实施指南
使用操作模板让您的 MFA 具有适应性
背景
自适应多因素身份验证 (MFA) 通过使用机器学习 (ML) 算法评估交易风险来减少合法用户的摩擦,以便已知用户在其通常的活动场所快速进入您的平台。
但是,从头开始构建风险引擎需要时间,并且正确使用 MFA 可以在建立消费者信任和用户因登录步骤太多而放弃您的平台之间产生差异。
为了支持自适应 MFA,Okta CIC 提供了开箱即用的 ML 置信度评分来满足您的风险评估需求,从而为所有想要访问您平台的用户提高用户体验和安全性。
您可以将此 ML 计算与操作结合使用,并创建自己的自适应 MFA 程序,以解决独立 MFA 可能错过的盲点,例如:
- 如何保持合法用户的会话不被打断但又阻止不必要的流量?
- 何时提出第二或第三个因素才是合适的?
- 使用 MFA 保障平台安全的基础是什么?
在这篇文章中,我们将介绍如何使用操作,以及有哪些现成的操作模板可以在 MFA 实施最佳实践方面立即使用。
作为我们可扩展性框架的一部分,操作是一种拖放式专业代码/无代码逻辑,您可以根据以 Identity 开始的自己的应用程序和集成进行自定义。
通过 Actions,您只需使用 javascript 即可将代码添加到身份验证管道中的重要点 - 并且您可以使用 2 多万个 npm 模块。
操作模板教您如何利用操作的力量,比竞争对手更快地进入市场,解决当今对组织至关重要的常见用例。
模板#1
需要 MFA 注册
注册是让用户在身份验证时做出选择的独特机会。
根据用户的身份验证偏好,您可以减少他们的摩擦,并让他们接受您的安全态势。
让我们开始吧 需要 MFA 注册 动作模板。
导航至 操作 > 库 > 从模板构建.
以下是模板主体:
exports.onExecutePostLogin = 异步 (事件,api) => {
如果(!事件.用户.多因素?.长度){
api.multifactor.enable('any',{allowRememberBrowser:false});
}
};
实际情况是: 如果没有注册任何 MFA 因素,请允许您的用户注册您提供的任何因素。
模板只是一个开始——让我们看一下事件和 api 对象:
这 事件对象 有许多不同的参数,其中包括有关用户的数据,您可以使用这些数据来自定义您的 MFA 要求;在这种情况下,我们正在轮询可用的 MFA 因素数组 event.user.multifactor?.length ,如果没有 (!) 注册,则继续注册。
考虑要求或指定不同的提供商 通过 API 对象 — 因素包括:duo、google-authenticator、guardian。
api.multifactor.enable(提供者,选项)
allowRememberBrowser 等选项决定是否应记住浏览器,以便用户以后可以跳过 MFA。这是一个可选布尔值,默认值为 false。您可以 通过管理 API 修改此选项.
通过部署,然后将新操作拖放到登录流程中(操作 > 流程 > 登录)并选择 申请,您的用户现在需要注册 MFA:
每当您想要向身份验证管道中的触发器添加操作时,请重复上述步骤。
利用 MFA 实现适应性
导航至 安全 > 多重身份验证,然后选择您希望向最终用户提供的因素。
向下滚动至 附加选项,并切换选项至 使用操作自定义 MFA 因素。这使您可以使用我们开箱即用的自适应 MFA ML 智能添加自己的操作逻辑。
在编码以匹配您的安全剧本时,需要考虑有关用户交易的一些主要信息:
- 在什么情况下我需要我的用户重新进行身份验证?
- 当进行给定交易时,他们的会话信息有何作用?
- 哪些公司政策限制会转化为应用政策?
考虑到这些因素,让我们逐步了解如何使用操作模板实现自适应 MFA。
模板#2
满足条件时触发 MFA
该模板利用我们的自适应 MFA 风险/置信度评分 - 基于风险评估,您可以将不良行为者拒之门外,同时还可以与您的客户建立安全关系,以便在检测到新的或异常的行为时使用某个因素进行自助服务。
在此模板中,newDevice 是其他 MFA 提示的评估条件;您有以下内容 风险评估对象 可以调查置信度得分:
- 新设备
- 不可能旅行
- 不受信任的 IP
- 电话号码
你甚至可以结合评估来决定 行动的结果; 前任amp如果发生无法旅行的情况,你可以 彻底阻止用户的交易.
exports.onExecutePostLogin = 异步 (事件,api) => {
// 决定哪些置信度分数应该触发 MFA,更多信息
信息参考
// https://auth0.com/docs/secure/multi-factor-authentication/adaptivemfa/
自定义自适应 mfa#置信度分数
const promptConfidences = ['低', '中'];
// 前任amp条件:仅基于 NewDevice 提示 MFA
// 置信度,当用户登录时,这将提示进行 MFA
in
//来自未知设备。
const 置信度 =
事件.身份验证?.风险评估?.评估?.新设备
?。信心;
const shouldPromptMfa =
信心 && promptConfidences.includes(信心);
// 仅当用户至少拥有
一
// 注册 MFA 因素。
const canPromptMfa =
事件.用户.多因素 && 事件.用户.多因素.长度 > 0;
如果 (shouldPromptMfa && canPromptMfa) {
api.multifactor.enable('any',{allowRememberBrowser:true});
}
};
模板#3
当请求 IP 位于特定 IP 范围之外时触发 MFA
此模板将对特定应用程序的访问限制在公司网络范围内,并且 使用 ipaddr.js 库解析 IP,并且在本例中通过 Guardian 触发推送通知:
exports.onExecutePostLogin = 异步 (事件,api) => {
const ipaddr = require('ipaddr.js');
// 获取受信任的 CIDR 并确保其有效
const corp_network = 事件.secrets.TRUSTED_CIDR;
如果(!corp_network){
return api.access.deny('无效配置');
}
// 解析请求 IP 并确保其有效
让当前ip;
尝试 {
当前ip = ipaddr.解析(事件.请求.ip);
} 捕获 (错误) {
return api.access.deny('无效请求');
}
// 解析 CIDR 并确保有效性
让 cidr;
尝试 {
cidr = ipaddr.解析CIDR(corp_network);
} 捕获 (错误) {
return api.access.deny('无效配置');
}
// 如果 IP 不在受信任的分配中,则强制执行监护人 MFA
如果 (!current_ip.match(cidr)) {
api.multifactor.enable('guardian',{allowRememberBrowser:false});
}
};
模板#4
每个会话需要进行一次 MFA
这个模板与其他模板稍有不同。
这种配置不会阻止用户进入,而是可以帮助您实现 静默身份验证,它支持用户从他们通常使用的浏览器进行会话,而无需提示进行 MFA。
exports.onExecutePostLogin = 异步 (事件,api) => {
// 如果身份验证方法数组有效且包含
方法名为“mfa”,mfa 已在此会话中完成
如果 (
!事件.身份验证||
!数组.isArray(事件.身份验证.方法)||
!event.authentication.methods.find((method) => method.name === 'mfa')
){
api.multifactor.enable('任何');
}
};
概括
我们的模板涵盖了如何在注册时、在公司网络之外、在每个会话中强制实施 MFA,以及自适应 MFA 实施的开始。
所有这些模板都支持我们的通用登录在不同的身份验证环境中的功能,这意味着您可以将用户体验留给我们。
通过操作,您可以创建整个安全流程来匹配您组织的安全用例,同时还可以消除对信任度高的合法用户的摩擦。
关于 Okta
Okta 是全球身份公司。作为领先的独立身份合作伙伴,我们让每个人都可以安全地使用任何技术——在任何地方、任何设备或应用程序上。最值得信赖的品牌相信 Okta 能够实现安全访问、身份验证和自动化。凭借 Okta Workforce Identity 和 Customer Identity Clouds 的核心灵活性和中立性,企业领导者和开发人员可以专注于创新并加速数字化转型,这要归功于可定制的解决方案和 7,000 多个预构建集成。我们正在构建一个身份属于您的世界。了解更多信息,请访问 okta.com.
Auth0 是 Okta 及其旗舰产品线 Okta 客户身份云的基础技术。开发人员可以在此处免费了解更多信息并创建帐户 Auth0.com.
文件/资源
 |
okta 自适应多因素身份验证应用程序 [pdf] 用户指南 自适应多因素身份验证、自适应多因素身份验证应用程序、应用程序 |
