Oracle® Fusion Middleware Oracle Adaptive Access Manager管理者ガイド 11gリリース1 (11.1.1) E67347-01 |
|
前 |
次 |
この章では、認証のメイン・シナリオのフローと、OAAMベース・スナップショットの一部として製品に付属しているポリシーおよびルールについて説明します。この章では、付属の即時利用可能な自動学習ポリシーについても説明します。
ポリシーは、インポートする個別のポリシー・ファイルとしても含まれますが、質問、エンティティおよびパターンをインポートして、自動学習関連のプロパティを設定する必要があります。
図11-1に、Oracle Adaptive Access Managerによって保護されているアプリケーションにユーザーがログインした場合の、OAAMサーバーの認証フローを示します。
パスワードを忘れた場合のフローでは、ユーザーはすべてのチャレンジ質問に正しく回答した後で各自のパスワードをリセットできます。
注意: パスワードを忘れた場合の機能には、Oracle Identity Managerの統合が必要です。 |
次の表に、OAAMのチェックポイントおよびその役割をリストします。
表11-1 OAAMのチェックポイントおよび役割
チェックポイント名 | 役割 |
---|---|
認証前 |
要求がブロックされるかどうかを決定します。 |
デバイス識別 |
デバイスの識別方法を決定します。 |
AuthentiPad |
使用する認証パッドを決定します。 |
認証後 |
要求が許可されるかブロックされるかを決定します。 |
登録 |
どのユーザー情報が登録保留中であるかを判別します。 |
チャレンジ |
ユーザーへのチャレンジに使用するメカニズムを決定します。 |
CSR KBAチャレンジ |
カスタマがサービスを求めて電話した場合に適用されます。設定のリセットは、CSR KBAチャレンジを通じて実行されます。 |
パスワードを忘れた場合 |
チャレンジに基づいて実行される、パスワードをリセットするアクティビティ。 |
プリファレンス |
ユーザー情報(イメージ、フレーズ、OTP設定など)を設定します。 |
OAAMには、疑いのあるアクティビティを検出するための、即時利用可能な事前作成されたポリシーが標準で組み込まれています。
このポリシーは、不正なログイン試行をパスワードが入力される前に阻止します。
下の表に、OAAM認証前ポリシーのルールの条件およびパラメータを示します。
表11-3 OAAM認証前ポリシー・ルールの詳細
ルール | ルールの条件およびパラメータ | 結果 |
---|---|---|
ブラックリストに記載された国 |
ロケーション: 国グループ内 リストにある = TRUE 国グループ内の国=OAAM制限付き国 |
アクション = OAAMブロック アラート = OAAM制限付き国 スコア = 1000 重み = 100 |
ブラックリストに記載されたデバイス |
デバイス: グループ内デバイス グループ内 = TRUE グループ内デバイス = OAAM制限付きデバイス |
アクション = OAAMブロック アラート = OAAM制限付きデバイス スコア = 1000 重み = 100 |
使用されたWebZIP |
デバイス: ブラウザ・ヘッダー・サブストリング チェックするサブストリング = WEBZIP |
アクション = OAAMブロック アラート = OAAM制限付きソフトウェア スコア = 1000 重み = 100 |
ブラックリストに記載されたIP |
ロケーション: グループ内IP リストにある = TRUE IPリスト = OAAM制限付きIP |
アクション = OAAMブロック アラート = OAAM制限付きIP スコア = 1000 重み = 100 |
ブラックリストに記載されたISP |
ロケーション: グループ内ISP リストにある = TRUE ISPリスト = OAAM制限付きISP |
アクション = OAAMブロック アラート = OAAM制限付きISP スコア = 1000 重み = 100 |
ブラックリストに記載されたユーザー |
ユーザー: グループ内 グループ内 = TRUE ユーザー・グループ = OAAM制限付きユーザー |
アクション = OAAMブロック アラート = OAAM制限付きユーザー スコア = 1000 重み = 100 |
このポリシーにより、使用するOAAM認証パッドが決定されます。
表11-5に、OAAM AuthenticationPadポリシーのルールの条件およびパラメータを示します。
表11-5 OAAM認証パッド・ポリシー・ルールの詳細
ルール | ルールの条件およびパラメータ | 結果 |
---|---|---|
チャレンジSMS |
セッション: カンマ区切り値内にある値の確認 パラメータ・キー = AvailableChallengeTypes 確認する値 = ChallengeSMS リストにある場合の戻り値 = TRUE |
アクション = OAAMテキスト・パッド アラート = なし スコア = 0 |
登録済のイメージおよびキャプション |
ユーザー: 認証イメージ割当済 割当済 = TRUE |
アクション = OAAMパーソナライズされたパッド アラート = なし スコア = 0 |
キー・パッド・ユーザー |
ユーザー: 認証モード 認証モードは次のとおりです = フル・キーパッド |
アクション = OAAM KeyPad アラート = なし スコア = 0 |
チャレンジ電子メール |
セッション: カンマ区切り値内にある値の確認 パラメータ・キー = AvailableChallengeTypes 確認する値 = ChallengeEmail リストにある場合の戻り値 = TRUE |
アクション = OAAMテキスト・パッド アラート = なし スコア = 0 |
チャレンジ質問の登録 |
セッション: カンマ区切り値内にある値の確認 パラメータ・キー = AvailableChallengeTypes 確認する値 = RegisterChallengeQuestion リストにある場合の戻り値 = TRUE |
アクション = OAAM質問パッド アラート = なし スコア = 0 |
モバイル・ブラウザが使用されているかどうかの確認 |
デバイス: デバイスがモバイル・ブラウザを使用しているかどうかの確認 モバイル・ブラウザ・グループ = OAAMモバイル・ブラウザ・グループ デフォルトの戻り値 = False |
アクション = なし アラート = OAAMモバイル・ユーザー スコア = 0 |
チャレンジ質問 |
セッション: カンマ区切り値内にある値の確認 パラメータ・キー = AvailableChallengeTypes 確認する値 = ChallengeQuestion リストにある場合の戻り値 = TRUE |
アクション = OAAM質問パッド アラート = なし スコア = 0 |
表11-6に、OAAM AuthentiPadのトリガー組合せを示します。
表11-6 OAAM AuthenticationPadポリシーのトリガー組合せ
説明 | 組合せの詳細 | 結果 |
---|---|---|
スナップショットが空(モバイル・ブラウザの検出) |
モバイル・ブラウザが使用されているかどうかの確認 = True チャレンジSMS = 任意 登録済のイメージおよびキャプション = 任意 キー・パッド・ユーザー = 任意 チャレンジ電子メール = 任意 チャレンジ質問 = 任意 チャレンジ質問の登録 = 任意 |
アクション = OAAM HTMLパッド アラート = なし スコア = 0 |
スナップショットが空(登録されていないユーザー) |
モバイル・ブラウザが使用されているかどうかの確認 = 任意 チャレンジ質問の登録 = 任意 チャレンジSMS = False 登録済のイメージおよびキャプション = FALSE キー・パッド・ユーザー = 任意 チャレンジ電子メール = False チャレンジ質問 = False |
アクション = OAAMテキスト・パッド アラート = なし スコア = 0 |
スナップショットが空(登録済ユーザー) |
チャレンジ質問の登録 = 任意 モバイル・ブラウザが使用されているかどうかの確認 = 任意 チャレンジSMS = False 登録済のイメージおよびキャプション = TRUE キー・パッド・ユーザー = 任意 チャレンジ電子メール = False チャレンジ質問 = False |
アクション = OAAMテキスト・パッド・パーソナライズ済 アラート = なし スコア = 0 |
このポリシーは、正常に認証された後のリスクのレベルを評価します。許可、ブロック、チャレンジのいずれかのアクションが可能です。
表11-8に、OAAM認証後セキュリティ・ポリシーのルールの条件およびパラメータを示します。
表11-8 OAAM認証後セキュリティ・ポリシー・ルールの詳細
ルール | ルールの条件およびパラメータの値 | 結果 |
---|---|---|
アクティブなアノニマイザ |
ロケーション: グループ内IP リストにある = TRUE グループ内IP = anonymizer_active |
アクション = OAAMブロック アラート = OAAMアクティブなアノニマイザIP スコア = 1000 |
疑いがあるアノニマイザ |
ロケーション: グループ内IP リストにある = TRUE グループ内IP = anonymizer_suspect |
アクション = OAAMチャレンジ アラート = OAAM疑いがあるアノニマイザIP スコア = 700 |
不明なアノニマイザ |
ロケーション: グループ内IP リストにある = TRUE グループ内IP = anonymizer_active |
アクション = OAAMチャレンジ アラート = OAAM不明なアノニマイザIP スコア = 600 |
プライベートなアノニマイザ |
ロケーション: グループ内IP リストにある = TRUE グループ内IP = anonymizer_private |
アクション = OAAMチャレンジ アラート = OAAMプライベートなアノニマイザIP スコア = 700 |
リスクのある接続タイプ |
ロケーション: グループ内のIP接続タイプ リストにある = TRUE グループ内接続タイプ = OAAM高リスクの接続タイプ |
アクション = OAAMチャレンジ アラート = OAAMリスクのある接続タイプ スコア = 700 |
最近ブロックされたユーザー |
ユーザー: アクション指定時間 チェック・アクション = ブロック 秒 = 28800 次より大きい = 2 |
アクション = OAAMチャレンジ アラート = 最近ブロックされたユーザー スコア = 700 |
デバイス当たりの最大ユーザー数 |
デバイス: ユーザー件数 経過秒数 = 2592000 許可される最大ユーザー数 = 5 |
アクション = OAAMチャレンジ アラート = OAAMデバイス複数ユーザー スコア = 500 |
休眠IP |
ロケーション: グループ内のIP接続タイプ リストにある = FALSE 接続タイプ・グループ = OAAMモバイル接続 ロケーション: IP過剰使用 ユーザー数 = 4 範囲(時間) = 24 および使用されていない日数 = 30 |
アクション = OAAMチャレンジ アラート = OAAM休眠IP スコア = 500 |
IPからのユーザーの急増 |
ロケーション: グループ内のIP接続タイプ リストにある = FALSE 接続タイプ・グループ = OAAMモバイル接続 ロケーション: IPはAOL AOL = False ロケーション: IP最大ユーザー数 経過秒数 = 300 最大ユーザー数 = 3 |
アクション = OAAMチャレンジ アラート = OAAM IP複数ユーザー スコア = 600 |
リスクのある国 |
ロケーション: 国グループ内 リストにある = TRUE 国グループ内の国 = OAAMモニタリング中の国 |
アクション = OAAMチャレンジ アラート = OAAMモニターされる国 スコア = 500 |
休眠デバイス |
デバイス: 過剰使用 ユーザー数 = 4 範囲(時間) = 24 および使用されていない日数 = 30 |
アクション = OAAMチャレンジ アラート = OAAM休眠デバイス スコア = 500 |
多数の失敗があるデバイス |
デバイス: 期間内の指定ステータス以外 認証ステータスは次ではありません = 成功 期間範囲(秒) = 28800 4(回)より大きい |
アクション = OAAMチャレンジ アラート = OAAMデバイスからの多数の失敗 スコア = 600 |
ユーザー当たりの最大デバイス数 |
ユーザー: 使用されるデバイスの確認 最大デバイス数 = 2 期間範囲(秒) = 28800 |
アクション = OAAMチャレンジ アラート = OAAMユーザーの最大デバイス数 スコア = 300 |
リスクのあるデバイス |
デバイス: リストにある グループ内 = TRUE グループ内デバイス = OAAMリスクのあるデバイス |
アクション = OAAMチャレンジ アラート = OAAMリスクのあるデバイス スコア = 700 |
デバイス最大速度 |
デバイス: 最終ログインからの速度 時間内の最終ログイン(秒) = 72000 次を超える1時間当たりのマイル = 600 |
アクション = OAAMチャレンジ アラート = OAAMデバイス最大速度 スコア = 700 |
リスクのあるIP |
ロケーション: グループ内IP リストにある = TRUE IPリスト = OAAMリスクのあるIP |
アクション = OAAMチャレンジ アラート = OAAMリスクのあるIP スコア = 700 |
このポリシーにより、Oracle Data Minerの予測機能が付加されます。ポリシー内のルールは、Oracle Data Minerが構成されている場合にのみ機能します。
表11-10に、OAAM予測分析ポリシーのルールの条件およびパラメータを示します。
表11-10 OAAM予測分析ポリシー・ルールの詳細
ルール | ルールの条件およびパラメータ | 結果 |
---|---|---|
現在のセッションが不正かどうかの予測 |
ユーザー: 不正なユーザー・リクエストの確認 分類モデル = OAAM不正なリクエスト・モデル 必要な分類 = 不正 必要な確度の最小値 = 0.70 必要な確度の最大値 = 1.00 エラーの場合のデフォルトの戻り値 = FALSE |
アクション = なし アラート = OAAM不正の疑いがあるリクエスト スコア = 700 |
現在のセッションが異常かどうかの予測 |
ユーザー: 異常なユーザー・リクエストの確認 異常モデル = OAAM異常なリクエスト・モデル 必要な確度の最小値 = 0.60 必要な確度の最大値 = 1.00 エラーの場合のデフォルトの戻り値 = FALSE |
アクション = なし アラート = OAAM異常なリクエスト スコア = 600 |
このポリシーでは、パターン自動学習が有効かどうかと、ユーザーの過去の動作が記録されているかが確認されます。十分な記録済動作のあるユーザーは独自のプロファイルに対して評価されますが、十分な記録済動作がないユーザーはその他のすべてのユーザーのプロファイルに対して評価されます。
表11-12に、「OAAMではユーザーがプロファイルを持ちます」ポリシーのルールの条件およびパラメータを示します。
表11-12 自動学習(パターン・ベース)ポリシー・ルールの詳細: OAAMユーザー・プロファイルの有無
ルール | ルールの条件およびパラメータ | 結果 |
---|---|---|
ユーザー・プロファイルの有無 |
システム - ブール・プロパティの確認 プロパティ = vcrypt.tracker.autolearning.enabled 値 = True デフォルトの戻り値 = True システム - ブール・プロパティの確認 プロパティ = vcrypt.tracker.autolearning.use.auth.status.for.analysis 値 = True デフォルトの戻り値 = False ユーザー: ログイン数の確認 現在のユーザーのみをチェック = True 認証ステータス = 成功 秒 = 0 次を超えるログイン = 7 エラーが戻された場合 = False 現在のリクエストを検討するかを考慮 = True |
アクション = なし アラート = なし スコア = 0 |
ユーザーが十分な量の履歴データを取得している場合、このポリシーは、現在の動作を自分の履歴動作に対して評価するために使用されます。このポリシーでは、リスクの評価にパターン・ベース・ルールが使用されます。
表11-15に、OAAMユーザー対自分自身ポリシーのルールの条件およびパラメータを示します。
表11-15 自動学習(パターン・ベース)ポリシー・ルールの詳細: OAAMユーザー対自分自身
ルール | ルールの条件およびパラメータ | 結果 |
---|---|---|
ISP |
エンティティ: エンティティは特定の率より少ないパターンのメンバーです 次より小さいパターン・ヒット率 = 6 メンバーシップのパターン名 = ユーザー: ISPプロファイリング・パターン patternHitPercentより少ないメンバーシップ件数 = True パターン・メンバーシップの期間タイプ = 月 パターン・メンバーシップの期間 = 1 パターン・メンバーシップのメンバー・タイプ = ユーザー |
アクション = OAAMチャレンジ アラート = OAAMユーザー: ISP スコア = 600 |
接続タイプ |
エンティティ: エンティティは特定の率より少ないパターンのメンバーです 次より小さいパターン・ヒット率 = 6 メンバーシップのパターン名 = ユーザー: ASNプロファイリング・パターン patternHitPercentより少ないメンバーシップ件数 = True パターン・メンバーシップの期間タイプ = 月 パターン・メンバーシップの期間 = 1 パターン・メンバーシップのメンバー・タイプ = ユーザー |
アクション = OAAMチャレンジ アラート = OAAMユーザー: 接続タイプ スコア = 600 |
ルーティング・タイプ |
エンティティ: エンティティは特定の率より少ないパターンのメンバーです 次より小さいパターン・ヒット率 = 6 メンバーシップのパターン名 = ユーザー: ルーティング・タイプ・プロファイリング・パターン patternHitPercentより少ないメンバーシップ件数 = True パターン・メンバーシップの期間タイプ = 月 パターン・メンバーシップの期間 = 1 パターン・メンバーシップのメンバー・タイプ = ユーザー |
アクション = OAAMチャレンジ アラート = OAAMユーザー: ルーティング・タイプ スコア = 600 |
デバイス |
エンティティ: エンティティは特定の率より少ないパターンのメンバーです 次より小さいパターン・ヒット率 = 10 メンバーシップのパターン名 = ユーザー: デバイス・プロファイリング・パターン patternHitPercentより少ないメンバーシップ件数 = True パターン・メンバーシップの期間タイプ = 月 パターン・メンバーシップの期間 = 1 パターン・メンバーシップのメンバー・タイプ = ユーザー |
アクション = OAAMチャレンジ アラート = OAAMユーザー: デバイス スコア = 700 |
該当週の日 |
エンティティ: エンティティは一定期間内で最初のパターン・バケットのメンバーです メンバーシップのパターン名 = ユーザー: 曜日プロファイリング・パターン 条件がTrue = True パターン・メンバーシップの期間タイプ = 月 パターン・メンバーシップの期間 = 3 パターン・メンバーシップのメンバー・タイプ = ユーザー 初回数 = 1 |
アクション = OAAMチャレンジ アラート = OAAMユーザー: 曜日 スコア = 500 |
国と都道府県 |
エンティティ: エンティティは特定の率より少ないパターンのメンバーです 次より小さいパターン・ヒット率 = 10 メンバーシップのパターン名 = ユーザー: 都道府県プロファイリング・パターン patternHitPercentより少ないメンバーシップ件数 = True パターン・メンバーシップの期間タイプ = 月 パターン・メンバーシップの期間 = 1 パターン・メンバーシップのメンバー・タイプ = ユーザー |
アクション = OAAMチャレンジ アラート = OAAMユーザー: 都道府県 スコア = 600 |
時間 |
エンティティ: エンティティは特定の率より少ないパターンのメンバーです 次より小さいパターン・ヒット率 = 3 メンバーシップのパターン名 = ユーザー: 時間プロファイリング・パターン patternHitPercentより少ないメンバーシップ件数 = True パターン・メンバーシップの期間タイプ = 月 パターン・メンバーシップの期間 = 1 パターン・メンバーシップのメンバー・タイプ = ユーザー |
アクション = OAAMチャレンジ アラート = OAAMユーザー: 時刻 スコア = 500 |
ASN |
エンティティ: エンティティは特定の率より少ないパターンのメンバーです 次より小さいパターン・ヒット率 = 6 メンバーシップのパターン名 = ユーザー: ASNプロファイリング・パターン patternHitPercentより少ないメンバーシップ件数 = True パターン・メンバーシップの期間タイプ = 月 パターン・メンバーシップの期間 = 1 パターン・メンバーシップのメンバー・タイプ = ユーザー |
アクション = OAAMチャレンジ アラート = OAAMユーザー: ASN スコア = 600 |
国 |
エンティティ: エンティティは特定の率より少ないパターンのメンバーです 次より小さいパターン・ヒット率 = 20 メンバーシップのパターン名 = ユーザー: 国プロファイリング・パターン patternHitPercentより少ないメンバーシップ件数 = True パターン・メンバーシップの期間タイプ = 月 パターン・メンバーシップの期間 = 3 パターン・メンバーシップのメンバー・タイプ = ユーザー |
アクション = OAAMチャレンジ アラート = OAAMユーザー: 国 スコア = 700 |
ユーザーが十分な量の履歴データを取得していない場合、このポリシーは、現在の動作を他のすべてのユーザーの履歴動作に対して評価するために使用されます。このポリシーでは、リスクの評価にパターン・ベース・ルールが使用されます。
表11-17に、OAAMユーザー対すべてのユーザー・ポリシーのルールの条件およびパラメータを示します。
表11-17 自動学習(パターン・ベース)ポリシー・ルールの詳細: OAAMユーザー対すべてのユーザー
ルール | ルールの条件およびパラメータ | 結果 |
---|---|---|
ユーザー: 曜日 |
エンティティ: エンティティは、特定の率より少ないパターン・バケットのメンバーです(イメージ内のすべてのエンティティを含む) 次より小さいパターン・バケットのヒット率 = 5 メンバーシップのパターン名 = ユーザー: 曜日プロファイリング・パターン パターン・ヒット率より少ないメンバーシップ数 = true パターン・メンバーシップの期間タイプ = 月 パターン・メンバーシップの期間 = 6 パターン・メンバーシップのメンバー・タイプ = ユーザー |
アクション = OAAMチャレンジ アラート = ユーザー: 曜日 スコア = 300 |
ユーザー: 国 |
エンティティ: エンティティは、特定の率より少ないパターン・バケットのメンバーです(イメージ内のすべてのエンティティを含む) 次より小さいパターン・バケットのヒット率 = 3 メンバーシップのパターン名 = ユーザー: 国プロファイリング・パターン パターン・ヒット率より少ないメンバーシップ数 = true パターン・メンバーシップの期間タイプ = 月 パターン・メンバーシップの期間 = 6 パターン・メンバーシップのメンバー・タイプ = ユーザー |
アクション = OAAMチャレンジ アラート = ユーザー: 国 スコア = 500 |
ユーザー: 時刻 |
エンティティ: エンティティは、特定の率より少ないパターン・バケットのメンバーです(イメージ内のすべてのエンティティを含む) 次より小さいパターン・バケットのヒット率 = 5 メンバーシップのパターン名 = ユーザー: 時間プロファイリング・パターン パターン・ヒット率より少ないメンバーシップ数 = true パターン・メンバーシップの期間タイプ = 月 パターン・メンバーシップの期間 = 6 パターン・メンバーシップのメンバー・タイプ = ユーザー |
アクション = OAAMチャレンジ アラート = ユーザー: 時刻 スコア = 300 |
ユーザー: 接続タイプ |
エンティティ: エンティティは、特定の率より少ないパターン・バケットのメンバーです(イメージ内のすべてのエンティティを含む) 次より小さいパターン・バケットのヒット率 = 5 メンバーシップのパターン名 = ユーザー: 接続タイプ・プロファイリング・パターン パターン・ヒット率より少ないメンバーシップ数 = true パターン・メンバーシップの期間タイプ = 月 パターン・メンバーシップの期間 = 6 パターン・メンバーシップのメンバー・タイプ = ユーザー |
アクション = OAAMチャレンジ アラート = ユーザー: 接続タイプ スコア = 500 |
ユーザー: ロケール |
エンティティ: エンティティは、特定の率より少ないパターン・バケットのメンバーです(イメージ内のすべてのエンティティを含む) 次より小さいパターン・バケットのヒット率 = 3 メンバーシップのパターン名 = ユーザー: 時間プロファイリング・パターン パターン・ヒット率より少ないメンバーシップ数 = true パターン・メンバーシップの期間タイプ = 年 パターン・メンバーシップの期間 = 6 パターン・メンバーシップのメンバー・タイプ = ユーザー |
アクション = OAAMチャレンジ アラート = ユーザー: ロケール スコア = 500 |
このポリシーを使用して、登録する必要があるユーザー情報を決定します。
表11-19に、OAAM登録ポリシーのルールの条件およびパラメータを示します。
表11-19 OAAM登録ポリシー・ルールの詳細
ルール | ルールの条件およびパラメータ | 結果 |
---|---|---|
登録の確認 |
ユーザー: アカウント・ステータス ユーザー・アカウント・ステータス = アクティブ 次である = FALSE |
アクション = OAAM登録 アラート = なし スコア = 0 |
質問の登録 |
ユーザー: 質問ステータス ユーザー質問ステータス = 設定 次である = FALSE |
アクション = OAAMチャレンジ質問の登録 アラート = なし スコア = 0 |
4回以上スキップされた登録 |
ユーザー: 期間内のアクション件数 チェックポイント(オプション) = なし アクション = ユーザー登録(オプション) 秒 = 300 カウント・アクションはセッションごとに1回のみ = TRUE 次より大きい = 3 |
アクション = OAAM登録必須 アラート = なし スコア = 0 |
ユーザー情報の登録 |
ユーザー: 情報の確認 確認するカンマ区切り値へのキー = RequiredChallengeInfo 情報が設定されている場合の戻り値 = FALSE |
アクション = OAAMユーザー情報の登録 アラート = なし スコア = 0 |
イメージおよびキャプションの登録 |
ユーザー: 認証イメージ割当済 割当済 = FALSE |
アクション = OAAMプリファレンスの登録 アラート = なし スコア = 0 |
このポリシーは、ユーザーへのチャレンジ方法を決定します。このポリシーのすべての意思決定は、トリガー組合せを使用して実行されます。
表11-21に、OAAMチャレンジ・ポリシーのルールの条件およびパラメータを示します。
表11-21 OAAMチャレンジ・ポリシー・ルールの詳細
ルール | ルールの条件およびパラメータ | 結果 |
---|---|---|
SMS試行失敗の最大数 |
ユーザー: OTP失敗の確認 OTPチャレンジ・タイプ = ChallengeSMS 次以上の失敗数 = 3 次以上の場合 = TRUE |
アクション = なし アラート = なし スコア = 0 |
電子メール試行失敗の最大数 |
ユーザー: OTP失敗の確認 OTPチャレンジ・タイプ = ChallengeEmail 次以上の失敗数 = 3 次以上の場合 = TRUE |
アクション = なし アラート = なし スコア = 0 |
質問試行失敗の最大数 |
ユーザー: チャレンジの最大失敗数 次以上の失敗数 = 3 現在の質問件数のみですか。 = False 次以上の場合の戻り値 = True |
アクション = なし アラート = なし スコア = 0 |
アクティブな質問 |
ユーザー: 質問ステータス ユーザー質問ステータス = 設定 次である = True |
アクション = なし アラート = なし スコア = 0 |
チャレンジ電子メール使用可能 |
セッション: カンマ区切り値内にある値の確認 パラメータ・キー = AvailableChallengeTypes 確認する値 = ChallengeEmail リストにある場合の戻り値 = True |
アクション = なし アラート = なし スコア = 0 |
チャレンジSMS使用可能 |
セッション: カンマ区切り値内にある値の確認 パラメータ・キー = AvailableChallengeTypes 確認する値 = ChallengeSMS リストにある場合の戻り値 = True |
アクション = なし アラート = なし スコア = 0 |
高リスク・スコアの確認 |
セッション: リスク・スコア分類の確認 確認するリスク・スコア分類 = 高リスク エラーの場合に返すデフォルト値 = False |
アクション = なし アラート = なし スコア = 0 |
表11-22に、OAAMチャレンジのトリガー組合せを示します。
表11-22 OAAMチャレンジのトリガー組合せ
説明 | 組合せの詳細 | 結果 |
---|---|---|
リスク・スコアが「高」以外でユーザーが登録されていない場合、そのユーザーを登録できます |
高リスク・スコアの確認 = False アクティブな質問 = False チャレンジ電子メール使用可能 = False チャレンジSMS使用可能 = False 質問試行失敗の最大数 = 任意 電子メール試行失敗の最大数 = 任意 SMS試行失敗の最大数 = 任意 |
ポリシー = なし アクション = OAAM許可 アラート = なし スコア = 0 |
リスク・スコアが「高」でユーザーがSMSに登録されており最大数のSMSチャレンジに失敗しなかった場合、SMSでチャレンジします。 |
高リスク・スコアの確認 = TRUE アクティブな質問 = 任意 チャレンジ電子メール使用可能 = 任意 チャレンジSMS使用可能 = TRUE 質問試行失敗の最大数 = 任意 電子メール試行失敗の最大数 = 任意 SMS試行失敗の最大数 = FALSE |
ポリシー = なし アクション = OAAMチャレンジSMS アラート = なし スコア = 0 |
リスク・スコアが「高」でユーザーが電子メールに登録されており電子メール・チャレンジに最大回数失敗しなかった場合、電子メールでチャレンジします。 |
高リスク・スコアの確認 = 高 アクティブな質問 = 任意 チャレンジ電子メール使用可能 = TRUE チャレンジSMS使用可能 = 任意 質問試行失敗の最大数 = 任意 電子メール試行失敗の最大数 = FALSE SMS試行失敗の最大数 = 任意 |
ポリシー = なし アクション = OAAMチャレンジ電子メール アラート = なし スコア = 0 |
ユーザーのチャレンジ質問がアクティブで質問の最大チャレンジ数に失敗しなかった場合、質問でチャレンジします |
高リスク・スコアの確認 = 任意 アクティブな質問 = True チャレンジ電子メール使用可能 = 任意 チャレンジSMS使用可能 = 任意 質問試行失敗の最大数 = True 電子メール試行失敗の最大数 = 任意 SMS試行失敗の最大数 = 任意 |
ポリシー = なし アクション = OAAMチャレンジ質問 アラート = なし スコア = 0 |
ユーザーがチャレンジSMSに失敗せずSMSに登録されている場合、OTPでチャレンジします。 |
高リスク・スコアの確認 = 任意 アクティブな質問 = 任意 チャレンジ電子メール使用可能 = 任意 チャレンジSMS使用可能 = TRUE 質問試行失敗の最大数 = 任意 電子メール試行失敗の最大数 = 任意 SMS試行失敗の最大数 = FALSE |
ポリシー = なし アクション = OAAMチャレンジSMS アラート = なし スコア = 0 |
ユーザーが電子メールに登録されており電子メール・チャレンジに最大回数失敗しなかった場合、電子メールでチャレンジします。 |
高リスク・スコアの確認 = 任意 アクティブな質問 = 任意 チャレンジ電子メール使用可能 = TRUE チャレンジSMS使用可能 = 任意 質問試行失敗の最大数 = 任意 電子メール試行失敗の最大数 = FALSE SMS試行失敗の最大数 = 任意 |
ポリシー = なし アクション = OAAMチャレンジ電子メール アラート = なし スコア = 0 |
ユーザーが質問またはOTPに登録されておらずリスク・スコアが「高」の場合はブロックします。このブロックは、一時許可機能を使用してオーバーライドできます。 |
高リスク・スコアの確認 = TRUE アクティブな質問 = False チャレンジ電子メール使用可能 = FALSE チャレンジSMS使用可能 = FALSE 質問試行失敗の最大数 = 任意 電子メール試行失敗の最大数 = 任意 SMS試行失敗の最大数 = 任意 |
ポリシー = なし アクション = OAAMブロック アラート = なし スコア = 0 |
ユーザーがすべてのタイプのチャレンジ・メカニズムに回答できなかった場合、チャレンジ・ブロックを行います。注意: このブロックは、一時許可機能を使用してオーバーライドすることはできません。 |
結果付きのすべてのルール = 任意 |
ポリシー = なし アクション = OAAMチャレンジ・ブロック アラート = なし スコア = 0 |
このポリシーにより、ユーザーにアクティブな質問があるかどうか、チャレンジの質問がまだ残っているか、および失敗したチャレンジ数が判別されます。
表11-24に、OAAMカスタマ・ケア質問依頼ポリシーのルールの条件およびパラメータを示します。
表11-24 OAAMカスタマ・ケア質問依頼ルールの詳細
ルール | ルールの条件およびパラメータ | 結果 |
---|---|---|
質問なし |
ユーザー: 質問ステータス ユーザーに登録済の質問がない場合にトリガーされます。考えられる2つのシナリオは、未登録のユーザーか、カスタマ・ケアでリセットされた質問を持つユーザーです。 ユーザーの質問ステータス ユーザー質問ステータス: 未設定 次である = True |
アクション = OAAMユーザー質問なし アラート = なし スコア = 0 重み = 100 |
最大回答失敗数 |
ユーザー: チャレンジ・チャネル失敗 現在の質問に許可されている最大回答数に失敗するとトリガーされます。回数はカスタマ・ケアとオンライン・チャレンジの合計です。 ユーザーの特定のチャネルからの失敗カウンタ値が指定された値を超える場合 チャレンジ・チャネル =<select> 現在の質問件数のみですか。 = True 次以上の失敗数 = 3 |
アクション = OAAM次の質問 アラート = なし スコア = 0 重み = 100 |
ブロックされた質問 |
ユーザー: チャレンジ質問失敗 失敗のある質問数を確認します。 次以上の失敗数 = 1 |
アクション = OAAM質問のリセット アラート = なし スコア = 0 重み = 100 |
最大質問失敗数 |
ユーザー: 質問失敗 ユーザーが許可されている最大質問数に失敗するとトリガーされます。 次以上の失敗数 = 3 |
アクション = なし アラート = なし スコア = 0 重み = 100 |
次の各項では、セキュリティ・ポリシーのユース・ケース・シナリオについて説明します。
WebZIPブラウザを使用するすべてのユーザーを、ログイン試行からブロックする必要があります。
user1はWebZipを使用し、アプリケーションにログインしようとします。
user1はブロックされます。
管理者がOAAM管理にログインします。
管理者は、user1のセッションを表示します。
管理者は、ルール: 使用されたWEBZIPがトリガーされたことを確認します。
ユーザーtest userは、登録済のユーザーです。別の国に出張中で、電子メールまたは電話を使用できません。ログインに使用したIPは、リスクの高いIPとみなされたため、SMSによるチャレンジを受けます。自分のOTPにアクセスできないため、SMSによるOTPチャレンジに回答できません。今度はKBA経由のチャレンジを受けましたが、不運なことに、自分のチャレンジ質問への回答を忘れました。質問に対して推測して回答しましたが間違っていました。システムからロックアウトされました。CSRに電話して、自分のIDを証明します。CSRがこのユーザーをロック解除したため、このユーザーは再びログインできるようになります。
OTPがSMSおよび電子メールに設定されています。
自動学習ポリシー(OAAMではユーザーがプロファイルを持ちます)は無効になっています。
ユーザーは、testuser
として登録されています。
そのIPは、「リスクのあるIP」グループに入っています。
testuser
は、アプリケーションにログインしようとします。
testuser
は、SMS経由でチャレンジを受けます。
testuser
は、回答を3回間違えます。
testuser
は、KBA経由でチャレンジを受けます。
testuser
は、チャレンジ質問の回答に3回間違えます。
testuser
はロックアウトされます。
CSRは、ケースを作成し、次にこのユーザーのチャレンジ質問をロック解除する必要があります。
testuser
は、アプリケーションに正常にログインできます。
ユーザーanonymizerが、Quova地理的位置データベースでアノニマイザとみなされているIPを使用してログインします。このユーザーはブロックされ、適切な情報が含まれたケースが自動的に作成されます。調査担当者は、このケースを処理し、処置を追加し、このケースを閉じます。
管理者
管理者がOAAM管理にログインします。
アクション・テンプレート「カスタマ・ケア・ケースの作成」を使用して、新しいアクション・インスタンスを作成します。
「認証後」チェックポイント、「ブロック」アクション、「1000」のスコア、およびケース・タイプ「2」を選択します。
ユーザー
新規ユーザーanonymizerが、アプリケーションにログインしようとします。
このユーザーはブロックされます。
不正ケースが自動的に作成されます。
調査担当者
調査担当者は、調査担当者としてOAAM管理にログインします。
ケースを開き、ノートを追加します。
処置を行ってケースを閉じます。
ユーザーtest user2は、登録済のユーザーです。米国に住んでいるため、すべてのログインは通常、米国で行われています。中国に出張し、そこで何回かログインを実行します。OAAMによって、このことは通常の動作ではないと判断されるため、このユーザーはチャレンジを受けます。
ルール:
このルールは、使用されたデバイスが過去20時間内に毎時600マイルよりも高速で移動したと判断される場合にのみトリガーします。トリガーの結果として、チャレンジ・アクション、およびこのチャレンジの生成理由を十分に確認できる適切な情報アラートが発生します。
次のルールは、次の2つの条件が両方ともfalseの場合にのみチャレンジ・アクションをトリガーします。このユーザーは今までこの国を3回以上使用しましたか。
AND
このユーザーは、先月にこの国を使用したのが10%を超えていますか。
ユーザーが認証後チャレンジを受け、KBAがアクティブで、OTPがアクティブでなく、リスクが600を超える場合、KBA質問を尋ねられる必要があります。