Oracle Cloud Infrastructure - Dokumentation

Identity Assurance verwalten

Verwenden Sie Identity Verification und Facial Biometrics, um sicherzustellen, dass ein Benutzer derjenige ist, für den er sich vor dem Zugriff auf Unternehmensressourcen behauptet.

Einführung

Identity Verification (IDV): Der einmalige Prozess zur Validierung der realen Identität eines Benutzers, indem ein Live-Selfie einem von der Regierung ausgestellten Ausweis zugeordnet wird (z.B. Reisepass oder Führerschein). IDV wird von einem unterstützten Identitätsverifizierungsprovider eines Drittanbieters durchgeführt und bietet ein hohes Maß an Sicherheit, dass der Benutzer derjenige ist, der er vorgibt zu sein.

Gesichtsbiometrie: Der Prozess nutzt die Erfassung der einzigartigen Gesichtsmerkmale eines Benutzers, um eine sichere biometrische Vorlage zu erstellen. Diese Vorlage wird für die Erstanmeldung und nachfolgende Verifizierungsprüfungen verwendet. Die Gesichtsbiometrie in OCI IAM ist eine native OCI-Funktion.

Identity Assurance: Kombiniert IDV und Gesichtsbiometrie. Nach der ersten Identitätsprüfung (IDV) überprüft das System die Identität eines Benutzers regelmäßig mithilfe von Gesichtsbiometrie. Diese Prüfungen bestätigen, dass die Person, die die Zugangsdaten verwendet, der angemeldete Benutzer ist und nicht jemand, der die Zugangsdaten erhalten hat. Dieser Prozess reduziert das Risiko von Identitätswechsel und unbefugtem Zugriff und stärkt die Sicherheitslage Ihres Unternehmens.

Dieser Service lässt sich in Drittanbieter zur Identitätsprüfung (oder Identitätsprüfung) integrieren, um die erste Dokument- und Identitätsprüfung durchzuführen. Nachdem die Identität eines Benutzers verifiziert wurde, werden seine biometrischen Daten im Gesicht beim nativen Service von Oracle für laufende Verifizierungsprüfungen registriert.
Hinweis

Wir unterstützen externe Verifizierungsprovider wie Daon und CLEAR.

Konzepte

Identitätsverifizierungsprovider: Wir unterstützen Verifizierungsprovider von Drittanbietern wie Daon und CLEAR für die anfängliche Identitätsverifizierung in IAM mit von Behörden ausgestellten Dokumenten.

Liveness Detection: Technologie, die bei biometrischen Gesichtsscans verwendet wird, um sicherzustellen, dass der Benutzer physisch präsent ist und kein Foto, Video oder eine Maske zum Spoof des Systems verwendet. Dazu gehören Prompts wie das Kippen des Kopfes oder das Blinzeln.

Inlineanmeldung: Ein Anmeldungsprozess, der von einem Administrator angefordert werden kann und direkt im Anmeldeablauf stattfindet. Erforderliche Benutzer müssen sie normalerweise abschließen, bevor sie auf Anwendungen zugreifen können.

Identity Assurance-Prozess

Der Prozess umfasst zwei Schlüsselpersonen:

  • Administratoren: Konfigurieren Sie Identity Verification-Provider, und richten Sie Identity Assurance-Policys ein, die definieren, wann und wie oft Benutzer ihre Identität prüfen müssen.
  • Benutzer: Melden Sie sich beim Service an, indem Sie ihre Identität mit einer von der Regierung ausgestellten ID prüfen und ihre Gesichtsbiometrie bei IAM registrieren. Anschließend werden periodische biometrische Gesichtsprüfungen durchgeführt, wie vom Administrator festgelegt.

Administratorworkflow

  1. Ein Administrator von Example Inc. stellt zunächst eine Geschäftsbeziehung mit einem unterstützten Identitätsverifizierungsprovider eines Drittanbieters her.
  2. In der OCI-Konsole navigiert der Administrator zur Identitätsdomain, konfiguriert den Identitätsverifizierungsprovider des Drittanbieters mit Zugangsdaten wie Client-ID und Secret und aktiviert ihn.
  3. Der Administrator erstellt dann eine Identity Assurance Policy und fügt eine Regel hinzu, die angibt, welche Benutzergruppen betroffen sind.
  4. Innerhalb der Regel aktiviert der Administrator die Gesichtsbiometrie und legt die Häufigkeit für regelmäßige Prüfungen (z.B. alle 7 bis 14 Tage) und die erneute Registrierung (z.B. alle 6 bis 12 Monate) fest.

Wir empfehlen die Kombination von Identity Verification und Biometrics für eine verbesserte Identitätssicherung. Jede Funktion ist jedoch optional und kann separat verwendet werden. Administratoren haben die Flexibilität, Identity Assurance mit Identity Verification und Facial Biometrics oder mit Facial Biometrics allein entsprechend den spezifischen Anforderungen ihrer Organisation zu konfigurieren. Wenn sowohl die Identitätsprüfung als auch die Gesichtsbiometrie für die Inline-Anmeldung aktiviert sind, wird der IDV-Prozess zuerst angefordert, gefolgt von der biometrischen Verifizierung.

Die Identitätssicherung erfolgt nach der Authentifizierung und kann zur Identitätsprüfung verwendet werden, selbst wenn Sie mit einem externen Identitätsprovider eines Drittanbieters wie Azure föderiert sind.

Administratoren haben auch die Möglichkeit, die Anmeldung als obligatorische Inline-Option oder als Funktion anzugeben, die Benutzer überspringen und Einstellungen definieren können, wie z.B. die Überprüfungshäufigkeit.

Endbenutzerworkflow

  1. Erstanmeldung: Ein Mitarbeiter, John, wird nach der Authentifizierung (wenn die Identity Assurance-Policy für die Inlineanmeldung konfiguriert ist) oder über "Mein Profil" zur Inlineanmeldung aufgefordert. Dies ist ein einmaliger Prozess.
    1. Identitätsprüfung: Ein QR-Code wird auf Johns Computerbildschirm angezeigt. Er scannt es mit seinem Smartphone, um den Identitätsverifizierungsprozess beispielsweise mit dem konfigurierten Identitätsverifizierungsprovider eines Drittanbieters einzuleiten. Er nimmt ein Live-Selfie und scannt seinen von der Regierung ausgestellten Ausweis. Der konfigurierte Drittanbieter für die Identitätsprüfung validiert die Echtheit des Dokuments und bestätigt, dass das Selfie mit dem Foto im Dokument übereinstimmt.
    2. Biometrische Anmeldung: John wird zurück zum Webbrowser seines Computers geleitet. Er wird aufgefordert, sein Gesicht in einem Rahmen zu positionieren und vollständige randomisierte Lebendigkeitsprompts, bei denen seine Nase mit zufälligen Punkten ausgerichtet wird. Das System erfasst seine Gesichtsdaten, erstellt eine biometrische Vorlage und speichert sie sicher, um die Anmeldung abzuschließen.
  2. Dauerhafte Verifizierung: Zwei Wochen später, wenn John auf eine Anwendung zugreift, meldet er sich mit seinen Standardzugangsdaten an. Unmittelbar danach löst die Identity Assurance eine facial biometrische Herausforderung aus. Er positioniert sein Gesicht, vervollständigt eine Aufforderung zur Lebendigkeit, und das System validiert seine Identität anhand der gespeicherten Vorlage und gewährt ihm Zugriff.

Anwendungsfall: Beispiel für die Nutzung von IDV und Identity Assurance durch Example Inc

In diesem Anwendungsfall wird mit Daon hervorgehoben, wie Example Inc den Identitätsverifizierungsanbieter Daon for Identity Assurance nutzt. Ein Administrator konfiguriert IAM für die Integration mit dem Identitätsverifizierungsprovider und erstellt Identity Assurance-Policys für die regelmäßige Verifizierung von Benutzern. Ein Mitarbeiter von Example Inc. überprüft die Identität mit einem amtlichen Ausweis, meldet sich bei der Gesichtsbiometrie an und wird durch regelmäßige Identitätsprüfungen überprüft.

Admin-Konfiguration

  1. Ein Administrator von Example Inc. navigiert zur Identitätsdomain und konfiguriert einen Identitätsverifizierungsprovider, Daon.
  2. Der Administrator gibt die vom Anbieter bereitgestellten Zugangsdaten (Client-ID, Client Secret, Discovery-URL) ein, ordnet die unterstützten Claims Identitätsdomainattributen zu und wählt dann Erstellen aus. Der Identitätsverifizierungsprovider wird erstellt. Der Administrator aktiviert dann den Identitätsverifizierungsprovider.
  3. Der Administrator erstellt eine Identity Assurance Policy und eine Regel. In der Regel legt der Administrator die Voraussetzungen im Feld "Bedingungen" mit Passkey als erstem Authentifizierungsfaktor und Oracle Mobile Authenticator (OMA) als zweitem Faktor fest und wählt die Benutzergruppen aus, die von der Regel ausgewertet werden.
  4. Der Administrator von Example Inc. aktiviert dann die Gesichtsbiometrie, plant biometrische Gesichtsprüfungen in zufälligen Intervallen zwischen 7 und 14 Tagen und die Wiederanmeldungshäufigkeit zwischen 6 und 12 Monaten.
  5. Der Administrator aktiviert die Identitätsprüfung und wählt den in Schritt 2 erstellten Provider aus.
  6. Nach der Definition wird die Policy in der Identitätsdomain für die Benutzer durchgesetzt, die den in der Regel angegebenen Bedingungen entsprechen.

Benutzeranmeldung

  1. Ein Mitarbeiter, John, erhält eine E-Mail, in der er über die neue Anforderung informiert wird. Er meldet sich mit seinem primären und zweiten Faktor an und wird aufgefordert, sich bei Biometrie anzumelden. Wenn der Benutzer während der Anmeldung nicht aufgefordert wird, sich für Biometrie anzumelden, meldet er sich bei "Mein Anmeldeprofil" an und wählt Mit Biometrie anmelden aus.
  2. Der Benutzer akzeptiert die Vertragsbedingungen.

  3. Verifizierung der Identität

    1. Ein QR-Code erscheint auf seinem Computerbildschirm. John scannt es mit seinem Smartphone, das die Identitätsprüfung mit Daon initiiert. Je nach Daon-Konfiguration wird John möglicherweise aufgefordert, die Daon-App oder eine von Example Inc. bereitgestellte App herunterzuladen, um die Identitätsprüfung abzuschließen.
    2. John nimmt ein Live Selfie. Daon verifiziert das Selfie des Benutzers um Lebendigkeit.
    3. Er scannt dann seinen von der Regierung ausgestellten Ausweis mit seinem Telefon. Daon bestätigt die Echtheit des Dokuments und bestätigt, dass das Selfie mit dem Foto im Dokument übereinstimmt.
    4. Eine Erfolgsmeldung gibt an, dass seine Identität verifiziert wurde.

  4. Anmeldung für Gesichtsbiometrie

    1. John wird zurück zum Webbrowser seines Computers geleitet.
    2. Der Browser fordert Zugriff auf seine Webcam an. Er wird aufgefordert, sein Gesicht in einem Rahmen zu positionieren und die randomisierten Aufforderungen zur Lebendigkeit zu vervollständigen, wie das Kippen des Kopfes des Benutzers nach oben, nach rechts und links. Diese Schritte schützen vor Spoofing- und Replay-Angriffen.
    3. Das System erfasst seine Gesichtsdaten, erstellt eine biometrische Vorlage und speichert sie sicher. Die Anmeldung ist nun abgeschlossen.

Identitätssicherung

  1. Nach der Anmeldung erfolgt die regelmäßige biometrische Überprüfung des Gesichts nahtlos im Hintergrund. Beispiel: Zwei Wochen später schließt John beim Zugriff auf eine Unternehmensanwendung die Standard-Passkey-Anmeldung ab, gefolgt von Oracle Mobile Authenticator (OMA) als zweitem Faktor.
  2. Unmittelbar danach initiiert Identity Assurance eine facial biometrische Verifizierungsherausforderung. John positioniert sein Gesicht innerhalb des Rahmens, vervollständigt einen randomisierten Prompt für die Lebendigkeit, und das System validiert seine Identität anhand der sicher gespeicherten biometrischen Vorlage.
  3. John wird der Zugriff auf die Anwendung gewährt. Das Verifizierungsereignis wird zu Auditingzwecken protokolliert.