Configuration d'un cas d'utilisation basé sur la vitesse géographique dans Oracle Adaptive Risk Management

Introduction

Ce tutoriel vous explique comment configurer un cas d'emploi basé sur la vitesse géographique dans Oracle Adaptive Risk Management (OARM).

La règle de vitesse géographique vous permet d'authentifier un utilisateur en fonction de la distance et de l'intervalle entre votre emplacement actuel et la dernière connexion. Vous pouvez utiliser ces informations comme critères pour accorder l'accès à la ressource protégée.

La vitesse géographique est généralement calculée comme le nombre maximal de miles par heure. Cela vous permet de déterminer la vitesse à laquelle un utilisateur peut voyager d'un endroit à un autre pour se connecter avec succès dans un délai spécifique.

Une condition préalable à l'implémentation du cas d'utilisation de la géo-vitesse consiste à disposer des données de géo-localisation. La fonction de géolocalisation vous permet d'identifier l'emplacement physique de l'utilisateur. Ceci est généralement déterminé par l'obtention de l'adresse IP du périphérique utilisé par un utilisateur pour tenter une connexion. Ces données sont ensuite utilisées pour calculer la distance entre deux tentatives de connexion consécutives.

Ce tutoriel considère un scénario dans lequel l'administrateur utilise la règle prête à l'emploi Défi basé sur la vitesse maximale de l'appareil pour détecter ce type d'activité utilisateur frauduleuse, déclencher une alerte et empêcher l'utilisateur de se connecter avec succès. Cette opération est effectuée conjointement avec les données de géolocalisation. L'administrateur peut surveiller les alertes, les actions, les règles et d'autres informations relatives à l'utilisateur via le tableau de bord Session utilisateur.

Objectifs

Dans ce tutoriel, vous allez effectuer les tâches suivantes :

1. Configurez la vitesse géographique à l'aide de la règle prête à l'emploi Défi basé sur la vitesse maximale de l'appareil.
2. Activer X-Forwarded : pour la prise en charge des en-têtes.
3. Testez la règle de vitesse maximale du périphérique.
4. Surveillez la session utilisateur.
5. Validez le fonctionnement de la règle de vitesse maximale du périphérique.

Prérequis

Avant de commencer ce tutoriel, vous devez :

• Une instance OAA (Oracle Advanced Authentication) et OARM en cours d'exécution. Pour obtenir des instructions sur l'installation d'OAA et d'OARM, reportez-vous à Administration d'Oracle Advanced Authentication and Oracle Adaptive Risk Management.
• Suivez le tutoriel Intégrer Oracle Access Management à Oracle Advanced Authentication.
• Consultez le cas d'emploi Configuring a Geo-Velocity Based Use Case.
• Chargez les données de géolocalisation dans le serveur OARM. Pour obtenir des instructions sur la prédéfinition des données de géolocalisation, reportez-vous à Chargement des données de géolocalisation.

Configuration d'un cas d'utilisation Geo-Velocity dans OARM

1. Connectez-vous à la console d'administration OARM. Vous êtes redirigé vers la page de connexion OAM car la console est protégée par OAM OAuth. Indiquez vos informations d'identification et de connexion.

2. Cliquez sur le menu du menu hamburger de navigation d'application en haut à gauche et cliquez sur Adaptive Risk Management. Le tableau de bord Activité utilisateur s'affiche.

3. Dans la mosaïque Authentification utilisateur, cliquez sur le lien Règles. La page Règles d'activité utilisateur s'affiche.

4. Dans le volet de recherche, entrez le texte approprié pour filtrer toutes les règles prêtes à l'emploi afin de configurer une adresse IP à risque, par exemple, velocity. La règle Défi basé sur la vitesse maximale du périphérique apparaît que vous devez configurer pour ce cas d'emploi.

5. Cliquez sur l'icône Modifier en regard de la règle Défi basé sur la vitesse maximale du périphérique.

   Remarque : la règle prête à l'emploi Défi basé sur la vitesse maximale de l'appareil est associée à une condition qui évalue la vitesse maximale de l'appareil au cours de la période indiquée.

6. Vérifiez que les listes Select Action et Select Alert sont préremplies avec les options Challenge et Device Maximum Velocity, respectivement.

   Remarque : vous pouvez configurer l'action et l'alerte en fonction de vos besoins.

7. Vérifiez que les champs Dernière connexion entre (secondes) et Miles par heure sont préremplis avec 72000 et 600 respectivement.

   Remarque : Vous pouvez configurer les champs précédents selon vos besoins.

8. Ajoutez les adresses IP que vous souhaitez ignorer pour la règle Vitesse maximale de périphérique. Pour plus de commodité, le groupe Ignore IP Group est fourni prêt à l'emploi.

   Remarque : ce paramètre vous permet de spécifier une liste d'adresses IP à ignorer. Si l'adresse IP de l'utilisateur provient de cette liste, cette condition renvoie toujours la valeur False. Par exemple, un employé qui travaille sur une application Finance et bascule fréquemment entre VPN, vous voulez ajouter cette adresse IP dans Ignorer le groupe IP. Si l'adresse IP de l'utilisateur ne figure pas dans cette liste ou si la liste est nulle ou vide, la condition évalue la vitesse de l'utilisateur ou du périphérique à partir de la dernière connexion et prend la valeur True si la vitesse dépasse la valeur configurée.

9. Sous Ignorer le groupe d'adresses IP, avec l'option Ignorer le groupe d'adresses IP sélectionnée dans la liste, cliquez sur le lien Modifier ignorer le groupe d'adresses IP pour ajouter les adresses IP à ignorer pour cette règle.

10. Cliquez sur Enregistrer et continuer. La page Modifier/ignorer le groupe d'adresses IP apparaît.

11. Pour configurer la liste des adresses IP que la règle doit ignorer, procédez comme suit :

    • Cliquez sur Ajouter des adresses IP.
    • Dans le champ Valeur, saisissez l'adresse IP. Pour une démonstration, prenez en compte l'adresse IP, 192.0.2.254.
    • Cliquez sur Ajouter. La figure suivante affiche l'adresse IP ajoutée au Ignore IP Group.
    • Répétez les étapes 11a à 11c pour ajouter la liste des adresses IP à ignorer dans le groupe.

12. Cliquez sur Enregistrer pour enregistrer le groupe. Vous êtes redirigé vers la page Modifier une règle.

13. Cliquez sur Enregistrer pour enregistrer la règle. Vous êtes redirigé vers la page Règles d'activité utilisateur.

A présent, lors du flux d'authentification lors de l'exécution de cette règle, la condition associée à la règle prête à l'emploi Device Maximum Velocity est évaluée. Si cette condition est évaluée comme Vrai, la règle est déclenchée. L'utilisateur se voit proposer le défi en fonction des facteurs configurés.

Activer X-Forwarded-Pour la prise en charge des en-têtes

L'en-tête X-Forwarded-For est une version standard de facto utilisée pour identifier l'adresse IP d'origine lorsqu'un client se connecte à un serveur Web via un proxy HTTP ou un équilibreur de charge.

Dans cette section, vous allez vérifier si la prise en charge de l'en-tête X-Forwarded-For est activée.

1. Effectuez une demande GET à l'aide de l'URL suivante :

   Get:
   https://129.153.185.7/policy/config/property/v1?propertyName=vcrypt.tracker.ip.detectProxiedIP
   

2. Dans la réponse, vérifiez que la valeur "value" : "true" apparaît.

   [
      {
        "name": "vcrypt.tracker.ip.detectProxiedIP",
        "value": "true"
      }
   ]
   

3. Si la réponse n'est pas true, faites une demande PUT à l'aide de l'URL suivante pour activer la prise en charge de l'en-tête X-Forwarded.

   Put:
   https://129.153.185.7/policy/config/property/v1?propertyName=vcrypt.tracker.ip.detectProxiedIP
   

4. Dans la réponse, vérifiez que la valeur "value" : "true" apparaît.

   [
      {
        "name": "vcrypt.tracker.ip.detectProxiedIP",
        "value": "true"
      }
   ]
   

Test de la règle de vitesse maximale du périphérique

Dans cette section, vous accédez à l'application protégée, connectez-vous à OARM et testez le fonctionnement de la règle Device Maximum Velocity.

1. Lancez un navigateur et accédez à l'application protégée, par exemple http://oam.example.com:7777/mybank. Cette application étant protégée, vous devez être redirigé vers la page de connexion OAM. Connectez-vous en tant que nouvel utilisateur user2/<password>. Cet utilisateur se connecte à partir de Tamil Nadu, Inde.

   

   Description de l'image oamlogin.PNG

2. Si l'authentification réussit, vous devez être redirigé vers la page de l'application protégée, par exemple /mybank.

   

   Description de l'image mybank.PNG

Surveiller la session utilisateur

1. Lancez un nouveau navigateur.

2. Connectez-vous à la console d'administration OARM. Vous êtes redirigé vers la page de connexion OAM, car la console est protégée par OAM OAuth. Indiquez vos informations d'identification et de connexion.

3. Cliquez sur le menu du menu hamburger de navigation d'application en haut à gauche, puis sur Surveiller les sessions utilisateur. Le tableau de bord Sessions utilisateur s'affiche.

4. Cliquez sur le bouton Inclure les sessions réussies pour afficher la liste des connexions réussies. Vous remarquerez que la connexion à user2 a réussi.

   

   Description de l'image usersession.PNG

5. Cliquez sur le lien sous ID de session pour cet utilisateur, par exemple 50018. La page Sessions utilisateur - 50018 s'affiche.

6. Dans le panneau Informations sur l'emplacement, affichez les informations sur l'adresse IP, le pays et l'état de l'utilisateur.

   

   Description de l'image sessiondetail.PNG

Valider le fonctionnement de la règle de vitesse maximale du périphérique

Dans cette section, vous allez vérifier que la règle Device Maximum Velocity fonctionne correctement. Pour établir l'exactitude, connectez-vous à la même application bancaire avec une adresse IP différente en utilisant le même utilisateur et le même périphérique.

1. Lancez un navigateur et accédez à l'application protégée, par exemple http://oam.example.com:7777/mybank. Connectez-vous en tant que même utilisateur user2/<password> mais à partir d'une autre adresse IP. Dans cet exemple, l'adresse IP utilisée est Tokyo (Japon).

2. Si la connexion réussit, vous serez redirigé vers l'adresse OAA, par exemple : https://oaa.example.com/oaa/authnui. En interne, OAA transmet cette demande à OARM, qui déclenche la règle Device Maximum Velocity définie sur Challenge et la page de vérification est présentée à l'utilisateur.

   

   Description de l'image challengeechoice.PNG

3. Vous serez redirigé vers la page Courriel sur laquelle vous êtes invité à Entrer un mot de passe à usage unique à partir du périphérique de messagerie inscrit. Dans le champ Entrer un mot de passe à usage unique, entrez le code secret à usage unique envoyé par courriel à l'adresse électronique des utilisateurs et cliquez sur Vérifier.

   

   Description de l'image emailotp.PNG

4. Si l'authentification réussit, vous devez être redirigé vers la page de l'application protégée, par exemple /mybank.

   

   Description de l'image mybank.PNG

5. Ouvrez un nouvel onglet de navigateur et connectez-vous à la console d'administration OARM. Indiquez vos informations d'identification et de connexion.

6. Cliquez sur le menu du menu hamburger de navigation d'application en haut à gauche, puis sur Surveiller les sessions utilisateur. Le tableau de bord Sessions utilisateur s'affiche.

7. Cliquez sur le bouton Inclure les sessions réussies pour afficher la liste des connexions réussies. Vous remarquerez les détails de connexion user2 à partir du même périphérique, mais une adresse IP différente.

   

   Description de l'illustration usersession2.PNG

8. Cliquez sur le lien sous ID de session pour cet utilisateur, par exemple 50019. La page Sessions utilisateur - 50019 s'affiche.

9. Dans le panneau Authentification utilisateur, cliquez sur Alertes pour afficher le message déclenché par l'alerte à l'administrateur. Cela indique que l'utilisateur qui s'est connecté depuis le Japon a présenté un défi et qu'une alerte a été déclenchée pour l'administrateur.

   

   Description de l'image usersession2detail.PNG

En savoir plus

• Administration d'Oracle Advanced Authentication et d'Oracle Adaptive Risk Management
• Référence d'aide Oracle Fusion Middleware pour la console d'administration de l'authentification avancée Oracle

Commentaires

Pour fournir des commentaires sur ce tutoriel, veuillez contacter idm_user_assistance_ww_grp@oracle.com

Remerciements

• Auteur - Devanshi Mohan

Ressources de formation supplémentaires

Explorez d'autres ateliers sur docs.oracle.com/learn ou accédez à davantage de contenu de formation gratuit sur le canal Oracle Learning YouTube. En outre, accédez à education.oracle.com/learning-explorer pour devenir explorateur Oracle Learning.

Pour consulter la documentation du produit, consultez Oracle Help Center.

---

Informations relatives au titre et au copyright

Configuring a Geo-Velocity Based Use Case in Oracle Adaptive Risk Management

F55500-02

March 2022

Copyright © 2022, Oracle and/or its affiliates.