განხორციელების გზამკვლევი
გახადეთ თქვენი MFA ადაპტური მოქმედებების შაბლონებით
ფონი
ადაპტაციური მრავალფაქტორიანი ავთენტიფიკაცია (MFA) ამცირებს ხახუნს ლეგიტიმური მომხმარებლებისთვის ტრანზაქციის რისკის შეფასებისას მანქანური სწავლების (ML) ალგორითმებით, ისე, რომ ცნობილი მომხმარებლები თავიანთ ჩვეულ დარტყმის ადგილზე სწრაფად აკონტროლებენ თქვენს პლატფორმას.
მაგრამ, ნულიდან რისკის ძრავის შექმნას დრო სჭირდება და MFA-ს სწორად მოპოვებამ შეიძლება გამოიწვიოს განსხვავება მომხმარებელთა ნდობის ჩამოყალიბებასა და მომხმარებლის მიერ თქვენი პლატფორმის მიტოვებას შორის, რადგან ძალიან ბევრი ნაბიჯი იყო შესვლისთვის.
ადაპტური MFA-ს გასაძლიერებლად, Okta CIC-ს აქვს ML ნდობის ქულა, რომელიც ხელმისაწვდომია თქვენი რისკების შეფასების საჭიროებებისთვის, რათა გააუმჯობესოს UX და უსაფრთხოება ყველა მომხმარებლისთვის, ვისაც სურს თქვენს პლატფორმაზე წვდომა.
თქვენ შეგიძლიათ გამოიყენოთ ეს ML გაანგარიშება Actions-თან ერთად და შექმნათ თქვენი საკუთარი ადაპტური MFA პროგრამა, რომელიც აგვარებს ბრმა წერტილებს, რომლებიც ცალკეულმა MFA-მ შეიძლება გამოტოვოს, როგორიცაა:
- როგორ ინარჩუნებთ ლეგიტიმური მომხმარებლების სესიებს უწყვეტად, მაგრამ დაბლოკავთ არასასურველ ტრაფიკს?
- როდის არის მიზანშეწონილი მეორე ან მესამე ფაქტორის წარმოდგენა?
- რა ითვლება ფუნდამენტურად MFA-სთან თქვენი პლატფორმის უსაფრთხოების შესანარჩუნებლად?
ამ პოსტში ჩვენ ვაპირებთ გავაშუქოთ, თუ როგორ გამოვიყენოთ ქმედებები და რა ქმედებების შაბლონებია ხელმისაწვდომი, რათა ადგილზე გაირკვეს, როცა საქმე საგარეო საქმეთა სამინისტროს განხორციელების საუკეთესო პრაქტიკას ეხება.
როგორც ჩვენი გაფართოების ჩარჩოს ნაწილი, მოქმედებები არის გადაათრიეთ და ჩამოაგდეთ პრო-კოდის/კოდის გარეშე ლოგიკა, რომელიც შეგიძლიათ დააკონფიგურიროთ თქვენი საკუთარი აპლიკაციებისა და ინტეგრაციებისთვის, რომლებიც იწყება Identity-ით.
მოქმედებები საშუალებას გაძლევთ დაამატოთ კოდი ავთენტიფიკაციის მილსადენის სასიცოცხლო მნიშვნელობებში მხოლოდ Javascript - და 2M+ npm მოდულები თქვენს განკარგულებაში.
ქმედებების შაბლონები გასწავლით, როგორ გამოიყენოთ მოქმედებების ძალა და კონკურენციაზე უფრო სწრაფად მოხვდეთ ბაზარზე, მიმართეთ საერთო გამოყენების შემთხვევებს, რომლებიც დღეს სასიცოცხლოდ მნიშვნელოვანია ორგანიზაციებისთვის.
შაბლონი #1
მოითხოვეთ საგარეო საქმეთა სამინისტროს ჩარიცხვა
რეგისტრაცია არის უნიკალური შესაძლებლობა, მისცეს მომხმარებლებს არჩევანის უფლება, როდესაც საქმე ეხება ავტორიზაციას.
მომხმარებლის ავთენტიფიკაციის პრეფერენციიდან გამომდინარე, თქვენ ამცირებთ მათ ხახუნს და აყენებთ მათ უსაფრთხოების პოზას.
დავიწყოთ იმით მოითხოვეთ საგარეო საქმეთა სამინისტროს ჩარიცხვა სამოქმედო შაბლონი.
ნავიგაცია მოქმედებები > ბიბლიოთეკა > აშენება შაბლონიდან.
აქ არის შაბლონის სხეული:
exports.onExecutePostLogin = ასინქრონული (მოვლენა, api) => {
if (!event.user.multifactor?.length) {
api.multifactor.enable('any', { allowRememberBrowser: false });
}
};
რა ხდება სინამდვილეში აქ: თუ არ არის რეგისტრირებული MFA ფაქტორები, ნება მიეცით თქვენს მომხმარებელს დარეგისტრირდეს ნებისმიერში, რაც თქვენ ხელმისაწვდომს გახდით.
შაბლონი მხოლოდ დასაწყისია - მოდით გადავხედოთ მოვლენას და api ობიექტებს:
The მოვლენის ობიექტი აქვს მრავალი განსხვავებული პარამეტრი, რომელიც მოიცავს მონაცემებს მომხმარებლის შესახებ, რომლებიც შეგიძლიათ გამოიყენოთ თქვენი საგარეო საქმეთა სამინისტროს მოთხოვნების მოსარგებად; ამ შემთხვევაში, ჩვენ გამოკითხვას ვაწარმოებთ MFA-ს ხელმისაწვდომი ფაქტორების მასივს, event.user.multifactor?.length , და თუ არცერთი (!) არ არის დარეგისტრირებული, გააგრძელეთ რეგისტრაცია.
განიხილეთ სხვადასხვა პროვაიდერის მოთხოვნა ან მითითება API ობიექტის მეშვეობით — ფაქტორები მოიცავს: duo, google-authenticator,guardian.
api.multifactor.enable (პროვაიდერი, პარამეტრები)
ოფციები, როგორიცაა allowRememberBrowser, განსაზღვრავს, უნდა დაიმახსოვროს თუ არა ბრაუზერი, რათა მომხმარებლებმა მოგვიანებით გამოტოვონ MFA. ეს არის არჩევითი ლოგიკური და ნაგულისხმევი არის false. შეგიძლია შეცვალეთ ეს პარამეტრი მართვის API-ის მეშვეობით.
განლაგებით, შემდეგ ჩათრევით და ჩაშვებით თქვენი ახალი მოქმედების შესვლის ნაკადში (მოქმედებები > ნაკადები > შესვლა) და შერჩევა მიმართვა, თქვენს მომხმარებლებს ახლა მოეთხოვებათ MFA-ში დარეგისტრირება:
გაიმეორეთ ზემოთ მოცემული ნაბიჯი ყოველთვის, როცა გსურთ მოქმედების დამატება ტრიგერზე ავტორიზაციის მილსადენში.
ადაპტირება თქვენს საგარეო საქმეთა სამინისტროსთან
ნავიგაცია უსაფრთხოება > მრავალფაქტორიანი ავთენტიფიკაციადა აირჩიეთ ის ფაქტორები, რომლებიც გსურთ, რომ ხელმისაწვდომი იყოს თქვენი საბოლოო მომხმარებლებისთვის.
გადაახვიეთ ქვემოთ დამატებითი პარამეტრებიდა გადართეთ ვარიანტი MFA ფაქტორების მორგება მოქმედებების გამოყენებით. ეს საშუალებას გაძლევთ დაამატოთ თქვენი საკუთარი ქმედებების ლოგიკა ჩვენი გამოშვებული ადაპტური MFA ML დაზვერვით.
აქ მოცემულია რამდენიმე ძირითადი ინფორმაცია, რომელიც გასათვალისწინებელია მომხმარებლის ტრანზაქციის შესახებ თქვენი უსაფრთხოების სათამაშო წიგნების შესატყვისად კოდირებისას:
- რა პირობები მჭირდება ჩემი მომხმარებლის ხელახალი ავტორიზაციისთვის?
- რა მნიშვნელობა აქვს მათ სესიის ინფორმაციას, როდესაც საქმე ეხება მოცემულ ტრანზაქციას?
- რა კორპორატიული პოლიტიკის შეზღუდვები ითარგმნება განაცხადის პოლიტიკაში?
ამ მოსაზრებების გათვალისწინებით, მოდით გადავიდეთ ნაბიჯ-ნაბიჯ, როგორ განვახორციელოთ ადაპტური MFA ქმედებების შაბლონებით.
შაბლონი #2
გააქტიურეთ MFA, როდესაც პირობა დაკმაყოფილებულია
ეს შაბლონი იყენებს ჩვენს ადაპტირებულ საგარეო საქმეთა სამინისტროს რისკის/ნდობის ქულას — რისკის შეფასების საფუძველზე, თქვენ შეგიძლიათ პოტენციურად შეაჩეროთ ცუდი მოქმედი პირები, მაგრამ ასევე დაამყაროთ უსაფრთხოების ურთიერთობა თქვენს მომხმარებლებთან, რათა დამოუკიდებლად მოემსახუროთ ფაქტორს ახალი ან ანომალიური ქცევის გამოვლენის შემთხვევაში.
ამ შაბლონში newDevice არის შეფასებული პირობა დამატებითი MFA მოთხოვნებისთვის; თქვენ გაქვთ შემდეგი რისკის შეფასების ობიექტები ხელმისაწვდომია ნდობის ქულის გამოკითხვისთვის:
- ახალი მოწყობილობა
- ImpossibleTravel
- არასანდო IP
- ტელეფონის ნომერი
თქვენ შეგიძლიათ შეაერთოთ შეფასებებიც კი, რომ მიიღოთ გადაწყვეტილება მოქმედების შედეგი; ყოფილიampთუ შეუძლებელი მოგზაურობა მოხდა, შეგიძლიათ მთლიანად დაბლოკოს მომხმარებლის ტრანზაქცია.
exports.onExecutePostLogin = ასინქრონული (მოვლენა, api) => {
// გადაწყვიტეთ რომელი ნდობის ქულები უნდა გამოიწვიონ MFA, მეტისთვის
ინფორმაცია ეხება
// https://auth0.com/docs/secure/multi-factor-authentication/adaptivemfa/
customize-adaptive-mfa#ნდობის-ქულები
const promptConfidences = ['დაბალი', 'საშუალო'];
// მაგampპირობა: მოთხოვნილი MFA მხოლოდ NewDevice-ზე დაყრდნობით
// ნდობის დონე, ეს მოგთხოვთ MFA-ს, როდესაც მომხმარებელი რეგულირდება
in
// უცნობი მოწყობილობიდან.
const ნდობა =
მოვლენა.ავთენტიფიკაცია?.riskAssessment?.assessments?.NewDevice
?.ნდობა;
const უნდაPromptMfa =
ნდობა && promptConfidences.includes(ნდობა);
// MFA-ს მოთხოვნას მხოლოდ მაშინ აქვს აზრი, როცა მომხმარებელს აქვს მინიმუმ
ერთი
// ჩაწერილი MFA ფაქტორი.
const canPromptMfa =
event.user.multifactor && event.user.multifactor.length > 0;
if (shouldPromptMfa && canPromptMfa) {
api.multifactor.enable('any', { allowRememberBrowser: true });
}
};
შაბლონი #3
გააქტიურეთ MFA, როდესაც მოთხოვნის IP არის კონკრეტული IP დიაპაზონის გარედან
ეს შაბლონი ზღუდავს წვდომას მოცემულ აპლიკაციაზე, ვთქვათ, კორპორატიულ ქსელზე და იყენებს ipaddr.js ბიბლიოთეკას IP-ების გასაანალიზებლადდა, ამ შემთხვევაში, გააქტიურეთ Push შეტყობინება Guardian-ის მეშვეობით:
exports.onExecutePostLogin = ასინქრონული (მოვლენა, api) => {
const ipaddr = მოითხოვს('ipaddr.js');
// მიიღეთ სანდო CIDR და დარწმუნდით, რომ ის მოქმედებს
const corp_network = event.secrets.TRUSTED_CIDR;
if (!corp_network) {
return api.access.deny('არასწორი კონფიგურაცია');
}
// გაანალიზეთ მოთხოვნის IP-დან და დარწმუნდით, რომ ის მოქმედებს
მოდით current_ip;
სცადე {
current_ip = ipaddr.parse(event.request.ip);
} დაჭერა (შეცდომა) {
return api.access.deny('არასწორი მოთხოვნა');
}
// გაანალიზეთ CIDR და უზრუნველყოთ ვალიდობა
ნება სიდრი;
სცადე {
cidr = ipaddr.parseCIDR(corp_network);
} დაჭერა (შეცდომა) {
return api.access.deny('არასწორი კონფიგურაცია');
}
// აღასრულოს მეურვე MFA, თუ IP არ არის სანდო განაწილებაში
if (!current_ip.match(cidr)) {
api.multifactor.enable('guardian', { allowRememberBrowser: false });
}
};
შაბლონი #4
მოითხოვეთ MFA ერთხელ სესიაზე
ეს შაბლონი რაღაცით განსხვავდება სხვებისგან.
იმის ნაცვლად, რომ არ დატოვოთ მომხმარებლები, ეს კონფიგურაცია გეხმარებათ მიღწევაში ჩუმი ავთენტიფიკაცია, რომელიც მხარს უჭერს მომხმარებელს, განახორციელოს თავისი სესიები ბრაუზერის ჩვეული დარტყმის ადგილიდან MFA-ს მოთხოვნის გარეშე.
exports.onExecutePostLogin = ასინქრონული (მოვლენა, api) => {
// თუ ავთენტიფიკაციის მეთოდების მასივი მოქმედებს და შეიცავს ა
მეთოდი სახელად 'mfa', mfa უკვე გაკეთდა ამ სესიაზე
თუ (
!event.authentication ||
!Array.isArray(event.authentication.methods) ||
!event.authentication.methods.find((მეთოდი) => მეთოდი. სახელი === 'mfa')
) {
api.multifactor.enable('ნებისმიერი');
}
};
რეზიუმე
ჩვენი შაბლონები მოიცავდა, თუ როგორ უნდა განხორციელდეს MFA რეგისტრაციაში, კორპორატიული ქსელის გარეთ, თითო სესიაზე და ადაპტური MFA განხორციელების დასაწყისი.
ყველა ეს შაბლონი უზრუნველყოფს ჩვენი უნივერსალური შესვლის ფუნქციონირებას ავთენტიფიკაციის სხვადასხვა კონტექსტში, რაც ნიშნავს, რომ თქვენ შეგიძლიათ დაგვიტოვოთ UX.
ქმედებებით შეგიძლიათ შექმნათ უსაფრთხოების მთელი ნაკადი, რომელიც შეესაბამება თქვენი ორგანიზაციის უსაფრთხოების გამოყენების შემთხვევებს და ასევე აღმოფხვრა ხახუნი ლეგიტიმური მომხმარებლებისთვის, რომლებიც მაღალია ნდობის მასშტაბით.
Okta-ს შესახებ
Okta არის მსოფლიო იდენტობის კომპანია. როგორც წამყვანი დამოუკიდებელი Identity პარტნიორი, ჩვენ ვათავისუფლებთ ყველას უსაფრთხოდ გამოიყენოს ნებისმიერი ტექნოლოგია — ნებისმიერ ადგილას, ნებისმიერ მოწყობილობასა თუ აპლიკაციაში. ყველაზე სანდო ბრენდები ენდობიან Okta-ს უსაფრთხო წვდომის, ავთენტიფიკაციისა და ავტომატიზაციის გასააქტიურებლად. მოქნილობა და ნეიტრალიტეტი ჩვენი Okta Workforce Identity and Customer Identity Cloud-ის ბირთვშია, ბიზნეს ლიდერებს და დეველოპერებს შეუძლიათ ფოკუსირება ინოვაციებზე და დააჩქარონ ციფრული ტრანსფორმაცია კონფიგურირებადი გადაწყვეტილებებისა და 7,000-ზე მეტი წინასწარ ჩაშენებული ინტეგრაციის წყალობით. ჩვენ ვაშენებთ სამყაროს, სადაც იდენტობა თქვენ გეკუთვნით. შეიტყვეთ მეტი აქ okta.com.
Auth0 არის Okta-ს და მისი ფლაგმანი პროდუქტის ხაზის - Okta Customer Identity Cloud-ის ფუნდამენტური ტექნოლოგია. დეველოპერებს შეუძლიათ გაიგონ მეტი და შექმნან ანგარიში უფასოდ მისამართზე Auth0.com.
დოკუმენტები / რესურსები
 |
okta ადაპტური მრავალფაქტორიანი ავთენტიფიკაციის აპლიკაცია [pdf] მომხმარებლის სახელმძღვანელო ადაპტური მრავალფაქტორიანი ავთენტიფიკაცია, ადაპტური მრავალფაქტორიანი ავთენტიფიკაციის აპლიკაცია, აპლიკაცია |
