Configuración de un caso de uso basado en Geo-Velocity en Oracle Adaptive Risk Management

Introducción

En este tutorial se muestra cómo configurar un caso de uso basado en geovelocidad en Oracle Adaptive Risk Management (OARM).

La regla de geovelocidad permite autenticar un usuario según la distancia y el intervalo de tiempo entre la ubicación actual y desde la que se conectó por última vez. Puede aprovechar esta información como criterio para otorgar acceso al recurso protegido.

La geovelocidad se calcula generalmente como el máximo de millas por hora. Esto le permite determinar la rapidez con la que un usuario puede viajar de un lugar a otro para conectarse correctamente dentro de una duración de tiempo específica.

Un requisito para implantar el caso de uso de geovelocidad es disponer de los datos de geolocalización. La función de ubicación geográfica permite identificar la ubicación física del usuario. Esto suele determinarse obteniendo la dirección IP del dispositivo que utiliza un usuario para intentar iniciar sesión. Estos datos se utilizan para calcular la distancia entre dos intentos de conexión consecutivos.

En este tutorial se considera un escenario en el que el administrador utiliza la regla inmediata Desafío basado en velocidad máxima del dispositivo para detectar dicho tipo de actividad fraudulenta del usuario, disparar una alerta y desafiar al usuario para que se conecte correctamente. Esto se lleva a cabo junto con los datos de geolocalización. El administrador puede supervisar alertas, acciones, reglas y otra información relacionada con el usuario mediante el panel de control Sesión de usuario.

Objetivos

En este tutorial, realizará las siguientes tareas:

1. Configure la geovelocidad con la regla lista para usar Challenge based on Device Maximum Velocity.
2. Active el soporte de cabecera X-Forwarded-For.
3. Pruebe la regla Device Maximum Velocity (Velocidad máxima de dispositivo).
4. Supervise la sesión de usuario.
5. Valide la regla de funcionamiento de velocidad máxima de dispositivo.

Requisitos

Antes de iniciar este tutorial, debe seguir:

• Una instancia de Oracle Advanced Authentication (OAA) y OARM en ejecución. Para obtener instrucciones sobre cómo instalar OAA y OARM, consulte Administering Oracle Advanced Authentication and Oracle Adaptive Risk Management.
• Siga el tutorial Integración de Oracle Access Management con Oracle Advanced Authentication.
• Revise el caso de uso Configuración de un caso de uso basado en Geo-Velocity.
• Cargue los datos de ubicación geográfica en el servidor OARM. Para obtener instrucciones sobre cómo predefinir los datos de ubicación geográfica, consulte Carga de datos de ubicación geográfica.

Configuración de un caso de uso de Geo-Velocity en OARM

1. Inicie sesión en la consola de administración de OARM. Se le redirige a la página de conexión de OAM ya que la consola está protegida por OAM OAuth. Especifique las credenciales y la conexión.

2. Haga clic en el menú de hamburguesa de navegación de la aplicación situado en la parte superior izquierda y haga clic en Adaptive Risk Management. Aparece el panel de control Actividad de usuario.

3. En el mosaico Autenticación de usuario, haga clic en el enlace Reglas. Aparece la página de visualización de reglas de actividad de usuario.

4. En el panel de búsqueda, introduzca el texto relevante para filtrar todas las reglas disponibles listas para usar para configurar una IP de riesgo, por ejemplo, velocity. Aparece la regla Desafío basado en velocidad máxima de dispositivo que debe configurar para este caso de uso.

5. Haga clic en el icono Editar en la regla Desafío basado en velocidad máxima de dispositivo.

   Nota: La regla lista para usar Desafío basado en velocidad máxima del dispositivo tiene una condición asociada que evalúa la velocidad máxima del dispositivo en el tiempo especificado.

6. Verifique que las listas Select Action (Seleccionar acción) y Select Alert (Seleccionar alerta) estén rellenadas previamente con las opciones Challenge y Device Maximum Velocity respectivamente.

   Nota: Puede configurar la acción y la alerta según sus requisitos.

7. Verifique que los campos Último inicio de sesión en (segundos) y Millas por hora estén rellenados previamente con 72000 y 600 respectivamente.

   Nota: Puede configurar los campos anteriores según sus requisitos.

8. Agregue las direcciones IP que desea ignorar para la regla de velocidad máxima de dispositivo. Para mayor comodidad del administrador, el grupo Ignorar grupo IP se proporciona listo para usar.

   Nota: Este parámetro permite especificar una lista de IP para ignorar. Si la IP del usuario es de esa lista, esta condición siempre se evalúa como falsa. Por ejemplo, un empleado que trabaja en una aplicación de Finanzas y cambia con frecuencia entre VPN, entonces desearía agregar esta dirección IP en Ignorar grupo IP. Si la IP del usuario no está en esa lista o si la lista es nula o está vacía, la condición evalúa la velocidad del usuario o del dispositivo desde el último inicio de sesión y se evalúa como verdadera si la velocidad supera el valor configurado.

9. En Ignorar grupo IP, con la opción Ignorar grupo IP seleccionada en la lista, haga clic en el enlace Editar ignorar grupo IP para agregar las direcciones IP que se ignorarán para esta regla.

10. Haga clic en Guardar y continuar. Aparecerá la página Editar Ignorar Grupo IP.

11. Realice los siguientes pasos para configurar la lista de direcciones IP que desea que ignore la regla:

    • Haga clic en Agregar IP.
    • En el campo Valor, introduzca la dirección IP. Para realizar una demostración, considere la dirección IP 192.0.2.254.
    • Haga clic en Agregar. En la siguiente figura, se muestra la dirección IP agregada a Ignore IP Group.
    • Repita los pasos 11a a 11c para agregar la lista de direcciones IP que desea ignorar en el grupo.

12. Haga clic en Guardar para guardar el grupo. Se le redirigirá a la página Editar regla.

13. Haga clic en Guardar para guardar la regla. Se le redirigirá a la página de reglas de actividad de usuario.

Ahora, durante el flujo de autenticación cuando se ejecuta esta regla, se evalúa la condición asociada a la regla lista para usar de velocidad máxima de dispositivo. Si esta condición se evalúa como Verdadero, se activa la regla. A su vez, al usuario se le presenta el desafío en función de los factores configurados.

Activar X-Forwarded-For header Support

La cabecera X-Forwarded-For es una versión estándar de hecho que se utiliza para identificar la dirección IP original cuando un cliente se conecta a un servidor web mediante un proxy HTTP o un equilibrador de carga.

En esta sección, validará si el soporte de cabecera X-Forwarded-For está activado.

1. Realice una solicitud GET con la siguiente URL:

   Get:
   https://129.153.185.7/policy/config/property/v1?propertyName=vcrypt.tracker.ip.detectProxiedIP
   

2. En la respuesta, confirme que aparece "value": "true".

   [
      {
        "name": "vcrypt.tracker.ip.detectProxiedIP",
        "value": "true"
      }
   ]
   

3. Si la respuesta no es true, realice una solicitud PUT con la siguiente URL para activar el soporte de cabecera X-Forwarded-For.

   Put:
   https://129.153.185.7/policy/config/property/v1?propertyName=vcrypt.tracker.ip.detectProxiedIP
   

4. En la respuesta, confirme que aparece "value": "true".

   [
      {
        "name": "vcrypt.tracker.ip.detectProxiedIP",
        "value": "true"
      }
   ]
   

Prueba de la regla de velocidad máxima de dispositivo

En esta sección, puede acceder a la aplicación protegida, iniciar sesión en OARM y probar cómo funciona la regla Device Maximum Velocity.

1. Inicie un explorador y acceda a la aplicación protegida, por ejemplo, http://oam.example.com:7777/mybank. Como esta aplicación está protegida, debe redirigirse a la página de conexión de OAM. Inicie sesión como el nuevo usuario user2/<password>. Este usuario inicia sesión desde Tamil Nadu, India.

   

   Descripción de la ilustración oamlogin.PNG

2. Si la autenticación es correcta, debe redirigirse a la página de la aplicación protegida, por ejemplo, /mybank.

   

   Descripción de la ilustración mybank.PNG

Supervisar la sesión de usuario

1. Inicie un nuevo explorador.

2. Inicie sesión en la consola de administración de OARM. Se le redirige a la página de conexión de OAM, ya que la consola está protegida por OAM OAuth. Especifique las credenciales y la conexión.

3. Haga clic en el menú de hamburguesa Navegación de aplicación situado en la parte superior izquierda y haga clic en Supervisar sesiones de usuario. Aparece el panel de control Sesiones de usuario.

4. Haga clic en el botón de alternancia Incluir sesiones correctas para mostrar la lista de conexiones correctas. Observará que el inicio de sesión user2 se ha realizado correctamente.

   

   Descripción de la ilustración usersession.PNG

5. Haga clic en el enlace situado debajo de ID de sesión para este usuario, por ejemplo, 50018. Aparece la página Sesiones de usuario - 50018.

6. En el panel Información de ubicación, consulte la información de dirección IP, país y estado del usuario.

   

   Descripción de la ilustración sessiondetail.PNG

Validación de la regla de funcionamiento de velocidad máxima de dispositivo

En esta sección, validará si la regla Device Maximum Velocity (Velocidad máxima de dispositivo) funciona correctamente. Para establecer la precisión, inicie sesión en la misma aplicación bancaria con una dirección IP diferente utilizando el mismo usuario y dispositivo.

1. Inicie un explorador y acceda a la aplicación protegida, por ejemplo, http://oam.example.com:7777/mybank. Inicie sesión como el mismo usuario user2/<password>, pero desde una dirección IP diferente. En este ejemplo, la dirección IP que se utiliza es Tokio (Japón).

2. Si la conexión se realiza correctamente, se le redirigirá al punto final de OAA, por ejemplo: https://oaa.example.com/oaa/authnui. Internamente OAA transfiere esta solicitud a OARM, que dispara la regla Velocidad máxima de dispositivo que está definida en Challenge y la página de comprobación se presenta para el usuario.

   

   Descripción de la ilustración desafechoice.PNG

3. Se le redirigirá a la página Correo electrónico donde se le pedirá que Introduzca OTP desde el dispositivo de correo electrónico registrado. En el campo Introducir OTP, introduzca el código de acceso de un solo uso que se envía por correo electrónico a la dirección de correo electrónico de los usuarios y haga clic en Verificar.

   

   Descripción de la ilustración emailotp.PNG

4. Si la autenticación es correcta, debe redirigirse a la página de la aplicación protegida, por ejemplo, /mybank.

   

   Descripción de la ilustración mybank.PNG

5. Abra un nuevo separador del explorador y conéctese a la consola de administración de OARM. Especifique las credenciales y la conexión.

6. Haga clic en el menú de hamburguesa Navegación de aplicación situado en la parte superior izquierda y haga clic en Supervisar sesiones de usuario. Aparece el panel de control Sesiones de usuario.

7. Haga clic en el botón de alternancia Incluir sesiones correctas para mostrar la lista de conexiones correctas. Observará los detalles de inicio de sesión de user2 desde el mismo dispositivo, pero una dirección IP diferente.

   

   Descripción de la ilustración usersession2.PNG

8. Haga clic en el enlace situado debajo de ID de sesión para este usuario, por ejemplo, 50019. Aparece la página Sesiones de usuario - 50019.

9. En el panel Autenticación de usuario, haga clic en Alertas para ver el mensaje disparado por la alerta al administrador. Esto indica que al usuario que inició sesión desde Japón se le presentó un desafío y se emitió una alerta para el administrador.

   

   Descripción de la ilustración usersession2detail.PNG

Más información

• Administración de Oracle Advanced Authentication y Oracle Adaptive Risk Management
• Referencia de ayuda de Oracle Fusion Middleware para la consola de administración de autenticación avanzada de Oracle

Comentarios

Para proporcionar comentarios sobre este tutorial, póngase en contacto con idm_user_assistance_ww_grp@oracle.com

Agradecimientos

• Autor: Devanshi Mohan

Más recursos de aprendizaje

Explore otros laboratorios en docs.oracle.com/learn o acceda a más contenido de aprendizaje gratuito en el canal YouTube de Oracle Learning. Además, visite education.oracle.com/learning-explorer para convertirse en Oracle Learning Explorer.

Para obtener documentación sobre el producto, visite Oracle Help Center.

---

Título e Información de Copyright

Configuring a Geo-Velocity Based Use Case in Oracle Adaptive Risk Management

F55499-02

March 2022

Copyright © 2022, Oracle and/or its affiliates.