Documentation sur Oracle Cloud Infrastructure

Gestion de la vérification continue du personnel (bêta)

Important

Pre-General Availability: 2023-10-14

Cette documentation est au stade de version préliminaire avant disponibilité générale et n'est destinée qu'à des fins de démonstration ou d'utilisation préliminaire. Elle peut ne pas être pertinente au matériel informatique sur lequel vous utilisez le logiciel. Oracle Corporation et ses sociétés affiliées déclinent toute responsabilité quant aux garanties de quelque nature que ce soit relatives à cette documentation et ne pourront être tenues responsables des pertes, frais ou dommages de quelque nature que ce soit découlant de son utilisation.

Ce document ne constitue en aucun cas un engagement d'Oracle à fournir des composants, du code, des fonctionnalités ou des services. Cette documentation et les programmes et services d'Oracle au stade de la version préliminaire avant disponibilité générale sont sujets à changement à tout moment sans préavis et ne doivent pas servir de base à une décision d'achat. Le développement, la commercialisation et la mise à disposition des programmes et services d'Oracle au stade de la version préliminaire avant disponibilité générale restent à la seule discrétion d'Oracle. Toutes les dates de publication ou autres prédictions d'événements futurs sont sujettes à changement. Vous ne devez pas compter sur la disponibilité future d'un programme ou service Oracle pour conclure un contrat de licence ou une entente de service avec Oracle.

Voir Oracle Avis juridiques.

Introduction (bêta)

La vérification d'identité est un processus qui valide l'identité réelle d'une personne en comparant ses attributs faciaux physiques aux documents d'identification émis par le gouvernement, tels que les passeports et les permis de conduire. Cela fournit un niveau élevé d'assurance que l'utilisateur est ce qu'il prétend être.

La vérification continue du personnel s'appuie sur la convention à exécution indéterminée en revalidant périodiquement l'identité d'un utilisateur à l'aide de la biométrie faciale après l'inscription initiale. Cela garantit que la personne qui accède aux applications ou aux ressources est la personne qui est censée accéder à l'application ou à la ressource (et non quelqu'un qui est arrivé à prendre possession des données d'identification), renforçant la sécurité de votre organisation contre les imposteurs et les accès non autorisés.

Ce service s'intègre à des fournisseurs tiers de vérification d'identité (ou de vérification d'identité) pour effectuer la vérification initiale du document et de l'identité. Une fois l'identité d'un utilisateur vérifiée, ses données biométriques faciales sont inscrites au service natif d'Oracle aux fins de vérification continue. Actuellement, Oracle prend en charge Daon.

Concepts (bêta)

Vérification d'identité (IDV) : Processus ponctuel consistant à prouver l'identité d'un utilisateur en mettant en correspondance un selfie en direct avec un document d'identité émis par le gouvernement. Cette opération est effectuée par l'intermédiaire d'un fournisseur tiers.

Biométrie faciale : Processus de saisie des caractéristiques faciales uniques d'un utilisateur pour créer un modèle biométrique sécurisé. Ce modèle est utilisé pour l'inscription initiale et les vérifications subséquentes. La biométrie faciale dans IAM est une capacité native OCI.

Continuous Workforce Verification (CWV) (Vérification continue du personnel) : Position de sécurité continue dans laquelle l'identité d'un utilisateur est vérifiée périodiquement à l'aide de la biométrie faciale pour s'assurer que l'utilisateur autorisé est toujours celui qui gère le compte.

Fournisseur de vérification des identités : Service de tiers (par exemple, Daon) intégré à OCI IAM pour gérer la validation d'identité initiale en vérifiant les documents émis par le gouvernement.

Détection de la disponibilité : Technologie utilisée lors des analyses biométriques faciales pour s'assurer que l'utilisateur est physiquement présent et n'utilise pas de photo, de vidéo ou de masque pour usurper le système. Cela implique des invites comme incliner la tête ou clignoter.

Inscription en ligne : Processus d'inscription mandaté par un administrateur et exécuté directement dans le flux de connexion. Les utilisateurs sont généralement tenus de le terminer avant de pouvoir accéder aux applications.

Processus de vérification continue du personnel

Le processus comprend deux personas clés :

  • Administrateurs : Configurez les fournisseurs de vérification d'identité et configurez des politiques de vérification continue du personnel qui définissent quand et à quelle fréquence les utilisateurs doivent vérifier leur identité.
  • Utilisateurs : Inscrivez-vous au service en vérifiant leur identité avec une pièce d'identité émise par le gouvernement et leur visage. Par la suite, ils effectuent des contrôles biométriques faciaux périodiques tels que définis par l'administrateur.

Flux de travail des administrateurs (bêta)

  1. Un administrateur de Example Inc. établit d'abord une relation commerciale avec un fournisseur de vérification d'identité pris en charge, tel que Daon.
  2. Dans la console OCI, l'administrateur navigue jusqu'au domaine d'identité, configure Daon en tant que fournisseur de vérification d'identité à l'aide de données d'identification telles que l'ID client et la clé secrète, et l'active.
  3. L'administrateur crée ensuite une politique de vérification continue de l'effectif et ajoute une règle qui spécifie les groupes d'utilisateurs concernés.
  4. Dans la règle, l'administrateur active la biométrie faciale et définit la fréquence des vérifications périodiques (par exemple, tous les 7 à 14 jours) et des réinscriptions (par exemple, tous les 6 à 12 mois).

Oracle recommande de combiner la vérification d'identité et la biométrie pour améliorer l'assurance de l'identité. Cependant, chaque fonctionnalité est facultative et peut être utilisée séparément. Les administrateurs ont la possibilité de configurer la vérification continue de l'effectif avec la vérification de l'identité et la biométrie faciale, ou uniquement avec la biométrie faciale en fonction des besoins spécifiques de leur organisation. Lorsque la vérification d'identité et la biométrie faciale sont activées pour l'inscription en ligne, le processus de convention à exécution indéterminée est invité en premier, suivi de la vérification biométrique.

Les administrateurs ont également la possibilité de spécifier l'inscription en tant qu'option insérée obligatoire ou une fonction que les utilisateurs peuvent ignorer et définir des paramètres tels que la fréquence de vérification.

Flux de travail de l'utilisateur final (bêta)

  1. Inscription initiale : Un employé, John, est invité à s'inscrire en ligne après l'authentification (si la politique de vérification continue de l'effectif est configurée pour l'inscription en ligne) ou à partir de Mon profil. Il s'agit d'un traitement unique.
    1. Vérification d'identité : Un code QR apparaît sur l'écran de l'ordinateur de John. Il le scanne avec son smartphone pour initier le processus de vérification d'identité avec Daon. Il prend un selfie en direct, puis scanne sa pièce d'identité émise par le gouvernement. Daon valide l'authenticité du document et confirme que le selfie correspond à la photo dans le document.
    2. Inscription biométrique : John est redirigé vers le navigateur Web de son ordinateur. Il est invité à positionner son visage dans un cadre et à compléter des invites d'animité randomisées, telles que l'inclinaison de sa tête. Le système capture ses données faciales, crée un modèle biométrique et les stocke en toute sécurité pour terminer son inscription.
  2. Vérification en cours : Deux semaines plus tard, lorsque John accède à une demande, il se connecte avec ses références standard. Immédiatement après, CWV lance un défi biométrique facial. Il positionne son visage, complète un viveness prompt, et le système valide son identité par rapport au modèle stocké, lui donnant accès.

Cas d'utilisation : Exemple de mise à profit de la convention à exécution indéterminée et de la convention à rémunération variable (bêta)

Ce cas d'utilisation montre comment Example Inc tire parti du Daon du fournisseur de vérification d'identité pour la vérification continue de la main-d'œuvre (CWV). Un administrateur configure le service IAM pour l'intégration au fournisseur de vérification d'identité et crée des politiques de vérification continue du personnel pour la vérification périodique des utilisateurs. Employee of Example Inc. vérifie l'identité avec une pièce d'identité émise par le gouvernement, s'inscrit à la biométrie faciale et est revérifié au moyen de vérifications d'identité périodiques.

Configuration de l'administrateur (bêta)

  1. Un administrateur de Example Inc. navigue jusqu'au domaine d'identité et configure un fournisseur de vérification d'identité, Daon.
  2. L'administrateur entre les données d'identification fournies par le fournisseur (ID client, clé secrète client, URL d'exploration), mappe les réclamations prises en charge avec des attributs de domaine d'identité, puis sélectionne Créer. Le fournisseur de vérification d'identité est créé. L'administrateur active ensuite le fournisseur de vérification d'identité.
  3. L'administrateur crée une politique de vérification continue du personnel et crée une règle. Dans la règle, l'administrateur définit les préalables dans le champ Conditions, avec la clé de passe comme premier facteur d'authentification et Oracle Mobile Authenticator (OMA) comme deuxième facteur et sélectionne les groupes d'utilisateurs évalués par la règle.
  4. L'administrateur de Example Inc. active ensuite la biométrie faciale, planifie les contrôles biométriques faciaux à intervalles aléatoires entre 7 et 14 jours, et la fréquence de réinscription entre 6 et 12 mois.
  5. L'administrateur active la vérification d'identité et sélectionne le fournisseur créé à l'étape 2.
  6. Une fois définie, la politique est appliquée à l'ensemble du domaine d'identité pour les utilisateurs qui satisfont aux conditions spécifiées dans la règle.

Inscription d'utilisateur (bêta)

  1. Un employé, John, reçoit un courriel l'informant de la nouvelle exigence. Il se connecte avec son principal et deuxième facteur et est invité à s'inscrire à la biométrie. S'il n'est pas invité à s'inscrire aux données biométriques lors de la connexion, l'utilisateur se connecte à Mon profil de connexion et sélectionne Inscrire aux données biométriques.
  2. L'utilisateur révise et accepte les conditions générales.

  3. Vérification d'identité

    1. Un code QR apparaît sur l'écran de son ordinateur. John le scanne avec son smartphone, qui lance la vérification d'identité avec Daon. Selon la configuration de Daon, John pourrait être invité à télécharger l'application Daon ou une application fournie par Example Inc. pour effectuer la vérification d'identité.
    2. John prend un selfie en direct. Daon vérifie le selfie de l'utilisateur pour la vivacité.
    3. Il scanne ensuite sa pièce d'identité émise par le gouvernement à l'aide de son téléphone. Daon valide l'authenticité du document et confirme que le selfie correspond à la photo dans le document.
    4. Un message de réussite indique que son identité a été vérifiée.

  4. Inscription à la biométrie faciale

    1. John est redirigé vers le navigateur Web de son ordinateur.
    2. Le navigateur demande l'accès à sa webcam. Il est invité à positionner son visage dans un cadre et à compléter les invites aléatoires de vivacité, telles que l'inclinaison de la tête de l'utilisateur vers le haut, vers la droite et vers la gauche. Ces étapes protègent contre l'usurpation d'identité et les attaques de réexécution.
    3. Le système capture ses données faciales, crée un modèle biométrique et les stocke en toute sécurité. Son adhésion est maintenant terminée.

Vérification continue du personnel (bêta)

  1. Une fois inscrit, la vérification biométrique faciale périodique se fait de façon transparente en arrière-plan. Par exemple, deux semaines plus tard, lors de l'accès à une application d'entreprise, John termine la connexion par clé d'accès standard suivie d'Oracle Mobile Authenticator (OMA) comme deuxième facteur.
  2. Immédiatement après, CWV lance un défi de vérification biométrique du visage. John positionne son visage dans le cadre, complète une invite de vivacité randomisée et le système valide son identité par rapport au modèle biométrique stocké en toute sécurité.
  3. John a accès à l'application. L'événement de vérification est consigné à des fins d'audit.