Gwida għall-Implimentazzjoni
Agħmel l-MFA tiegħek adattiva b'mudelli ta' azzjonijiet
Sfond
L-awtentikazzjoni adattiva b'ħafna fatturi (MFA) tnaqqas il-frizzjoni għall-utenti leġittimi billi tivvaluta r-riskju tat-tranżazzjoni b'algoritmi ta' tagħlim tal-magni (ML), sabiex l-utenti magħrufa fil-mogħdijiet tas-soltu tagħhom jiġu traċċati malajr fuq il-pjattaforma tiegħek.
Iżda, jieħu ż-żmien biex tinbena magna tar-riskju mill-bidu, u li tikseb l-MFA t-tajjeb tista’ tagħmel id-differenza bejn il-bini tal-fiduċja tal-konsumatur, u utent li jabbanduna l-pjattaforma tiegħek għax kien hemm wisq passi biex tidħol.
Biex tħaddem l-MFA Adattiva, Okta CIC għandha punteġġ ta' kunfidenza ML disponibbli out-of-the-box biex taqdi l-ħtiġijiet tiegħek ta' valutazzjoni tar-riskju, sabiex ittejjeb l-UX u s-sigurtà għall-utenti kollha li jixtiequ jaċċessaw il-pjattaforma tiegħek.
Tista' tuża dan il-kalkolu ML ma' Azzjonijiet, u toħloq il-programm Adaptive MFA tiegħek stess li jsolvi l-blind spots li l-MFA waħedha tista' titlef, bħal:
- Kif iżżomm is-sessjonijiet tal-utenti leġittimi mingħajr interruzzjoni iżda timblokka t-traffiku mhux mixtieq?
- Meta huwa xieraq li jiġi ppreżentat it-tieni jew it-tielet fattur?
- X'inhu meqjus bħala fundamentali biex il-pjattaforma tiegħek tinżamm sigura mal-MFA?
F'din il-post ser inkopru kif tuża l-Azzjonijiet, u liema mudelli ta 'Azzjonijiet huma disponibbli barra mill-kaxxa sabiex nilqgħu l-art fejn jidħlu l-aħjar prattiki ta' implimentazzjoni tal-MFA.
Bħala parti mill-qafas tal-estensibbiltà tagħna, l-Azzjonijiet huma loġika pro-code/no-code drag-and-drop li tista’ tippersonalizza għall-applikazzjonijiet u l-integrazzjonijiet tiegħek stess li jibdew bl-Identità.
Azzjonijiet iħalluk iżżid kodiċi għal punti vitali fil-pipeline tal-awtentikazzjoni b'javascript biss — u moduli 2M+ npm għad-dispożizzjoni tiegħek.
Il-mudelli tal-Azzjonijiet jgħallmu kif tuża s-saħħa tal-Azzjonijiet, u tasal fis-suq aktar malajr mill-kompetizzjoni, billi jindirizzaw każijiet ta' użu komuni li huma vitali għall-organizzazzjonijiet illum.
Mudell #1
Jeħtieġ reġistrazzjoni MFA
Ir-reġistrazzjoni hija opportunità unika biex l-utenti jingħataw għażla fejn tidħol l-awtentikazzjoni.
Ibbażat fuq il-preferenza ta 'awtentikazzjoni ta' utent, inti tnaqqas il-frizzjoni għalihom, u ġġibhom abbord mal-qagħda tas-sigurtà tiegħek.
Ejja nibdew bil- Jeħtieġ Reġistrazzjoni MFA Mudell ta' azzjoni.
Innaviga lejn Azzjonijiet > Librerija > Ibni minn Template.
Hawn hu l-korp tal-mudell:
exports.onExecutePostLogin = async (avveniment, api) => {
jekk (!event.user.multifactor?.length) {
api.multifactor.enable('kull', { allowRememberBrowser: false });
}
};
X'qed jiġri verament hawn: Jekk ma jkun hemm ebda fattur MFA irreġistrat, ħalli l-utent tiegħek jirreġistra fi kwalunkwe li tagħmel disponibbli.
Mudell huwa biss il-bidu — Ejja nagħtu ħarsa lejn l-avvenimenti u l-oġġetti api:
Il- oġġett tal-avveniment għandha ħafna parametri differenti, li tinkludi data dwar l-utent, li tista 'tuża biex tippersonalizza r-rekwiżiti tal-MFA tiegħek; f'dan il-każ, qed nivvutaw il-firxa ta 'fatturi MFA disponibbli, event.user.multifactor?.length , u jekk m'hemm l-ebda (!) irreġistrat, kompli bl-iskrizzjoni.
Ikkunsidra li teħtieġ jew tispeċifika fornituri differenti permezz tal-oġġett API — fatturi jinkludu: duo, google-authenticator,kustodju.
api.multifactor.enable(fornitur, għażliet)
Għażliet bħal allowRememberBrowser jiddeterminaw jekk il-browser għandux jiġi mfakkar, sabiex l-utenti jkunu jistgħu jaqbżu l-MFA aktar tard. Dan huwa boolean fakultattiv, u l-inadempjenza hija falza. Tista' timmodifika din l-għażla permezz tal-API tal-ġestjoni.
Billi tuża, imbagħad tkaxkar u twaqqa' l-azzjoni l-ġdida tiegħek fil-fluss tal-login (Azzjonijiet > Flussi > Idħol) u l-għażla Applika, l-utenti tiegħek issa meħtieġa jirreġistraw fl-MFA:
Irrepeti l-pass t'hawn fuq kull meta tixtieq iżżid Azzjoni ma' grillu fil-pipeline tal-awtentikazzjoni.
Issir adattivi mal-MFA tiegħek
Innaviga lejn Sigurtà > Awtentikazzjoni b'ħafna fatturi, u agħżel il-fatturi li tixtieq tkun disponibbli għall-utenti finali tiegħek.
Skrollja 'l isfel sa Għażliet Addizzjonali, u taqleb l-għażla għal Ippersonalizza l-Fatturi tal-MFA billi tuża Azzjonijiet. Dan jippermettilek iżżid il-loġika tal-Azzjonijiet tiegħek stess bl-intelliġenza Adaptive MFA ML out-of-the-box tagħna.
Hawn huma xi biċċiet ta' informazzjoni primarji li għandek tikkunsidra dwar it-tranżazzjoni ta' utent meta tikkodifika biex taqbel mal-playbooks tas-sigurtà tiegħek:
- X'kundizzjonijiet għandi bżonn li l-utent tiegħi jerġa' jawtentika?
- Kif timporta l-informazzjoni tas-sessjoni tagħhom meta tiġi biex iwettqu tranżazzjoni partikolari?
- Liema restrizzjonijiet ta' politika korporattiva jissarrfu f'politiki ta' applikazzjoni?
B'dawn il-kunsiderazzjonijiet f'moħħna, ejja nimxu permezz, pass pass, kif timplimenta Adaptive MFA b'Azzjonijiet mudelli.
Mudell #2
Trigger l-MFA meta tkun sodisfatta l-kundizzjoni
Dan il-mudell jagħmel użu mill-punteġġ ta’ riskju/kunfidenza tal-MFA Adattiva tagħna — ibbażat fuq valutazzjoni tar-riskju, tista’ potenzjalment iżżomm atturi ħżiena barra, iżda wkoll tibni rapport ta’ sigurtà mal-klijenti tiegħek biex isservi lilha nnifisha b’fattur fil-każ li tinstab imġiba ġdida jew anomalija.
F'dan il-mudell, NewDevice hija l-kundizzjoni vvalutata għal prompts MFA addizzjonali; għandek dan li ġej oġġetti ta' valutazzjoni tar-riskju disponibbli biex jivvota punteġġ ta' fiduċja:
- NewDevice
- ImpossibleTravel
- UntrustedIP
- PhoneNumber
Tista 'anki tgħaqqad valutazzjonijiet biex tieħu determinazzjoni dwarhom ir-riżultat tal-Azzjoni; għall-eżample, jekk l-ivvjaġġar impossibbli jseħħ, inti tista ' jimblokka għal kollox it-tranżazzjoni tal-utent.
exports.onExecutePostLogin = async (avveniment, api) => {
// Iddeċiedi liema punteġġi ta’ kunfidenza għandhom iqanqlu l-MFA, għal aktar
informazzjoni irreferi għal
// https://auth0.com/docs/secure/multi-factor-authentication/adaptivemfa/
customize-adaptive-mfa#confidence-scores
const promptConfidences = ['baxx', 'medju'];
// Eżample kundizzjoni: MFA fil-pront ibbażat biss fuq il-NewDevice
// livell ta' kunfidenza, dan iwassal għal MFA meta utent ikun qed jiilloggja
in
// minn apparat mhux magħruf.
const kunfidenza =
avveniment.awtentikazzjoni?.riskAssessment?.assessments?.NewDevice
?.kunfidenza;
const shouldPromptMfa =
kunfidenza && promptConfidences.includes(kunfidenza);
// Jagħmel sens biss li tħeġġeġ għall-MFA meta l-utent ikollu mill-inqas
wieħed
// irreġistrat fattur MFA.
const canPromptMfa =
event.user.multifactor && event.user.multifactor.length > 0;
jekk (għandhaPromptMfa && canPromptMfa) {
api.multifactor.enable('kwalunkwe', { allowRememberBrowser: true });
}
};
Mudell #3
Trigger l-MFA meta l-IP li qed jagħmel it-talba huwa minn barra firxa speċifika tal-IP
Dan il-mudell jirrestrinġi l-aċċess għal applikazzjoni partikolari, jiġifieri, netwerk korporattiv, u juża l-librerija ipaddr.js biex janalizza l-IPs, u, f'dan il-każ, iqanqal notifika push permezz ta' Guardian:
exports.onExecutePostLogin = async (avveniment, api) => {
const ipaddr = require('ipaddr.js');
// ikseb is-CIDR ta' fiduċja u żgura li huwa validu
const corp_network = event.secrets.TRUSTED_CIDR;
jekk (!corp_network) {
return api.access.deny('Konfigurazzjoni mhux valida');
}
// analizza l-IP tat-talba minn u tiżgura li hija valida
let current_ip;
ipprova {
current_ip = ipaddr.parse(event.request.ip);
} qabda (żball) {
return api.access.deny('Talba mhux valida');
}
// analizza s-CIDR u tiżgura l-validità
ħalli cidr;
ipprova {
cidr = ipaddr.parseCIDR (korp_network);
} qabda (żball) {
return api.access.deny('Konfigurazzjoni mhux valida');
}
// jinforza guardian MFA jekk l-IP ma jkunx fl-allokazzjoni fdata
jekk (!current_ip.match (cidr)) {
api.multifactor.enable('gwardjan', { allowRememberBrowser: false });
}
};
Mudell #4
Jeħtieġ MFA darba għal kull sessjoni
Dan il-mudell jagħmel xi ħaġa ftit differenti mill-oħrajn.
Minflok ma żżomm lill-utenti barra, din il-konfigurazzjoni tgħinek tikseb awtentikazzjoni siekta, li tappoġġja utent biex imur fuq is-sessjoni tiegħu mill-browser tas-soltu tiegħu stomping grounds mingħajr ma jkollu jiġi mħeġġeġ għall-MFA.
exports.onExecutePostLogin = async (avveniment, api) => {
// jekk il-firxa ta' metodi ta' awtentikazzjoni hija valida u fiha a
metodu msemmi 'mfa', mfa diġà sar f'din is-sessjoni
jekk (
!avveniment.awtentikazzjoni ||
!Array.isArray(metodi.awtentikazzjoni.avveniment) ||
!event.authentication.methods.find((method) => method.name === 'mfa')
) {
api.multifactor.enable('kwalunkwe');
}
};
Sommarju
Il-mudelli tagħna koprew kif tiġi infurzata l-MFA fir-reġistrazzjoni, barra minn netwerk korporattiv, għal kull sessjoni, u l-bidu ta’ implimentazzjoni adattiva tal-MFA.
Dawn il-mudelli kollha jagħtu saħħa kif il-Login Universali tagħna jiffunzjona f'kuntesti ta' awtentikazzjoni differenti, li jfisser li tista' tħalli l-UX lilna.
Bl-Azzjonijiet, tista 'toħloq fluss ta' sigurtà sħiħ biex jaqbel mal-każijiet ta 'użu tas-sigurtà tal-organizzazzjoni tiegħek, u wkoll telimina l-frizzjoni għal utenti leġittimi li huma għoljin fuq l-iskala ta' fiduċja.
Dwar Okta
Okta hija l-Kumpanija tal-Identità tad-Dinja. Bħala s-sieħeb indipendenti ewlieni tal-Identità, aħna neħilsu lil kulħadd biex juża b'mod sigur kwalunkwe teknoloġija — kullimkien, fuq kwalunkwe apparat jew app. L-iktar ditti ta’ fiduċja jafdaw lil Okta biex jippermettu aċċess, awtentikazzjoni u awtomazzjoni siguri. Bil-flessibbiltà u n-newtralità fil-qalba tal-Okta Workforce Identity and Customer Identity Clouds tagħna, il-mexxejja tan-negozju u l-iżviluppaturi jistgħu jiffokaw fuq l-innovazzjoni u jaċċelleraw it-trasformazzjoni diġitali, grazzi għal soluzzjonijiet customizable u aktar minn 7,000 integrazzjoni mibnija minn qabel. Qed nibnu dinja fejn l-Identità tkun tiegħek. Tgħallem aktar fuq okta.com.
Auth0 hija teknoloġija bażika ta 'Okta u l-linja ta' prodotti ewlenin tagħha — Okta Customer Identity Cloud. L-iżviluppaturi jistgħu jitgħallmu aktar u joħolqu kont b'xejn fuq Auth0.com.
Dokumenti / Riżorsi
 |
okta App ta' Awtentikazzjoni Adattiva Multi Fatturi [pdfGwida għall-Utent Awtentikazzjoni Adattiva Multi Fatturi, App Awtentikazzjoni Adattiva Multi Fatturi, App |
