Gestión de Identity Assurance

Verificación de identidad (IDV): proceso único de validación de la identidad del mundo real de un usuario mediante la coincidencia de una selfie en directo con una identificación emitida por el gobierno (por ejemplo, un pasaporte o una licencia de conducir). IDV es realizado por un proveedor de verificación de identidad de terceros compatible y ofrece un alto nivel de garantía de que el usuario es quien dice ser.

Biometría facial: el proceso aprovecha la captura de las características faciales únicas de un usuario para crear una plantilla biométrica segura. Esta plantilla se utiliza para la inscripción inicial y las comprobaciones de verificación posteriores. La biometría facial en OCI IAM es una capacidad nativa de OCI.

Garantía de identidad: combina IDV y biometría facial. Después de la verificación de identidad inicial (IDV), el sistema vuelve a verificar periódicamente la identidad de un usuario mediante la biometría facial. Estas comprobaciones confirman que la persona que utiliza las credenciales es el usuario inscrito, no alguien que ha obtenido las credenciales. Este proceso reduce el riesgo de suplantación y acceso no autorizado y refuerza la estrategia de seguridad de su organización.

Proveedor de verificación de identidad: admitimos proveedores de verificación de terceros, como Daon y CLEAR, para la verificación de identidad inicial en IAM mediante documentos emitidos por el gobierno.

Detección de vida: tecnología utilizada durante las exploraciones biométricas faciales para garantizar que el usuario esté físicamente presente y no utilice una foto, video o máscara para falsificar el sistema. Esto implica indicaciones como inclinar la cabeza o parpadear.

Inscripción en línea: proceso de inscripción que puede ser obligatorio para un administrador y que se produce directamente en el flujo de conexión. Normalmente, los usuarios con mandato deben completarlo antes de poder acceder a las aplicaciones.

1. Un administrador de Example Inc. establece primero una relación comercial con un proveedor de verificación de identidad de terceros compatible.
2. En la consola de OCI, el administrador navega al dominio de identidad, configura el proveedor de verificación de identidad de terceros mediante credenciales como el ID de cliente y el secreto, y lo activa.
3. A continuación, el administrador crea una política de Identity Assurance y agrega una regla que especifica qué grupos de usuarios se ven afectados.
4. Dentro de la regla, el administrador activa la biometría facial y define la frecuencia de las comprobaciones periódicas (por ejemplo, cada 7 a 14 días) y la reinscripción (por ejemplo, cada 6 a 12 meses).

Recomendamos combinar la verificación de identidad y la biometría para mejorar la garantía de identidad. Sin embargo, cada capacidad es opcional y se puede utilizar por separado. Los administradores tienen la flexibilidad de configurar el aseguramiento de identidad con verificación de identidad y biometría facial, o solo con biometría facial según las necesidades específicas de su organización. Cuando tanto la verificación de identidad como la biometría facial están habilitadas para la inscripción en línea, el proceso IDV se solicitará primero, seguido de la verificación biométrica.

El aseguramiento de identidad se produce después de la autenticación y se puede utilizar para la verificación de identidad incluso si está federado con un proveedor de identidad externo de terceros, como Azure.

Los administradores también tienen la opción de especificar la inscripción como una opción en línea obligatoria o una función que los usuarios pueden omitir y definir parámetros como la frecuencia de verificación.

1. Inscripción inicial: se solicita a un empleado, John, que se inscriba en línea después de la autenticación (si la política de Identity Assurance está configurada para la inscripción en línea) o desde Mi perfil. Es un proceso único.
   1. Verificación de identidad: aparece un código QR en la pantalla del equipo de John. Lo escanea con su smartphone para iniciar el proceso de verificación de identidad con el proveedor de verificación de identidad de terceros configurado, por ejemplo. Se toma una selfie en vivo y luego escanea su identificación emitida por el gobierno. El proveedor de verificación de identidad de terceros configurado valida la autenticidad del documento y confirma que el selfie coincide con la foto del documento.
   2. Inscripción biométrica: se redirige a John al explorador web de su equipo. Se le pide que coloque su cara en un marco y completa animaciones de vida aleatorias, que implica alinear su nariz con puntos aleatorios. El sistema captura sus datos faciales, crea una plantilla biométrica y los almacena de forma segura para completar su inscripción.
2. Verificación en curso: dos semanas después, cuando John accede a una aplicación, inicia sesión con sus credenciales estándar. Inmediatamente después, Identity Assurance inicia un desafío biométrico facial. Coloca su rostro, completa una petición de datos de vida, y el sistema valida su identidad contra la plantilla almacenada, otorgándole acceso.

Este caso de uso utiliza Daon para resaltar cómo Example Inc aprovecha el proveedor de verificación de identidad Daon para Identity Assurance. Un administrador configura IAM para que se integre con el proveedor de verificación de identidad y crea políticas de Identity Assurance para la verificación periódica de usuarios. Un empleado de Example Inc. verifica la identidad con una identificación emitida por el gobierno, se inscribe en biometría facial y se vuelve a verificar mediante comprobaciones periódicas de identidad.