Mwongozo wa Utekelezaji
Fanya MFA yako ibadilike na violezo vya vitendo
Usuli
Uthibitishaji unaobadilika wa vipengele vingi (MFA) hupunguza msuguano kwa watumiaji halali kwa kutathmini hatari ya kufanya miamala kwa kutumia algoriti za kujifunza kwa mashine (ML), ili watumiaji wanaojulikana katika misingi yao ya kawaida ya kukanyaga wafuatiliwe kwa haraka kwenye jukwaa lako.
Lakini, inachukua muda kuunda injini ya hatari kutoka mwanzo, na kupata haki ya MFA kunaweza kuleta tofauti kati ya kujenga uaminifu wa watumiaji, na mtumiaji kuacha jukwaa lako kwa sababu kulikuwa na hatua nyingi za kuingia.
Ili kuwasha Adaptive MFA, Okta CIC ina alama za uhakika za ML zinazopatikana nje ya kisanduku ili kukidhi mahitaji yako ya kutathmini hatari, ili kuboresha UX na usalama kwa watumiaji wote wanaotaka kufikia mfumo wako.
Unaweza kutumia hesabu hii ya ML na Vitendo, na uunde programu yako mwenyewe ya Adaptive MFA ambayo hutatua maeneo yasiyoonekana ambayo MFA ya pekee inaweza kukosa, kama vile:
- Je, unawezaje kuweka vipindi vya watumiaji halali bila kukatizwa lakini kuzuia trafiki isiyotakikana?
- Ni wakati gani inafaa kuwasilisha jambo la pili au la tatu?
- Ni nini kinachukuliwa kuwa msingi wa kuweka jukwaa lako salama na MFA?
Katika chapisho hili tutaangazia jinsi ya kutumia Vitendo, na ni violezo vipi vya Vitendo vinavyopatikana nje ya kisanduku ili kupata msingi linapokuja suala la mbinu bora za utekelezaji wa MFA.
Kama sehemu ya mfumo wetu wa upanuzi, Vitendo ni mantiki ya kuvuta-na-dondosha pro-code/no-code ambayo unaweza kubinafsisha kwa ajili ya programu zako mwenyewe na miunganisho inayoanza na Utambulisho.
Vitendo hukuwezesha kuongeza msimbo kwa pointi muhimu katika bomba la uthibitishaji kwa kutumia javascript pekee - na moduli za 2M+ npm unazo nazo.
Violezo vya Vitendo hukufundisha jinsi ya kutumia nguvu ya Vitendo, na kufika sokoni kwa haraka zaidi kuliko ushindani, ukishughulikia kesi za matumizi ya kawaida ambazo ni muhimu kwa mashirika leo.
Kiolezo #1
Inahitaji uandikishaji wa MFA
Uandikishaji ni fursa ya kipekee ya kuwapa watumiaji chaguo linapokuja suala la uthibitishaji.
Kulingana na upendeleo wa uthibitishaji wa mtumiaji, unapunguza msuguano kwao, na kuwaweka kwenye bodi kwa mkao wako wa usalama.
Wacha tuanze na Inahitaji Usajili wa MFA Kiolezo cha vitendo.
Nenda kwa Vitendo > Maktaba > Unda kutoka kwa Kiolezo.
Hapa kuna mwili wa kiolezo:
exports.onExecutePostLogin = async (tukio, api) => {
ikiwa (!tukio.user.multifactor?.length) {
api.multifactor.enable('yoyote', { allowRememberBrowser: false });
}
};
Ni nini hasa kinatokea hapa: Ikiwa hakuna vipengele vyovyote vya MFA vilivyosajiliwa, ruhusu mtumiaji wako ajiandikishe katika chochote unachofanya kipatikane.
Kiolezo ni mwanzo tu - Wacha tuangalie tukio na vitu vya api:
The kitu cha tukio ina vigezo vingi tofauti, ambavyo ni pamoja na data kuhusu mtumiaji, ambayo unaweza kutumia kubinafsisha mahitaji yako ya MFA; katika kesi hii, tunapigia kura safu ya vipengele vinavyopatikana vya MFA, event.user.multifactor?.length , na ikiwa hakuna (!) waliojiandikisha, endelea na uandikishaji.
Fikiria kuhitaji au kubainisha watoa huduma tofauti kupitia kitu cha API — mambo ni pamoja na: wawili, google-authenticator, mlezi .
api.multifactor.enable(mtoa huduma, chaguzi)
Chaguo kama vile allowRememberBrowser huamua ikiwa kivinjari kinapaswa kukumbukwa, ili watumiaji waweze kuruka MFA baadaye. Hii ni boolean ya hiari, na chaguo-msingi ni uongo. Unaweza rekebisha chaguo hili kupitia API ya usimamizi.
Kwa kupeleka, kisha kuburuta na kuacha kitendo chako kipya kwenye mtiririko wa kuingia (Vitendo > Mitiririko > Ingia) na kuchagua Omba, watumiaji wako sasa wanahitajika kujiandikisha katika MFA:
Rudia hatua iliyo hapo juu wakati wowote ungependa kuongeza Kitendo kwenye kichochezi katika bomba la uthibitishaji.
Kupata kubadilika na MFA yako
Nenda kwa Usalama > Uthibitishaji wa Vipengele vingi, na uchague mambo ambayo ungependa yapatikane kwa watumiaji wako wa mwisho.
Tembeza chini hadi Chaguzi za Ziada, na ugeuze chaguo kuwa Geuza Mapendeleo ya Mambo ya MFA kwa kutumia Vitendo. Hii hukuruhusu kuongeza mantiki yako ya Vitendo na akili yetu ya nje ya kisanduku Adaptive MFA ML.
Hapa kuna baadhi ya maelezo ya msingi ya kuzingatia kuhusu shughuli ya mtumiaji wakati wa kusimba ili kulinganisha na vitabu vyako vya usalama:
- Ni masharti gani ninahitaji mtumiaji wangu athibitishe tena?
- Je, habari za kikao chao zina umuhimu gani linapokuja suala la kufanya shughuli fulani?
- Je, ni vikwazo vipi vya sera za shirika vinavyotafsiriwa kuwa sera za utumaji maombi?
Kwa kuzingatia haya, hebu tupitie, hatua kwa hatua, jinsi ya kutekeleza MFA ya Adaptive na violezo vya Vitendo.
Kiolezo #2
Anzisha MFA hali inapofikiwa
Kiolezo hiki kinatumia alama zetu za Adaptive MFA za hatari/kujiamini - kulingana na tathmini ya hatari, unaweza kuwazuia watendaji wabaya wasionekane, lakini pia kujenga uhusiano wa kiusalama na wateja wako ili kujihudumia ukitumia kipengele iwapo tabia mpya au isiyo ya kawaida itagunduliwa.
Katika kiolezo hiki, newDevice ndiyo hali iliyotathminiwa kwa vidokezo vya ziada vya MFA; unayo yafuatayo vitu vya tathmini ya hatari inapatikana ili kupiga kura ya uhakika:
- Kifaa Kipya
- ImpossibleTravel
- IP isiyoaminika
- Nambari ya Simu
Unaweza hata kuchanganya tathmini kufanya uamuzi kuhusu matokeo ya Kitendo; kwa exampna, ikiwa haiwezekani kusafiri, unaweza zuia shughuli ya mtumiaji kabisa.
exports.onExecutePostLogin = async (tukio, api) => {
// Amua ni alama zipi za kujiamini zinafaa kusababisha MFA, kwa zaidi
habari rejea
// https://auth0.com/docs/secure/multi-factor-authentication/adaptivemfa/
Customize-adaptive-mfa#confidence-scores
const promptConfidences = ['chini', 'kati'];
// Kutample condition: haraka MFA kulingana na NewDevice
// kiwango cha kujiamini, hii itasababisha MFA wakati mtumiaji anaingia
in
// kutoka kwa kifaa kisichojulikana.
Const confidence =
uthibitishaji.wa.tukio?.Tathmini.hatari?.tathmini?.Kifaa Kipya
?.kujiamini;
const shouldPromptMfa =
kujiamini && promptConfidences.inajumuisha(kujiamini);
// Inaeleweka tu kuuliza MFA wakati mtumiaji ana angalau
moja
// aliandikisha sababu ya MFA.
const canPromptMfa =
event.user.multifactor && event.user.multifactor.length > 0;
ikiwa (lazimaPromptMfa && canPromptMfa) {
api.multifactor.enable('yoyote', { allowRememberBrowser: true });
}
};
Kiolezo #3
Anzisha MFA wakati IP inayoomba inatoka nje ya masafa mahususi ya IP
Kiolezo hiki kinazuia ufikiaji wa programu fulani kusema, mtandao wa shirika, na hutumia maktaba ya ipaddr.js kuchanganua IPs, na, katika kesi hii, anzisha arifa ya kushinikiza kupitia Guardian:
exports.onExecutePostLogin = async (tukio, api) => {
const ipaddr = require('ipaddr.js');
// pata CIDR inayoaminika na uhakikishe kuwa ni halali
const corp_network = event.secrets.TRUSTED_CIDR;
ikiwa (!corp_network) {
rudisha api.access.deny('Usanidi usio sahihi');
}
// changanua ombi la IP kutoka na uhakikishe kuwa ni halali
acha sasa_ip;
jaribu {
current_ip = ipaddr.parse(event.request.ip);
} kukamata (kosa) {
rudisha api.access.deny('Ombi batili');
}
// changanua CIDR na uhakikishe uhalali
acha cidr;
jaribu {
cidr = ipaddr.parseCIDR(corp_network);
} kukamata (kosa) {
rudisha api.access.deny('Usanidi usio sahihi');
}
// tekeleza MFA mlezi ikiwa IP haiko katika mgao unaoaminika
ikiwa (!current_ip.match(cidr)) {
api.multifactor.enable('mlinzi', { allowRememberBrowser: false });
}
};
Kiolezo #4
Inahitaji MFA mara moja kwa kila kipindi
Kiolezo hiki hufanya kitu tofauti kidogo na zingine.
Badala ya kuwaweka watumiaji nje, usanidi huu hukusaidia kufikia uthibitishaji wa kimya, ambayo inasaidia mtumiaji kufanya kipindi chake kutoka kwa misingi ya kawaida ya kivinjari bila kuombwa MFA.
exports.onExecutePostLogin = async (tukio, api) => {
// ikiwa safu ya njia za uthibitishaji ni halali na ina a
njia iliyopewa jina 'mfa', mfa imefanywa katika kipindi hiki tayari
ikiwa (
!uthibitishaji.tukio ||
!Array.isArray(mbinu.za.uthibitishaji.tukio) ||
!event.authentication.methods.find((mbinu) => method.name === 'mfa')
) {
api.multifactor.enable('yoyote');
}
};
Muhtasari
Violezo vyetu vilishughulikia jinsi ya kutekeleza MFA kwenye usajili, nje ya mtandao wa shirika, kwa kila kipindi, na mwanzo wa utekelezaji wa MFA unaobadilika.
Violezo hivi vyote husimamia jinsi Kuingia kwetu kwa Wote hufanya kazi katika miktadha tofauti ya uthibitishaji, kumaanisha kuwa unaweza kutuachia UX.
Ukiwa na Vitendo, unaweza kuunda mtiririko mzima wa usalama ili ulingane na matukio ya matumizi ya usalama ya shirika lako, na pia kuondoa msuguano kwa watumiaji halali ambao uko juu katika kiwango cha kuaminiwa.
Kuhusu Okta
Okta ni Kampuni ya Vitambulisho Duniani. Kama mshirika anayeongoza wa Utambulisho, tunaruhusu kila mtu kutumia teknolojia yoyote kwa usalama - popote, kwenye kifaa au programu yoyote. Chapa zinazoaminika zaidi zinaamini Okta ili kuwezesha ufikiaji salama, uthibitishaji na uwekaji kiotomatiki. Kwa kubadilika na kutoegemea upande wowote katika msingi wa Wingu letu la Utambulisho wa Wafanyakazi wa Okta na Utambulisho wa Mteja, viongozi wa biashara na wasanidi programu wanaweza kuzingatia uvumbuzi na kuharakisha mabadiliko ya kidijitali, kutokana na suluhu zinazoweza kugeuzwa kukufaa na zaidi ya miunganisho 7,000 iliyotengenezwa mapema. Tunaunda ulimwengu ambapo Utambulisho ni wako. Jifunze zaidi kwenye okta.com.
Auth0 ni teknolojia ya msingi ya Okta na laini yake kuu ya bidhaa - Okta Customer Identity Cloud. Wasanidi wanaweza kujifunza zaidi na kuunda akaunti bila malipo katika Auth0.com.
Nyaraka / Rasilimali
 |
okta Programu ya Uthibitishaji wa Vigezo vingi vya Adaptive [pdf] Mwongozo wa Mtumiaji Uthibitishaji wa Kipengele Kinachobadilika cha Multi Factor, Programu ya Uthibitishaji wa Multi Factor, Programu |
