// https://auth0.com/docs/secure/multi-factor-authentication/adaptivemfa/
customize-adaptive-mfa# рејтинг-оценки за доверба
const promptConfidences = ['ниско', 'средно'];
// ПрampУслов: прати МНР само врз основа на NewDevice
// ниво на доверба, ова ќе го поттикне MFA кога корисникот се најавува
in
// од непознат уред.
const доверба =
настан.автентикација?.riskAssessment?.проценки?.Нов уред
?.доверба;
const shouldPromptMfa =
доверба && promptConfidences.includes(доверба);
// Има смисла да се бара MFA само кога корисникот има барем
еден
// запишан МНР фактор.
const canPromptMfa =
event.user.multifactor && event.user.multifactor.length > 0;
ако (треба PromptMfa && canPromptMfa) {
api.multifactor.enable('секое', { allowRememberBrowser: точно });
}
};
Шаблон #3
Активирајте MFA кога бараната IP адреса е надвор од одреден опсег на IP
Овој шаблон го ограничува пристапот до дадена апликација да се каже, корпоративна мрежа и ја користи библиотеката ipaddr.js за анализа на IP-адреси, и, во овој случај, активирајте притисни известување преку Guardian:
exports.onExecutePostLogin = асинхронизиран (настан, api) => {
const ipaddr = бара ('ipaddr.js');
// земете го доверливиот CIDR и проверете дали е валиден
const corp_network = event.secrets.TRUSTED_CIDR;
ако (!corp_network) {
врати api.access.deny('Невалидна конфигурација');
}
// анализирајте ја IP адресата на барањето и проверете дали е валидна
нека current_ip;
обидете се {
current_ip = ipaddr.parse(event.request.ip);
} фати (грешка) {
врати api.access.deny('Невалидно барање');
}
// анализирајте го CIDR и обезбедете валидност
нека cidr;
обидете се {
cidr = ipaddr.parseCIDR(corp_network);
} фати (грешка) {
врати api.access.deny('Невалидна конфигурација');
}
// наметнете го старателот MFA ако IP-а не е во доверливата распределба
ако (!current_ip.match(cidr)) {
api.multifactor.enable('чувар', { allowRememberBrowser: false });
}
};
Шаблон #4
Барајте МНР еднаш на сесија
Овој шаблон прави нешто малку поразлично од другите.
Наместо да ги држи корисниците надвор, оваа конфигурација ви помага да постигнете тивка автентикација, што му помага на корисникот да оди на својата сесија од нивните вообичаени места за газење на прелистувачот без да мора да биде побарано MFA.
exports.onExecutePostLogin = асинхронизиран (настан, api) => {
// ако низата методи за автентикација е валидна и содржи a
методот наречен „mfa“, mfa е веќе направен во оваа сесија
ако (
!настан.автентикација ||
!Array.isArray(настан.автентикација.методи) ||
!event.authentication.methods.find((method) => метод.име === 'mfa')
) {
api.multifactor.enable('секое');
}
};
Резиме
Нашите шаблони покриваа како да се спроведе МНР при регистрација, надвор од корпоративна мрежа, по сесија и почеток на адаптивна имплементација на МНР.
Сите овие шаблони овозможуваат функционирање на нашето Универзално најавување во различни контексти за автентикација, што значи дека можете да ни го оставите UX-от на нас.
Со Actions, можете да создадете цел безбедносен тек за да одговара на случаите за употреба на безбедноста на вашата организација, а исто така да го елиминирате триењето за легитимните корисници кои се високо на скалата на доверба.
За Окта
Окта е Светска компанија за идентитет. Како водечки независен партнер на Identity, ги ослободуваме сите безбедно да користат која било технологија — каде било, на кој било уред или апликација. Најдоверливите брендови и веруваат на Okta за да овозможи безбеден пристап, автентикација и автоматизација. Со флексибилност и неутралност во сржта на нашите облаци за идентитет и идентитет на работна сила на Okta, деловните лидери и програмери можат да се фокусираат на иновациите и да ја забрзаат дигиталната трансформација, благодарение на приспособливите решенија и повеќе од 7,000 претходно изградени интеграции. Градиме свет каде идентитетот ви припаѓа вам. Дознајте повеќе на okta.com.
Auth0 е основна технологија на Okta и нејзината водечки производна линија - Okta Customer Identity Cloud. Програмерите можат да дознаат повеќе и да креираат сметка бесплатно на Auth0.com.
Документи / ресурси
 |
okta Адаптивна апликација за автентикација со повеќе фактори [pdf] Упатство за корисникот Адаптивна повеќефакторска автентикација, Адаптивна апликација за автентикација со повеќе фактори, апликација |
