Panduan Implementasi
Jadikan MFA Anda adaptif dengan templat tindakan
Latar belakang
Autentikasi multifaktor adaptif (MFA) mengurangi hambatan bagi pengguna sah dengan menilai risiko transaksi menggunakan algoritma pembelajaran mesin (ML), sehingga pengguna yang dikenal di tempat biasa mereka berada dapat dengan cepat masuk ke platform Anda.
Namun, butuh waktu untuk membangun mesin risiko dari awal, dan menerapkan MFA yang tepat dapat membuat perbedaan antara membangun kepercayaan konsumen dan pengguna yang meninggalkan platform Anda karena terlalu banyak langkah untuk masuk.
Untuk mendukung Adaptive MFA, Okta CIC memiliki penilaian keyakinan ML yang tersedia secara langsung untuk memenuhi kebutuhan penilaian risiko Anda, guna meningkatkan UX dan keamanan bagi semua pengguna yang ingin mengakses platform Anda.
Anda dapat menggunakan kalkulasi ML ini dengan Actions, dan membuat program MFA Adaptif Anda sendiri yang mengatasi titik buta yang mungkin terlewatkan oleh MFA mandiri, seperti:
- Bagaimana Anda menjaga sesi pengguna yang sah tidak terganggu tetapi memblokir lalu lintas yang tidak diinginkan?
- Kapan waktu yang tepat untuk menyajikan faktor kedua atau ketiga?
- Apa yang dianggap mendasar untuk menjaga platform Anda tetap aman dengan MFA?
Dalam postingan ini kami akan membahas cara menggunakan Actions, dan templat Actions apa saja yang tersedia secara langsung agar dapat langsung menjalankan praktik terbaik implementasi MFA.
Sebagai bagian dari kerangka kerja ekstensibilitas kami, Tindakan adalah logika pro-kode/tanpa-kode drag-and-drop yang dapat Anda sesuaikan untuk aplikasi dan integrasi Anda sendiri yang dimulai dengan Identitas.
Actions memungkinkan Anda menambahkan kode ke titik vital dalam jalur autentikasi hanya dengan javascript — dan 2 juta+ modul npm yang siap Anda gunakan.
Templat Tindakan mengajarkan Anda cara memanfaatkan kekuatan Tindakan dan memasarkan lebih cepat daripada pesaing, dengan menangani kasus penggunaan umum yang penting bagi organisasi saat ini.
Templat #1
Memerlukan pendaftaran MFA
Pendaftaran merupakan kesempatan unik untuk memberi pengguna pilihan dalam hal autentikasi.
Berdasarkan preferensi autentikasi pengguna, Anda mengurangi hambatan bagi mereka, dan membuat mereka setuju dengan postur keamanan Anda.
Mari kita mulai dengan Memerlukan Pendaftaran MFA Templat tindakan.
Navigasi ke Tindakan > Perpustakaan > Bangun dari Template.
Berikut ini isi templatnya:
export.onExecutePostLogin = async (peristiwa, api) => {
jika (!event.user.multifaktor?.panjang) {
api.multifactor.enable('apa pun', { allowRememberBrowser: false });
}
};
Apa yang sebenarnya terjadi di sini: Jika tidak ada faktor MFA yang terdaftar, izinkan pengguna Anda mendaftar pada faktor MFA mana pun yang Anda sediakan.
Template hanyalah permulaan — Mari kita lihat objek acara dan api:
Itu objek acara memiliki banyak parameter berbeda, yang mencakup data tentang pengguna, yang dapat Anda gunakan untuk menyesuaikan persyaratan MFA Anda; dalam kasus ini, kami melakukan polling pada serangkaian faktor MFA yang tersedia, event.user.multifactor?.length , dan jika tidak ada (!) yang terdaftar, lanjutkan dengan pendaftaran.
Pertimbangkan untuk mewajibkan atau menentukan penyedia yang berbeda melalui objek API — faktornya meliputi: duo, google-authenticator,guardian .
api.multifactor.enable(penyedia, opsi)
Opsi seperti allowRememberBrowser menentukan apakah browser harus diingat, sehingga pengguna dapat melewati MFA nanti. Ini adalah boolean opsional, dan defaultnya adalah false. Anda dapat ubah opsi ini melalui API manajemen.
Dengan menyebarkan, lalu menyeret dan melepaskan tindakan baru Anda ke dalam alur masuk (Tindakan > Alur > Masuk) dan memilih Menerapkan, pengguna Anda sekarang diharuskan mendaftar di MFA:
Ulangi langkah di atas setiap kali Anda ingin menambahkan Tindakan ke pemicu di jalur autentikasi.
Beradaptasi dengan MFA Anda
Navigasi ke Keamanan > Autentikasi Multifaktor, dan pilih faktor yang ingin Anda sediakan bagi pengguna akhir Anda.
Gulir ke bawah ke Opsi Tambahan, dan alihkan opsi ke Sesuaikan Faktor MFA menggunakan TindakanHal ini memungkinkan Anda untuk menambahkan logika Tindakan Anda sendiri dengan kecerdasan ML Adaptive MFA kami yang sudah ada.
Berikut ini beberapa informasi utama yang perlu dipertimbangkan tentang transaksi pengguna saat membuat kode yang sesuai dengan buku petunjuk keamanan Anda:
- Dalam kondisi apa pengguna saya perlu melakukan autentikasi ulang?
- Bagaimana informasi sesi mereka penting saat melakukan transaksi tertentu?
- Pembatasan kebijakan perusahaan apa yang diterjemahkan ke dalam kebijakan aplikasi?
Dengan mempertimbangkan hal ini, mari kita bahas langkah demi langkah cara menerapkan Adaptive MFA dengan templat Tindakan.
Templat #2
Memicu MFA saat kondisi terpenuhi
Templat ini menggunakan penilaian risiko/keyakinan MFA Adaptif kami — berdasarkan penilaian risiko, Anda berpotensi mencegah pelaku kejahatan masuk, tetapi juga membangun hubungan keamanan dengan pelanggan Anda untuk membantu diri sendiri jika perilaku baru atau anomali terdeteksi.
Dalam templat ini, newDevice adalah kondisi yang dinilai untuk permintaan MFA tambahan; Anda memiliki yang berikut ini objek penilaian risiko tersedia untuk melakukan jajak pendapat skor kepercayaan:
- Perangkat Baru
- Perjalanan yang Mustahil
- IP Tidak Tepercaya
- Nomor Telepon
Anda bahkan dapat menggabungkan penilaian untuk membuat keputusan tentang Hasil Aksi; untuk mantanample, jika perjalanan tidak memungkinkan, Anda bisa memblokir transaksi pengguna sepenuhnya.
export.onExecutePostLogin = async (peristiwa, api) => {
// Tentukan skor keyakinan mana yang harus memicu MFA, untuk informasi lebih lanjut
informasi mengacu pada
// https://auth0.com/docs/secure/multi-factor-authentication/adaptivemfa/
sesuaikan-mfa-adaptif#skor-keyakinan
const promptConfidences = ['rendah', 'sedang'];
// Mantanampkondisi: prompt MFA hanya berdasarkan NewDevice
// tingkat kepercayaan, ini akan meminta MFA saat pengguna masuk
in
// dari perangkat yang tidak dikenal.
konstanta keyakinan =
event.authentication?.riskAssessment?.assessments?.NewDevice
?.kepercayaan diri;
const harusPromptMfa =
keyakinan && promptConfidences.includes(keyakinan);
// Hanya masuk akal untuk meminta MFA ketika pengguna memiliki setidaknya
satu
// faktor MFA yang terdaftar.
konstan dapatPromptMfa =
acara.pengguna.multifaktor && acara.pengguna.multifaktor.panjang > 0;
jika (harusPromptMfa dan dapatPromptMfa) {
api.multifactor.enable('apa pun', { allowRememberBrowser: true });
}
};
Templat #3
Memicu MFA ketika IP yang meminta berasal dari luar rentang IP tertentu
Templat ini membatasi akses ke aplikasi tertentu, misalnya, jaringan perusahaan, dan menggunakan pustaka ipaddr.js untuk mengurai IP, dan, dalam kasus ini, memicu pemberitahuan push melalui Guardian:
export.onExecutePostLogin = async (peristiwa, api) => {
const ipaddr = memerlukan('ipaddr.js');
// dapatkan CIDR tepercaya dan pastikan itu valid
const corp_network = acara.rahasia.TRUSTED_CIDR;
jika (!corp_network) {
kembalikan api.access.deny('Konfigurasi tidak valid');
}
// parsing permintaan IP dari dan pastikan itu valid
biarkan current_ip;
mencoba {
current_ip = ipaddr.parse(peristiwa.permintaan.ip);
} tangkap (kesalahan) {
kembalikan api.access.deny('Permintaan tidak valid');
}
// parsing CIDR dan pastikan validitasnya
biarkan cidr;
mencoba {
cidr = ipaddr.parseCIDR(jaringan_corp);
} tangkap (kesalahan) {
kembalikan api.access.deny('Konfigurasi tidak valid');
}
// terapkan MFA penjaga jika IP tidak berada dalam alokasi tepercaya
jika (!ip_saat_ini.cocok(cidr)) {
api.multifactor.enable('guardian', { allowRememberBrowser: false });
}
};
Templat #4
Memerlukan MFA sekali per sesi
Templat ini melakukan sesuatu yang sedikit berbeda dari yang lain.
Alih-alih menyingkirkan pengguna, konfigurasi ini membantu Anda mencapai otentikasi diam-diam, yang mendukung pengguna untuk melanjutkan sesi mereka dari browser yang biasa digunakan tanpa harus diminta MFA.
export.onExecutePostLogin = async (peristiwa, api) => {
// jika array metode otentikasi valid dan berisi
metode bernama 'mfa', mfa telah dilakukan di sesi ini
jika (
!acara.autentikasi ||
!Array.isArray(peristiwa.autentikasi.metode) ||
!event.authentication.methods.find((metode) => nama.metode === 'mfa')
) {
api.multifactor.enable('apa pun');
}
};
Ringkasan
Templat kami mencakup cara menegakkan MFA pada pendaftaran, di luar jaringan perusahaan, per sesi, dan awal implementasi MFA adaptif.
Semua templat ini mendukung cara kerja Login Universal kami dalam berbagai konteks autentikasi. Artinya, Anda dapat menyerahkan UX kepada kami.
Dengan Actions, Anda dapat membuat keseluruhan alur keamanan agar sesuai dengan kasus penggunaan keamanan organisasi Anda, dan juga menghilangkan hambatan bagi pengguna sah yang memiliki tingkat kepercayaan tinggi.
Tentang Okta
Okta adalah Perusahaan Identitas Dunia. Sebagai mitra Identitas independen terkemuka, kami membebaskan semua orang untuk menggunakan teknologi apa pun dengan aman — di mana saja, di perangkat atau aplikasi apa pun. Merek yang paling tepercaya mempercayai Okta untuk memungkinkan akses, autentikasi, dan otomatisasi yang aman. Dengan fleksibilitas dan netralitas sebagai inti dari Okta Workforce Identity dan Customer Identity Clouds kami, para pemimpin bisnis dan pengembang dapat berfokus pada inovasi dan mempercepat transformasi digital, berkat solusi yang dapat disesuaikan dan lebih dari 7,000 integrasi yang telah dibuat sebelumnya. Kami sedang membangun dunia tempat Identitas menjadi milik Anda. Pelajari lebih lanjut di okta.com.
Auth0 adalah teknologi dasar Okta dan lini produk andalannya — Okta Customer Identity Cloud. Pengembang dapat mempelajari lebih lanjut dan membuat akun gratis di Auth0.com.
Dokumen / Sumber Daya
 |
Aplikasi Autentikasi Multifaktor Adaptif Okta [Bahasa Indonesia:] Panduan Pengguna Autentikasi Multi Faktor Adaptif, Aplikasi Autentikasi Multi Faktor Adaptif, Aplikasi |
