Gabay sa Pagpapatupad
Gawing adaptive ang iyong MFA gamit ang mga template ng pagkilos
Background
Binabawasan ng adaptive multi-factor authentication (MFA) ang friction para sa mga lehitimong user sa pamamagitan ng pagtatasa ng panganib sa transaksyon gamit ang mga machine learning (ML) algorithm, upang ang mga kilalang user sa kanilang karaniwang stomping ground ay mabilis na nasusubaybayan sa iyong platform.
Ngunit, kailangan ng oras upang makabuo ng isang mapanganib na makina mula sa simula, at ang pagkuha ng tama sa MFA ay maaaring gumawa ng pagkakaiba sa pagitan ng pagbuo ng tiwala ng consumer, at ng isang user na umabandona sa iyong platform dahil napakaraming hakbang upang mag-login.
Para mapalakas ang Adaptive MFA, ang Okta CIC ay mayroong ML confidence scoring na available out-of-the-box upang umangkop sa iyong mga pangangailangan sa pagtatasa ng panganib, para mapahusay ang UX at seguridad para sa lahat ng user na gustong ma-access ang iyong platform.
Maaari mong gamitin ang pagkalkula ng ML na ito sa Mga Pagkilos, at lumikha ng iyong sariling Adaptive MFA program na lumulutas sa mga blind spot na maaaring makaligtaan ng standalone na MFA, gaya ng:
- Paano mo mapapanatili ang mga session ng mga lehitimong user na walang tigil ngunit hinaharangan ang hindi gustong trapiko?
- Kailan angkop na ipakita ang pangalawa o pangatlong salik?
- Ano ang itinuturing na pundasyon para mapanatiling ligtas ang iyong platform sa MFA?
Sa post na ito, tatalakayin natin kung paano gamitin ang Mga Aksyon, at kung anong mga template ng Mga Aksyon ang available sa labas ng kahon upang magtagumpay pagdating sa pinakamahuhusay na kagawian sa pagpapatupad ng MFA.
Bilang bahagi ng aming extensibility framework, ang Actions ay isang drag-and-drop na pro-code/no-code logic na maaari mong i-customize para sa sarili mong mga application at integration na nagsisimula sa Identity.
Nagbibigay-daan sa iyo ang Actions na magdagdag ng code sa mahahalagang punto sa pipeline ng pagpapatotoo gamit lamang ang javascript — at 2M+ npm modules na iyong magagamit.
Itinuturo sa iyo ng mga template ng Actions kung paano gamitin ang kapangyarihan ng Actions, at makapunta sa merkado nang mas mabilis kaysa sa kumpetisyon, na tumutugon sa mga karaniwang kaso ng paggamit na mahalaga para sa mga organisasyon ngayon.
Template #1
Nangangailangan ng pagpapatala sa MFA
Ang pagpapatala ay isang natatanging pagkakataon upang bigyan ang mga user ng pagpipilian pagdating sa pagpapatunay.
Batay sa kagustuhan sa pagpapatunay ng isang user, binabawasan mo ang alitan para sa kanila, at isasama mo sila sa iyong postura sa seguridad.
Magsimula tayo sa Nangangailangan ng Enrollment sa MFA Template ng pagkilos.
Mag-navigate sa Mga Pagkilos > Library > Bumuo mula sa Template.
Narito ang katawan ng template:
exports.onExecutePostLogin = async (kaganapan, api) => {
kung (!event.user.multifactor?.length) {
api.multifactor.enable('any', { allowRememberBrowser: false });
}
};
Ano ba talaga ang nangyayari dito: Kung walang anumang MFA factor na naka-enroll, payagan ang iyong user na mag-enroll sa anumang gagawin mong available.
Ang isang template ay simula pa lamang — Tingnan natin ang kaganapan at mga api object:
Ang bagay ng kaganapan ay may maraming iba't ibang mga parameter, na kinabibilangan ng data tungkol sa user, na magagamit mo upang i-customize ang iyong mga kinakailangan sa MFA; sa kasong ito, binobotohan namin ang hanay ng mga available na MFA factor, event.user.multifactor?.length , at kung walang (!) na naka-enroll, magpatuloy sa pagpapatala.
Isaalang-alang ang pag-aatas o pagtukoy ng iba't ibang provider sa pamamagitan ng object ng API — ang mga salik ay kinabibilangan ng: duo, google-authenticator,guardian .
api.multifactor.enable(provider, mga opsyon)
Tinutukoy ng mga opsyon tulad ng allowRememberBrowser kung dapat tandaan ang browser, upang malaktawan ng mga user ang MFA sa ibang pagkakataon. Isa itong opsyonal na boolean, at ang default ay false. kaya mo baguhin ang opsyong ito sa pamamagitan ng management API.
Sa pamamagitan ng pag-deploy, pagkatapos ay i-drag at i-drop ang iyong bagong aksyon sa daloy ng pag-login (Mga Pagkilos > Mga Daloy > Pag-login) at pagpili Mag-apply, kailangan na ngayon ng iyong mga user na mag-enroll sa MFA:
Ulitin ang hakbang sa itaas sa tuwing gusto mong magdagdag ng Action sa isang trigger sa pipeline ng pagpapatotoo.
Pagiging adaptive sa iyong MFA
Mag-navigate sa Seguridad > Multi-factor Authentication, at piliin ang mga salik na gusto mong maging available sa iyong mga end user.
Mag-scroll pababa sa Mga Karagdagang Opsyon, at i-toggle ang opsyon sa I-customize ang MFA Factors gamit ang Actions. Nagbibigay-daan ito sa iyong magdagdag ng sarili mong lohika ng Actions gamit ang aming out-of-the-box na Adaptive MFA ML intelligence.
Narito ang ilang pangunahing impormasyon na dapat isaalang-alang tungkol sa transaksyon ng isang user kapag nagko-coding upang tumugma sa iyong mga playbook sa seguridad:
- Anong mga kundisyon ang kailangan ko sa aking user upang muling mapatotohanan?
- Paano mahalaga ang kanilang impormasyon sa session pagdating sa pagsasagawa ng isang partikular na transaksyon?
- Anong mga paghihigpit sa patakaran ng korporasyon ang isinasalin sa mga patakaran sa aplikasyon?
Sa mga pagsasaalang-alang na ito, talakayin natin, sunud-sunod, kung paano ipatupad ang Adaptive MFA na may mga template ng Actions.
Template #2
I-trigger ang MFA kapag natugunan ang kundisyon
Ginagamit ng template na ito ang aming Adaptive MFA risk/confidence scoring — batay sa risk assessment, maaari mong iwasan ang mga masasamang aktor, ngunit bumuo din ng security rapport sa iyong mga customer upang makapaglingkod sa sarili nang may salik kung sakaling may matukoy na bago o maanomalyang gawi.
Sa template na ito, ang newDevice ay ang tinasang kundisyon para sa mga karagdagang MFA prompt; mayroon kang sumusunod mga bagay sa pagtatasa ng panganib magagamit para mag-poll ng marka ng kumpiyansa:
- Bagong Device
- Imposibleng Paglalakbay
- UntrustedIP
- Numero ng Telepono
Maaari mo ring pagsamahin ang mga pagtatasa upang gumawa ng pagpapasiya tungkol sa ang kinalabasan ng Aksyon; para kay example, kung imposibleng maglakbay, magagawa mo i-block ang transaksyon ng user sa kabuuan.
exports.onExecutePostLogin = async (kaganapan, api) => {
// Magpasya kung aling mga marka ng kumpiyansa ang dapat mag-trigger ng MFA, para sa higit pa
impormasyon sumangguni sa
// https://auth0.com/docs/secure/multi-factor-authentication/adaptivemfa/
customize-adaptive-mfa#confidence-scores
const promptConfidences = ['mababa', 'medium'];
// Halampang kundisyon: prompt MFA batay lamang sa NewDevice
// antas ng kumpiyansa, ito ay mag-prompt para sa MFA kapag ang isang user ay nagla-log
in
// mula sa hindi kilalang device.
const confidence =
event.authentication?.riskAssessment?.assessments?.NewDevice
?.pagtitiwala;
const shouldPromptMfa =
confidence && promptConfidences.includes(confidence);
// Makatuwiran lamang na mag-prompt para sa MFA kapag ang user ay mayroon man lang
isa
// naka-enroll na MFA factor.
const canPromptMfa =
event.user.multifactor && event.user.multifactor.length > 0;
kung (dapatPromptMfa && canPromptMfa) {
api.multifactor.enable('any', { allowRememberBrowser: true });
}
};
Template #3
I-trigger ang MFA kapag ang humihiling ng IP ay mula sa labas ng isang partikular na hanay ng IP
Pinaghihigpitan ng template na ito ang pag-access sa isang ibinigay na application upang sabihin, isang corporate network, at gumagamit ng library ng ipaddr.js para i-parse ang mga IP, at, sa kasong ito, mag-trigger ng push notification sa pamamagitan ng Guardian:
exports.onExecutePostLogin = async (kaganapan, api) => {
const ipaddr = nangangailangan('ipaddr.js');
// kunin ang pinagkakatiwalaang CIDR at tiyaking wasto ito
const corp_network = event.secrets.TRUSTED_CIDR;
kung (!corp_network) {
return api.access.deny('Invalid configuration');
}
// i-parse ang request IP mula sa at tiyaking wasto ito
hayaan ang current_ip;
subukan {
current_ip = ipaddr.parse(event.request.ip);
} catch (error) {
return api.access.deny('Di-wastong kahilingan');
}
// i-parse ang CIDR at tiyakin ang bisa
hayaan ang cidr;
subukan {
cidr = ipaddr.parseCIDR(corp_network);
} catch (error) {
return api.access.deny('Invalid configuration');
}
// ipatupad ang guardian MFA kung ang IP ay wala sa pinagkakatiwalaang alokasyon
kung (!current_ip.match(cidr)) {
api.multifactor.enable('guardian', { allowRememberBrowser: false });
}
};
Template #4
Mangangailangan ng MFA isang beses bawat session
Ang template na ito ay gumagawa ng isang bagay na medyo naiiba sa iba.
Sa halip na pigilan ang mga user, tinutulungan ka ng configuration na ito na makamit tahimik na pagpapatunay, na sumusuporta sa isang user na gawin ang kanilang session mula sa kanilang karaniwang browser stomping grounds nang hindi kinakailangang i-prompt para sa MFA.
exports.onExecutePostLogin = async (kaganapan, api) => {
// kung ang hanay ng mga pamamaraan ng pagpapatunay ay wasto at naglalaman ng a
method na pinangalanang 'mfa', nagawa na ang mfa sa session na ito
kung (
!event.authentication ||
!Array.isArray(event.authentication.methods) ||
!event.authentication.methods.find((paraan) => method.name === 'mfa')
) {
api.multifactor.enable('any');
}
};
Buod
Saklaw ng aming mga template kung paano ipatupad ang MFA sa pagpaparehistro, sa labas ng isang corporate network, bawat session, at ang simula ng isang adaptive na pagpapatupad ng MFA.
Ang lahat ng mga template na ito ay nagpapagana kung paano gumagana ang aming Universal Login sa iba't ibang konteksto ng pagpapatunay, na nangangahulugang maaari mong ipaubaya ang UX sa amin.
Sa Actions, maaari kang lumikha ng isang buong daloy ng seguridad upang tumugma sa mga kaso ng paggamit ng seguridad ng iyong organisasyon, at alisin din ang alitan para sa mga lehitimong user na mataas sa antas ng kumpiyansa.
Tungkol kay Okta
Ang Okta ay ang World's Identity Company. Bilang nangungunang independiyenteng kasosyo sa Pagkakakilanlan, binibigyang-laya namin ang lahat na ligtas na gumamit ng anumang teknolohiya — kahit saan, sa anumang device o app. Ang mga pinakapinagkakatiwalaang brand ay nagtitiwala sa Okta upang paganahin ang secure na pag-access, pagpapatunay, at automation. Sa flexibility at neutrality sa core ng aming Okta Workforce Identity at Customer Identity Clouds, ang mga lider ng negosyo at developer ay maaaring tumuon sa innovation at mapabilis ang digital transformation, salamat sa mga nako-customize na solusyon at higit sa 7,000 pre-built integration. Bumubuo kami ng mundo kung saan pagmamay-ari mo ang Pagkakakilanlan. Matuto pa sa okta.com.
Ang Auth0 ay isang pundasyong teknolohiya ng Okta at ang pangunahing linya ng produkto nito — Okta Customer Identity Cloud. Ang mga developer ay maaaring matuto nang higit pa at lumikha ng isang account nang libre sa Auth0.com.
Mga Dokumento / Mga Mapagkukunan
 |
okta Adaptive Multi Factor Authentication App [pdf] Gabay sa Gumagamit Adaptive Multi Factor Authentication, Adaptive Multi Factor Authentication App, App |
