Geogeschwindigkeitsbasierten Anwendungsfall in Oracle Adaptive Risk Management konfigurieren

Einführung

In diesem Tutorial wird gezeigt, wie Sie einen Geofence-basierten Anwendungsfall in Oracle Adaptive Risk Management (OARM) konfigurieren.

Mit der Geogeschwindigkeitsregel können Sie einen Benutzer anhand der Entfernung und der Zeitlücke zwischen dem aktuellen Standort und dem zuletzt angemeldeten Standort authentifizieren. Sie können diese Informationen als Kriterien nutzen, um Zugriff auf die geschützte Ressource zu erteilen.

Geogeschwindigkeit wird in der Regel als maximale Meilen pro Stunde berechnet. So können Sie bestimmen, wie schnell ein Benutzer von einem Ort zum anderen reisen kann, um sich innerhalb einer bestimmten Zeitdauer erfolgreich anzumelden.

Voraussetzung für die Implementierung des Geofence-Anwendungsfalls ist die Verwendung der Geolocation-Daten. Mit der Funktion "Geolocation" können Sie den physischen Standort des Benutzers identifizieren. Dies wird in der Regel dadurch bestimmt, dass die IP-Adresse des Geräts abgerufen wird, das von einem Benutzer zum Versuch einer Anmeldung verwendet wird. Diese Daten werden dann verwendet, um den Abstand zwischen zwei aufeinander folgenden Anmeldeversuchen zu berechnen.

In diesem Tutorial wird ein Szenario behandelt, in dem der Administrator die Out-of-the-box-Regel Herausforderung basierend auf maximaler Geschwindigkeit des Geräts verwendet, um eine solche betrügerische Benutzeraktivität zu erkennen, einen Alert auszulösen und den Benutzer vor einer erfolgreichen Anmeldung aufzufordern. Dies geschieht in Verbindung mit den Geolocation-Daten. Der Administrator kann Alerts, Aktionen, Regeln und andere benutzerbezogene Informationen über das Dashboard Benutzersession überwachen.

Ziele

In diesem Tutorial führen Sie die folgenden Aufgaben aus:

1. Konfigurieren Sie Geogeschwindigkeit mit der Out-of-the-box-Regel Herausforderung basierend auf maximaler Geschwindigkeit des Geräts.
2. X-Forwarded aktivieren - Für Header-Unterstützung.
3. Testen Sie die Regel für die maximale Gerätegeschwindigkeit.
4. Überwachen Sie die Benutzersession.
5. Validieren Sie die Funktion der Regel für maximale Geschwindigkeit des Geräts.

Voraussetzungen

Bevor Sie mit diesem Tutorial beginnen, müssen Sie folgende Schritte ausführen:

• Eine ausgeführte Oracle Advanced Authentication-(OAA-) und OARM-Instanz. Anweisungen zur Installation von OAA und OARM finden Sie unter Oracle Advanced Authentication and Oracle Adaptive Risk Management verwalten.
• Befolgen Sie das Tutorial Oracle Access Management mit Oracle Advanced Authentication integrieren.
• Prüfen Sie den Anwendungsfall Geo-Velocity-basierten Anwendungsfall konfigurieren.
• Laden Sie die Geolocation-Daten auf dem OARM-Server. Anweisungen zum Vordefinieren der Geolokationsdaten finden Sie unter Geolokationsdaten laden.

Geo-Velocity-Anwendungsfall in OARM konfigurieren

1. Melden Sie sich bei der OARM Administration Console an. Sie werden zur OAM-Anmeldeseite umgeleitet, da die Konsole durch OAM OAuth geschützt ist. Geben Sie Ihre Zugangsdaten und die Anmeldung an.

2. Klicken Sie oben links auf das Hamburger-Menü "Anwendungsnavigation", und klicken Sie auf Adaptive Risk Management. Das Dashboard "Benutzeraktivität" wird angezeigt.

3. Klicken Sie in der Kachel "Benutzerauthentifizierung" auf den Link Regeln. Die Seite "Benutzeraktivitätsregeln" wird angezeigt.

4. Geben Sie im Suchbereich den relevanten Text ein, um alle verfügbaren Regeln out-of-the-box zu filtern und riskante IP zu konfigurieren, z.B. velocity. Die Regel Herausforderung basierend auf der maximalen Geschwindigkeit des Geräts wird angezeigt, die Sie für diesen Anwendungsfall konfigurieren müssen.

5. Klicken Sie auf das Symbol Bearbeiten für die Regel Herausforderung basierend auf maximaler Geschwindigkeit des Geräts.

   Hinweis: Der Out-of-the-box-Regel für die Herausforderung basierend auf maximaler Geschwindigkeit des Geräts ist eine Bedingung zugeordnet, die die maximale Geschwindigkeit des Geräts in der angegebenen Zeit auswertet.

6. Stellen Sie sicher, dass die Listen Aktion auswählen und Alert auswählen vorab mit den Optionen Herausforderung und Maximale Geschwindigkeit des Geräts ausgefüllt sind.

   Hinweis: Sie können Aktionen und Alerts entsprechend Ihrer Anforderung konfigurieren.

7. Prüfen Sie, ob die Felder Letzte Anmeldung innerhalb (Sekunden) und Meilen pro Stunde vorab mit 72000 bzw. 600 ausgefüllt sind.

   Hinweis: Sie können die vorhergehenden Felder entsprechend Ihrer Anforderung konfigurieren.

8. Fügen Sie die IP-Adressen hinzu, die Sie für die Regel für maximale Geschwindigkeit des Geräts ignorieren möchten. Um den Administrator zu vereinfachen, ist die Gruppe IP-Gruppe ignorieren sofort verfügbar.

   Hinweis: Mit diesem Parameter können Sie eine Liste der zu ignorierenden IPs angeben. Wenn die IP des Benutzers aus dieser Liste stammt, wird diese Bedingung immer als "false" ausgewertet. Beispiel: Ein Mitarbeiter, der an einer Finanzanwendung arbeitet und häufig zwischen VPN wechselt, möchten Sie diese IP-Adresse in die IP-Gruppe ignorieren aufnehmen. Wenn die IP des Benutzers nicht in dieser Liste enthalten ist oder die Liste Null oder leer ist, wertet die Bedingung die Geschwindigkeit des Benutzers oder des Geräts bei der letzten Anmeldung aus und ergibt "true", wenn die Geschwindigkeit den konfigurierten Wert überschreitet.

9. Klicken Sie unter IP-Gruppe ignorieren mit der in der Liste ausgewählten Option IP-Gruppe ignorieren auf den Link IP-Gruppe bearbeiten, um die IP-Adressen hinzuzufügen, die für diese Regel ignoriert werden sollen.

10. Klicken Sie auf Speichern und weiter. Die Seite "IP-Gruppe bearbeiten" wird angezeigt.

11. Führen Sie die folgenden Schritte aus, um die Liste der IP-Adressen zu konfigurieren, die von der Regel ignoriert werden sollen:

    • Klicken Sie auf IPs hinzufügen.
    • Geben Sie im Feld Wert die IP-Adresse ein. In einer Demonstration wird die IP-Adresse 192.0.2.254 angezeigt.
    • Klicken Sie auf Add. Die folgende Abbildung zeigt die IP-Adresse, die der IP-Gruppe ignorieren hinzugefügt wurde.
    • Wiederholen Sie die Schritte 11a bis 11c, um die Liste der IP-Adressen hinzuzufügen, die in der Gruppe ignoriert werden sollen.

12. Klicken Sie auf Speichern, um die Gruppe zu speichern. Sie werden zur Seite "Regel bearbeiten" umgeleitet.

13. Klicken Sie auf Speichern, um die Regel zu speichern. Sie werden zur Seite "Benutzeraktivitätsregeln" umgeleitet.

Während des Authentifizierungsablaufs bei Ausführung dieser Regel wird nun die Bedingung ausgewertet, die mit der Out-of-the-box-Regel Maximale Geschwindigkeit des Geräts verknüpft ist. Wenn diese Bedingung als True ausgewertet wird, wird die Regel ausgelöst. Der Benutzer wird wiederum die Herausforderung basierend auf den konfigurierten Faktoren präsentiert.

Unterstützung für X-Forwarded für Header aktivieren

Der X-Forwarded-For Header ist eine De-facto-Standardversion, mit der die ursprüngliche IP-Adresse identifiziert wird, wenn ein Client über einen HTTP-Proxy oder Load Balancer eine Verbindung zu einem Webserver herstellt.

In diesem Abschnitt prüfen Sie, ob die Unterstützung für X-Forwarded-For-Header aktiviert ist.

1. Erstellen Sie eine GET-Anforderung mit der folgenden URL:

   Get:
   https://129.153.185.7/policy/config/property/v1?propertyName=vcrypt.tracker.ip.detectProxiedIP
   

2. Bestätigen Sie in der Antwort, dass der Wert "true" angezeigt wird.

   [
      {
        "name": "vcrypt.tracker.ip.detectProxiedIP",
        "value": "true"
      }
   ]
   

3. Wenn die Antwort nicht true ist, erstellen Sie eine PUT-Anforderung mit der folgenden URL, um X-Forwarded-For-Header-Unterstützung zu aktivieren.

   Put:
   https://129.153.185.7/policy/config/property/v1?propertyName=vcrypt.tracker.ip.detectProxiedIP
   

4. Bestätigen Sie in der Antwort, dass der Wert "true" angezeigt wird.

   [
      {
        "name": "vcrypt.tracker.ip.detectProxiedIP",
        "value": "true"
      }
   ]
   

Regel für maximale Gerätegeschwindigkeit testen

In diesem Abschnitt können Sie auf die geschützte Anwendung zugreifen, sich bei OARM anmelden und testen, wie die Regel für maximale Geschwindigkeit des Geräts funktioniert.

1. Starten Sie einen Browser, und greifen Sie auf die geschützte Anwendung zu, z.B. http://oam.example.com:7777/mybank. Da diese Anwendung geschützt ist, sollten Sie zur OAM-Anmeldeseite umgeleitet werden. Melden Sie sich als neuer Benutzer user2/<password> an. Dieser Benutzer meldet sich bei Tamil Nadu, Indien an.

   

   Beschreibung der Abbildung oamlogin.PNG

2. Wenn die Authentifizierung erfolgreich ist, müssen Sie zur geschützten Anwendungsseite umgeleitet werden, z.B. /mybank.

   

   Beschreibung der Abbildung mybank.PNG

Benutzersession überwachen

1. Neuen Browser starten

2. Melden Sie sich bei der OARM Administration Console an. Sie werden zur OAM-Anmeldeseite umgeleitet, da die Konsole durch OAM OAuth geschützt ist. Geben Sie Ihre Zugangsdaten und die Anmeldung an.

3. Klicken Sie oben links auf das Hamburger-Menü "Anwendungsnavigation", und klicken Sie auf Benutzersessions überwachen. Das Dashboard Benutzersessions wird angezeigt.

4. Klicken Sie auf die Umschaltfläche Erfolgreiche Sessions einschließen, um die Liste der erfolgreichen Anmeldungen anzuzeigen. Sie werden feststellen, dass die Anmeldung user2 erfolgreich war.

   

   Beschreibung der Abbildung usersession.PNG

5. Klicken Sie auf den Link unter Session-ID für diesen Benutzer, z.B. 50018. Die Seite Benutzersessions - 50018 wird angezeigt.

6. Zeigen Sie im Bereich Standortinformationen die Informationen IP-Adresse, Land und Bundesland für den Benutzer an.

   

   Beschreibung der Abbildung sessiondetail.PNG

Funktion der maximalen Geschwindigkeitsregel für Gerät validieren

In diesem Abschnitt validieren Sie, ob die Regel "Maximale Geschwindigkeit des Geräts" korrekt funktioniert. Um die Genauigkeit zu gewährleisten, melden Sie sich bei derselben Bankinganwendung mit einer anderen IP-Adresse an, die denselben Benutzer und dasselbe Gerät verwendet.

1. Starten Sie einen Browser, und greifen Sie auf die geschützte Anwendung zu, z.B. http://oam.example.com:7777/mybank. Melden Sie sich wie derselbe Benutzer user2/<password>, jedoch von einer anderen IP-Adresse an. In diesem Beispiel wird als IP-Adresse Tokio (Japan) verwendet.

2. Wenn die Anmeldung erfolgreich ist, werden Sie zum OAA-Endpunkt umgeleitet. Beispiel: https://oaa.example.com/oaa/authnui. OAA übergibt diese Anforderung intern an OARM. Dadurch wird die Regel Maximale Geschwindigkeit des Geräts ausgelöst, die auf Challenge gesetzt ist, und die Challenge-Seite wird für den Benutzer angezeigt.

   

   Beschreibung der Abbildung Challengechoice.PNG

3. Sie werden zur Seite E-Mail umgeleitet, auf der Sie aufgefordert werden, OTP eingeben vom registrierten E-Mail-Gerät einzugeben. Geben Sie im Feld OTP eingeben den Einmal-Passcode ein, der an die E-Mail-Adresse des Benutzers gesendet wird, und klicken Sie auf Überprüfen.

   

   Beschreibung der Abbildung emailotp.PNG

4. Wenn die Authentifizierung erfolgreich ist, müssen Sie zur geschützten Anwendungsseite umgeleitet werden, z.B. /mybank.

   

   Beschreibung der Abbildung mybank.PNG

5. Öffnen Sie eine neue Browserregisterkarte, und melden Sie sich bei der OARM Administration Console an. Geben Sie Ihre Zugangsdaten und die Anmeldung an.

6. Klicken Sie oben links auf das Hamburger-Menü "Anwendungsnavigation", und klicken Sie auf Benutzersessions überwachen. Das Dashboard Benutzersessions wird angezeigt.

7. Klicken Sie auf die Umschaltfläche Erfolgreiche Sessions einschließen, um die Liste der erfolgreichen Anmeldungen anzuzeigen. Sie werden user2-Anmeldedaten vom gleichen Gerät, aber von einer anderen IP-Adresse bemerken.

   

   Beschreibung der Abbildung usersession2.PNG

8. Klicken Sie auf den Link unter Session-ID für diesen Benutzer, z.B. 50019. Die Seite Benutzersessions - 50019 wird angezeigt.

9. Klicken Sie im Bereich Benutzerauthentifizierung auf Alerts, um die Nachricht anzuzeigen, die vom Alert an den Administrator ausgelöst wurde. Dies zeigt, dass der Benutzer, der sich aus Japan angemeldet hat, eine Herausforderung darstellt und für den Administrator ein Alert ausgelöst wurde.

   

   Beschreibung der Abbildung usersession2detail.PNG

Weitere Informationen

• Oracle Advanced Authentication und Oracle Adaptive Risk Management verwalten
• Oracle Fusion Middleware-Hilfereferenz für die Admin-Konsole für Oracle Advanced Authentication

Feedback

Um Feedback zu diesem Tutorial abzugeben, wenden Sie sich bitte an idm_user_assistance_ww_grp@oracle.com

Danksagungen

• Autor - Devanshi Mohan

Weitere Lernressourcen

Sehen Sie sich andere Übungen auf der Website docs.oracle.com/learn an, oder greifen Sie auf Inhalte zu, die Sie über den Oracle Learning-Kanal YouTube benötigen. Besuchen Sie außerdem education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.

Produktdokumentation finden Sie unter Oracle Help Center.

---

Titel und Copyright-Informationen

Configuring a Geo-Velocity Based Use Case in Oracle Adaptive Risk Management

F55501-02

March 2022

Copyright © 2022, Oracle and/or its affiliates.