Configuración de un caso de uso de actividad personalizado en Oracle Adaptive Risk Management

Introducción

En este tutorial se muestra cómo configurar un caso de uso de actividad personalizado en Oracle Adaptive Risk Management (OARM).

Además de la actividad de autenticación de usuarios lista para usar, un cliente puede crear sus propias actividades personalizadas y crear reglas utilizando la información recopilada a partir de ella. Las reglas se personalizan según las necesidades del negocio. Estas reglas pueden ser de naturaleza transaccional, supervisando varios aspectos de la actividad del usuario en los que el negocio está interesado. Algunos ejemplos de actividades personalizadas son la banca por Internet o el pago de facturas en una aplicación bancaria. Puede agregar reglas que utilicen la información, como la cantidad involucrada en el pago, la información del usuario, etc., para identificar una transferencia de dinero fraudulenta.

En este tutorial se considera un escenario en el que el administrador supervisa una actividad personalizada que implica que un usuario realice compras en línea. Si la primera transacción de compra vale más de $500, el usuario puede continuar con la transacción. Sin embargo, si el usuario realiza una segunda transacción en línea dentro de los 5 minutos de la primera compra y supera los 500 dólares, el usuario se bloquea. El administrador puede supervisar alertas, acciones, reglas y otra información relacionada con el usuario mediante el panel de control User Session (Sesión de usuario).

Objetivos

En este tutorial, realizará las siguientes tareas:

1. Configurar una actividad personalizada en OARM.
2. Pruebe la regla mediante la API de REST de riesgo de OAA.
3. Comprobar el comportamiento de la regla actualizando la condición.
4. Supervise la sesión de usuario.

Requisitos

Antes de comenzar este tutorial debe seguir:

• Una instancia de Oracle Advanced Authentication (OAA) y OARM en ejecución. Para obtener instrucciones sobre cómo instalar OAA y OARM, consulte Administración de Oracle Advanced Authentication y Oracle Adaptive Risk Management.
• Siga el tutorial Integración de Oracle Access Management con Oracle Advanced Authentication.
• Cliente nativo de Postman v8.0.6 o posterior instalado.
• Los archivos JSON: Oracle_Adaptive_Risk_Management_Rest_API.postman_collection.json, Oracle_Advanced_Authentication_Example_Environment.postman_environment.json

Configuración de una actividad personalizada en OARM

Para configurar una actividad personalizada para la actividad de tarjeta de crédito, realice los siguientes pasos:

Crear actividad personalizada para actividad de tarjeta de crédito

1. Conéctese a la consola de administración de OARM. Se le redirige a la página de conexión de OAM, ya que la consola está protegida por OAM OAuth. Especifique las credenciales y la conexión.

2. Haga clic en el menú de hamburguesa de navegación de aplicación en la parte superior izquierda.

3. En Risk Management adaptativo, haga clic en Actividades personalizadas. Aparece la página Actividades personalizadas.

4. Haga clic en Crear nueva actividad.

   

5. En la página Nueva actividad personalizada, en 1. Describir el panel Actividad, introduzca lo siguiente:

   • Introducir un nombre para esta actividad: especifique el nombre de la actividad personalizada. Por ejemplo, Actividad de tarjeta de crédito.
   • Descripción: especifique la descripción de la actividad personalizada. Por ejemplo, Actividad de tarjeta de crédito.
   • Haga clic en Siguiente.

   

6. En el campo 2. Especifique los actores que se van a supervisar y haga clic en Siguiente.

   Nota: Para este caso de uso, no se ha seleccionado ningún actor. Para obtener más información sobre cómo especificar los actores que se deben supervisar, consulte Referencia de ayuda para la consola de administración de Oracle Advanced Authentication.

   

7. En el campo 3. Proporcione la sección Detalles de actividad que se va a supervisar, haga clic en Agregar detalles e introduzca la siguiente información:

   • Nombre: especifique un nombre para el detalle de actividad. En este ejemplo, se utiliza el precio de artículo, ya que este caso de uso de actividad personalizada está asociado al precio del artículo que ha comprado un cliente.
   • Descripción: especifique una descripción para el detalle de actividad, por ejemplo, precio de artículo comprado.
   • Necesario: utilice el botón de alternancia para especificar que el elemento es necesario. Esto garantiza que para cada transacción que entra en OARM, se proporcione la información de precio.
   • Tipo de datos: especifique el tipo del atributo como Numérico.
   • Cifrado: utilice el botón de alternancia para especificar si el elemento se debe cifrar. El cifrado se utiliza solo para los campos de datos string; no es necesario cifrar otros campos de datos. En este ejemplo, lo dejaremos sin cifrar.
   • Haga clic en Aceptar.

   

   A la derecha del precio de artículo, haga clic en el icono Asignar para proporcionar los datos de origen de la siguiente manera:

   • Datos de Origen: los datos de origen hacen referencia a los datos de cliente procedentes de una aplicación protegida como parte de una transacción. Por ejemplo, transaction.price.
   • Tipo de asignación: especifica una forma de conectar los datos de origen a los datos de destino y al actor. Dado que necesitamos una asignación uno a uno del elemento de datos de origen al elemento de datos de destino, seleccione Directo.

   

   • Haga clic en Aceptar.
   • Haga clic en Listo.

8. Haga clic en Guardar y continuar para confirmar la creación de la actividad personalizada.

   

Creación de un Grupo de Alertas

1. Haga clic en el menú de hamburguesa de navegación de aplicación en la parte superior izquierda y, en Adaptive Risk Management, haga clic en Manage Groups. Haga clic en Crear nuevo grupo.

2. En la página New Group, cree un nuevo grupo de alertas de la siguiente manera:

   • Nombre de grupo: especifique un nombre para el grupo, por ejemplo, El artículo comprado supera el límite.
   • Tipo de grupo: especifique el tipo de grupo como Alertas.
   • Descripción del grupo: especifique una descripción para el grupo, por ejemplo, Alerta si el precio de compra es superior a 500 $.
   • Haga clic en Crear.

   

3. En el panel Purchased Item Exceeds Limit (El artículo comprado supera el límite), seleccione Add Alerts (Agregar alertas):

   

4. En el panel Agregar valor, introduzca los siguientes valores y haga clic en Agregar:

   • Tipo de alerta: especifique el tipo de alerta como Fraude.
   • Alert Level (Nivel de alerta): especifique el nivel de alerta como High (Alto).
   • Mensaje de alerta: especifique el mensaje de alerta como El precio de compra supera el límite.

   

5. La alerta ahora se agrega al grupo de alertas:

   

6. Haga clic en Guardar.

Configuración de una regla de actividad de tarjeta de crédito

1. Haga clic en el menú de hamburguesa de navegación de aplicación en la parte superior izquierda y haga clic en Adaptive Risk Management para ver la lista de actividades en el panel de control.

   

2. En el mosaico Actividad de tarjeta de crédito, haga clic en el enlace 0 Reglas. Aparece la página User Activity.

3. En la página Actividad de usuario, haga clic en Agregar nueva regla.

   

4. En la página Agregar nueva regla, introduzca la siguiente información:

   • Nombre: especifique un nombre para la regla, por ejemplo, Actividad de tarjeta de crédito.
   • Descripción: especifique una descripción para la regla, por ejemplo, Comprobar si el precio de compra es superior a 500 $.
   • Estado: utilice el botón de alternancia para activar la regla.
   • Seleccionar acción: seleccione la acción que desea asociar a la regla. Por ejemplo, Bloquear en este caso de uso.
   • Seleccionar alerta: seleccione la alerta que se disparará cuando se evalúe la regla. Por ejemplo, El artículo de compra supera el límite.

   

5. En la misma ventana, utilice el botón de alternancia para Mostrar condiciones avanzadas.

6. En la lista Condición de Búsqueda, seleccione Comprobar Recuento de Transacciones mediante Condiciones de Filtro y haga clic en Agregar Condición. La condición aparece a continuación. Introduzca la información de la siguiente manera:

   • Seleccionar transacción para recuento: actividad de tarjeta de crédito
   • Condición especificada para el recuento: Mayor que igual a
   • Valor de Comprobación Especificado para Recuento: 1
   • Estado de transacción: dejar vacío
   • Ignorar transacción actual en el recuento: verdadero
   • para el mismo usuario: True
   • Aplicar las comprobaciones de filtro en la transacción actual: True
   • Duración: 5
   • Tipo de duración: acumulación
   • Duration Unit (Unidad de duración): minutos

   

7. Haga clic en Guardar. Se mostrará la regla:

1. En la pantalla User Activity (Actividad de usuario), haga clic en el botón Edit (Editar) para el Block based on Credit Card Activity Rule (Bloque basado en regla de actividad de tarjeta de crédito).

2. En la parte inferior de la pantalla, haga clic en Add Filter (Agregar filtro) e introduzca la siguiente información:

   • Atributo: precio del artículo
   • Comparador: mayor que
   • Valor: 500

   

   • Haga clic en Guardar.

3. Haga clic en el menú de hamburguesa de navegación de aplicación en la parte superior izquierda y, en Adaptive Risk Management, haga clic en Custom Activities.

4. Seleccione el botón de alternancia para activar la regla de actividad de tarjeta de crédito de cheque.

   

5. Haga clic en el menú de hamburguesa de navegación de aplicación en la parte superior izquierda y haga clic en Adaptive Risk Management para ver la lista de actividades de usuario en el panel de control. Ahora verá una regla asociada a la actividad personalizada:

   

   Durante el flujo de autenticación, cuando se ejecuta esta regla, se evalúa la condición Comprobar recuento de transacciones mediante condiciones de filtro asociada a la regla. Si esta condición se evalúa como Verdadera, se activa la regla. Por lo tanto, el usuario está bloqueado.

Prueba de la regla de actividad de tarjeta de crédito mediante la API de REST de riesgo de OAA

En esta sección, probará la regla de actividad de comprobación de tarjeta de crédito mediante la API Rest de riesgo de OAA.

Instalar la colección OARM Postman

Definición de los parámetros de entorno en Postman

1. Abra Postman y seleccione Archivo > Importar.

2. En el cuadro de diálogo Importar, en el separador Archivo, seleccione Cargar archivos. Seleccione Oracle_Advanced_Authentication_Example_Environment.postman_environment.json y, a continuación, haga clic en Abrir.

3. En el menú de la izquierda, haga clic en Environments.

4. En la lista de entornos que se muestra, a la derecha del entorno de ejemplo de Oracle Advanced Authentication, haga clic en los puntos suspensivos y, a continuación, en Duplicar.

   

5. En Copia de entorno de ejemplo de Oracle Advanced Authentication, que aparece encima del entorno original, haga clic en los puntos suspensivos y cambie el nombre a Oracle Advanced Authentication Environment for REST APIs.

6. Actualice las variables de entorno para el nuevo entorno introduciendo los siguientes valores para Valor inicial y Valor actual. Una vez completado, haga clic en Guardar y, a continuación, en X en el separador para cerrarlo:

   • oaa-admin: nombre de host y puerto de administrador de Oracle Advanced Authentication, por ejemplo https://oaa.example.com.
   • oaa-policy: nombre de host y puerto de política de Oracle Advanced Authentication, por ejemplo https://oaa.example.com.
   • oaa-runtime: nombre de host y puerto de tiempo de ejecución de Oracle Advanced Authentication, por ejemplo https://oaa.example.com.
   • RELEASENAME: RELEASENAME asignado a la configuración de Oracle Advanced Authentication, por ejemplo oaainstall. Este es el valor transferido para common.deployment.name al instalar OAA.
   • oaapolicyapikey: oaapolicyapikey para la configuración de Oracle Advanced Authentication, por ejemplo a5764d4ef6b71129f38a2d8ddc88b6060653d3c8. Este es el valor transferido para install.global.policyapikey al instalar OAA.
   • oaaapikey: oaaapikey para la configuración de Oracle Advanced Authentication, por ejemplo a5764d4ef6b71129f38a2d8ddc88b6060653d3c8. Este es el valor transferido para install.global.uasapikey al instalar OAA.
   • KBA: nombre de usuario de KBA para la configuración de Oracle Advanced Authentication, por ejemplo OAAINSTALL_OAA_KBA. Esto toma el valor <RELEASENAME>_OAA_KBA y distingue entre mayúsculas y minúsculas.
   • oaafactorapikey: oaafactorapikey para la configuración de Oracle Advanced Authentication, por ejemplo a5764d4ef6b71129f38a2d8ddc88b6060653d3c8. Este es el valor transferido para install.global.factorsapikey al instalar OAA.
   • oaa-risk: nombre de host y puerto de riesgo de Oracle Advanced Authentication, por ejemplo https://oaa.example.com.
   • oaariskapikey: oaaapikey para la configuración de Oracle Advanced Authentication, por ejemplo a5764d4ef6b71129f38a2d8ddc88b6060653d3c8. Este es el valor transferido para install.global.riskapikey al instalar OAA.

   Nota: Si no conoce las URL de oaa-admin, oaa-policy, oaa-runtime (spui) y oaa-risk, consulte Impresión de detalles de despliegue.

   El entorno tendrá un aspecto similar al siguiente:

   

7. Haga clic en la lista desplegable Entorno y, a continuación, seleccione el entorno actualizado de la lista:

   

Importar la colección Postman

1. Para importar la recopilación Postman de la API de REST de Oracle Adaptive Risk Management, en la página principal de Postman, seleccione Archivo > Importar.

2. En el cuadro de diálogo Importar, en el separador Archivo, seleccione Cargar archivos. Seleccione el archivo Oracle_Adaptive_Risk_Management_Rest_API.postman_collection.json y, a continuación, haga clic en Abrir y, a continuación, en Importar.

   Haga clic en Recopilaciones en el menú de la izquierda. La recopilación se debe mostrar de la siguiente manera:

   

Prueba de la regla de actividad de tarjeta de crédito

Para ejecutar esta actividad personalizada en tiempo de ejecución, debe ejecutar la siguiente API.

Recuperar ID de actividad de usuario

Recupere el ID de actividad de usuario asociado a la actividad de tarjeta de crédito:

1. En el separador Recopilaciones de Postman, vaya a API de REST de Oracle Adaptive Risk Management > actividades de usuario.

2. Seleccione Obtiene actividades de usuario. Esta solicitud realiza una solicitud GET al punto final /policy/risk/v1/user-activities y recupera el ID de actividad de usuario asociado a la actividad de tarjeta de crédito. Haga clic en Enviar:

   

3. En la respuesta, confirme que aparece Status: 200 OK. Desde el cuerpo de la respuesta, copie el valor para la actividad de la tarjeta de crédito en un archivo de texto. Lo necesitará más adelante durante la transacción.

   

Creación de una sesión para el usuario

Cree una sesión para el usuario de la siguiente manera:

1. En el separador Recopilaciones de Postman, vaya a API de REST de Oracle Adaptive Risk Management > session/v1 > (ID de solicitud).

2. Seleccione Crear nueva sesión para la solicitud de autenticación de usuario. Esta solicitud realiza una solicitud POST al punto final risk-analyzer/session/v1. En el cuerpo, edite la información del cuerpo para que coincida con el usuario y el entorno. En el siguiente ejemplo, solicitamos crear una sesión para testuser en el grupo default. Para obtener más información sobre cómo definir el resto de los parámetros del cuerpo, haga clic en el icono de documentación resaltado en la parte superior derecha de la siguiente captura de pantalla:

   

3. En el cuerpo de la respuesta, confirme que aparece Status: 200 OK. Copie el valor de requestID en un archivo de texto. Necesitará este valor más adelante para crear una transacción.

   

Crear una transacción para el usuario

Cree una transacción para el usuario de la siguiente manera:

1. En el separador Recopilaciones de Postman, vaya a API de REST de Oracle Adaptive Risk Management > transaction/v1.

2. Seleccione Crear transacciones nuevas. Esta solicitud realiza una solicitud POST al punto final /risk-analyzer/transaction/v1. En el cuerpo, sustituya el valor de requestID por el valor copiado en el paso anterior y haga clic en Enviar:

   

   Nota: En el texto del cuerpo anterior, observará la "clave": "transaction.price". Este campo se define en la asignación creada en el paso 7 de Crear actividad personalizada para actividad de tarjeta de crédito. Aquí estamos estableciendo un valor de $700 que está por encima del límite de $500 establecido.

3. En la respuesta, confirme que aparece Status: 200 OK. Desde el cuerpo de la respuesta, copie el valor de transactionId, que es 5 en un archivo de texto. Necesitará este valor en el siguiente paso en el que ejecutará la regla.

   

Procesar la regla

Procese la regla para la transacción de la siguiente manera:

1. En el separador Recopilaciones de Postman, vaya a API de REST de Oracle Adaptive Risk Management > transaction/v1.

2. Seleccione Regla de proceso. Esta solicitud realiza una solicitud PUT al punto final /risk-analyzer/risk/v1.

   Sustituya los siguientes valores en la llamada de API y haga clic en Enviar:

   • CheckpointList: especifica el valor obtenido para la actividad de la tarjeta de crédito en Recuperar ID de actividad de usuario, por ejemplo: 1600.
   • transactionId: especifica el valor de la transacción creada en Crear una transacción para el usuario **, por ejemplo, **5.
   • requestID: especifica el valor obtenido en Crear una sesión para el usuario.

   

3. En el cuerpo de la respuesta, result está en blanco, lo que significa Permitir y el usuario puede continuar con la transacción en el primer intento.

   

   Nota: El usuario puede continuar con la transacción en el primer intento aunque el valor del precio sea de 700 $. Esto se debe a que, según la condición asociada a la regla, Ignorar transacción actual en recuento se define en Verdadero. Esto implica que la primera vez que el usuario intenta una transacción con un precio superior a $500, se ignora el valor del precio y se permite al usuario continuar con la transacción.

Actualizar la sesión como correcta

Nota: Los pasos de esta sección son si desea marcar la sesión como Success. En función de los requisitos de la aplicación, puede actualizar la sesión según corresponda. Para ver los posibles valores, ejecute GET en /policy/config/property/v1?propertyName=auth.status.enum.* en la recopilación Postman.

1. Actualice la sesión como Success. En el separador Recopilaciones de Postman, vaya a API de REST de Oracle Adaptive Risk Management > session/v1 > (ID de solicitud). Seleccione Actualizar detalles de una sesión existente.

   Sustituya los siguientes valores en el cuerpo de la llamada de API y haga clic en Enviar:

   • authenticationStatus: defina en 0 para indicar una sesión correcta.
   • requestId: especifica el valor obtenido en Crear una sesión para el usuario.

   

2. En el cuerpo de la respuesta, confirme que aparece Status: 200 OK.

   

Crear otra sesión para el mismo usuario

1. Cree otra sesión para que el mismo usuario ejecute la segunda transacción en cinco minutos. Rellene los siguientes campos del cuerpo de la respuesta al cuerpo de la solicitud y haga clic en Enviar:

   • cookieType:4: desde el cuerpo de respuesta de la sesión de creación original, copie el valor de digitalCookie y péguelo en el cuerpo de la solicitud cookieType:4.
   • cookieType:1: en el cuerpo de respuesta de la sesión de creación original, copie el valor de secureCookie y péguelo en el cuerpo de la solicitud cookieType:1.

   

2. Desde el cuerpo de la respuesta, copie el valor de requestID en un archivo de texto. Necesitará este valor para crear una transacción.

   

Crear otra transacción para el usuario

1. Realice lo siguiente para crear una segunda transacción para el usuario:

   • Sustituya requestID por el valor copiado en el paso anterior.
   • Haga clic en Enviar.

   

2. Desde el cuerpo de la respuesta, copie el valor de transactionId, que es 6 en un archivo de texto. Necesitará este valor en el siguiente paso en el que ejecutará la regla.

   

Procesar la regla para la segunda transacción

1. Procese la regla para la segunda transacción sustituyendo los siguientes valores en el cuerpo de la solicitud de la llamada de API y haga clic en Enviar:

   • transactionId: especifica el valor del segundo ID de transacción creado en el paso anterior, por ejemplo, 6.
   • requestID: especifica el valor obtenido al crear la segunda sesión en el paso 5.

   

2. En el cuerpo de la respuesta, el valor del resultado es Bloquear. Según la condición, si el valor del precio es mayor que $500 y el recuento de transacciones es mayor que 1, se debe bloquear al usuario. Observe que el mensaje de alerta se devuelve del grupo de alertas asociado:

   

Prueba del funcionamiento de la regla mediante la actualización de la condición

En esta sección, actualizará los criterios de condición para bloquear a un usuario si éste intenta realizar una transacción de más de 500 $ por primera vez. En este escenario, otro usuario, testuser2, realiza la transacción.

1. Inicie un explorador y conéctese a la consola de administración de OARM. Especifique las credenciales y la conexión.

2. Haga clic en el menú de hamburguesa de navegación de aplicación en la parte superior izquierda y haga clic en Adaptive Risk Management. Aparece la página Monitored User Activities (Actividades de usuario supervisadas).

3. En el mosaico Actividad de tarjeta de crédito, haga clic en el enlace 1 reglas. Aparece la página User Activity.

   

4. En la página Actividad del usuario, haga clic en el icono Editar en la regla.

   

5. En la sección Condiciones, actualice Ignorar transacción actual en recuento a Falso y haga clic en Guardar.

   

6. En la recopilación de Postman, en Crear sesión, cree otra sesión para un nuevo usuario, testuser2. Haga clic en Enviar:

   

7. Desde el cuerpo de la respuesta, copie el valor de requestID en un archivo de texto. Necesitará este valor para crear una transacción.

   

8. Realice lo siguiente en Crear transacción para crear una transacción para el usuario:

   • Sustituya requestID por el valor copiado en el paso anterior.
   • Haga clic en Enviar.

   

9. Desde el cuerpo de la respuesta, copie el valor de transactionId, que es 7, en un archivo de texto. Necesitará este valor en el siguiente paso en el que ejecutará la regla.

   

10. Procese la regla para esta transacción sustituyendo los siguientes valores en el cuerpo de la solicitud de la llamada de API de regla de proceso. Haga clic en Enviar.

    • transactionId: especifica el valor del ID de transacción creado en el paso 9 anterior, por ejemplo, 7.
    • requestID: especifica el valor obtenido al crear la sesión en el paso anterior.

    

11. En el cuerpo de la respuesta, valide el valor del resultado, que es Bloquear. El usuario no puede continuar con la transacción en el primer intento, porque, según la condición, si el valor de precio es superior a 500 $ en el recuento de transacciones 1, se debe bloquear al usuario.

    

Supervisión de la sesión de usuario

1. Inicie un nuevo explorador.

2. Conéctese a la consola de administración de OARM. Se le redirige a la página de conexión de OAM, ya que la consola está protegida por OAM OAuth. Especifique las credenciales y la conexión.

3. Haga clic en el menú de hamburguesa de navegación de aplicación en la parte superior izquierda y haga clic en Monitor User Sessions (Supervisar sesiones de usuario). Aparece el panel de control Sesiones de usuario. Haga clic en el botón de alternancia Incluir Sesiones Correctas para mostrar la lista de inicios de sesión correctos e incorrectos:

   

   Observe el siguiente mensaje:

   • Información para testuser: la primera transacción del usuario se realiza correctamente. Cuando el usuario realiza la segunda transacción, el usuario se bloquea. Tenga en cuenta que el ID de dispositivo, que es 85, es el mismo en ambas transacciones. Esto se debe a que ha copiado digitalCookie y secureCookie al realizar esta transacción. Esto le permite supervisar la información del dispositivo del usuario.
   • Información para testuser2: se ha bloqueado la primera transacción del usuario.

4. Haga clic en el enlace en ID de sesión para testuser2 creado en la tarea 2, por ejemplo, 90. Aparece la página Sesiones de usuario - 90. Verá que la acción es Bloquear:

   

Más información

• Administración de Oracle Advanced Authentication y Oracle Adaptive Risk Management
• Referencia de ayuda de Oracle Fusion Middleware para la consola de administración de Oracle Advanced Authentication

Comentarios

Para proporcionar comentarios sobre este tutorial, póngase en contacto con idm_user_assistance_ww_grp@oracle.com

Agradecimientos

• Autores: Russ Hodgson

Más recursos de aprendizaje

Explore otros laboratorios en docs.oracle.com/learn o acceda a más contenido de aprendizaje gratuito en el canal YouTube de Oracle Learning. Además, visite education.oracle.com/learning-explorer para convertirse en un explorador de Oracle Learning.

Para obtener documentación sobre el producto, visite Oracle Help Center.

---

Título e Información de Copyright

Configuring a Custom Activity Use Case in Oracle Adaptive Risk Management

F55507-02

Copyright ©2025, Oracle and/or its affiliates.