Documentazione dell'infrastruttura Oracle Cloud

Gestione della verifica continua della forza lavoro (Beta)

Importante

Pre-General Availability: 2023-10-14

La presente documentazione è una versione provvisoria in attesa della messa a disposizione del prodotto alla generalità dei clienti e viene fornita a scopo esclusivamente dimostrativo. Potrebbe inoltre non essere specifica per l'hardware sul quale viene utilizzato il software. Oracle Corporation e le sue consociate declinano ogni responsabilità ed escludono espressamente qualsiasi tipo di garanzia relativa alla presente documentazione e non potranno quindi essere ritenute responsabili per qualsiasi perdita, costo o danno causato dall'utilizzo di tale documentazione.

La presente documentazione non costituisce un impegno da parte di Oracle a fornire materiale, codice, funzionalità o servizi. La presente documentazione e i programmi e i servizi Pre-GA di Oracle sono soggetti a modifiche in qualsiasi momento senza preavviso e, di conseguenza, non si può fare affidamento su di esse per prendere decisioni di acquisto. Lo sviluppo, il rilascio e la tempistica di qualsiasi funzione o funzionalità per i programmi e i servizi Pre-GA di Oracle rimangono di esclusiva pertinenza di Oracle. Tutte le date di rilascio o altre previsioni di eventi futuri sono soggette a modifiche. La disponibilità futura di qualsiasi programma o servizio Oracle non deve essere presa in considerazione per stipulare alcun contratto di licenza o servizio con Oracle.

Vedere Note legali Oracle.

Introduzione (Beta)

Identity Verification (IDV) è un processo che convalida l'identità reale di una persona confrontando i suoi attributi facciali fisici con i documenti di identificazione emessi dal governo, come passaporti e patenti di guida. Ciò fornisce un elevato livello di garanzia che l'utente è chi afferma di essere.

La Verifica continua della forza lavoro (CWV) si basa sull'IDV riconvalidando periodicamente l'identità di un utente utilizzando la biometria facciale dopo l'iscrizione iniziale. Ciò garantisce che la persona che accede alle applicazioni o alle risorse sia la persona che dovrebbe accedere all'applicazione o alla risorsa (e non a qualcuno che è successo di ottenere il possesso delle credenziali), rafforzando la postura di sicurezza della tua organizzazione contro gli impostori e l'accesso non autorizzato.

Questo servizio si integra con i provider di verifica dell'identità (o verifica dell'identità) di terze parti per eseguire il documento iniziale e il controllo dell'identità. Una volta verificata l'identità di un utente, i dati biometrici del viso vengono iscritti al servizio nativo di Oracle per i controlli di verifica in corso. Attualmente, Oracle supporta Daon.

Concetti (beta)

Identity Verification (IDV): il processo una tantum che consente di provare l'identità di un utente abbinando un selfie in tempo reale a un documento d'identità emesso dal governo. Questo viene eseguito tramite un fornitore di terze parti.

Biometria facciale: il processo di acquisizione delle caratteristiche facciali uniche di un utente per creare un modello biometrico sicuro. Questo modello viene utilizzato per l'iscrizione iniziale e i controlli di verifica successivi. La biometria facciale in IAM è una funzionalità OCI nativa.

Verifica continua della forza lavoro (CWV): postura di sicurezza continua in cui l'identità di un utente viene controllata periodicamente utilizzando la biometria facciale per garantire che l'utente autorizzato sia ancora quello che gestisce l'account.

Provider di verifica dell'identità: servizio di terze parti (ad esempio, Daon) integrato in IAM OCI per gestire la verifica iniziale della verifica dell'identità mediante la verifica dei documenti emessi dal governo.

Liveliness Detection: tecnologia utilizzata durante le scansioni biometriche facciali per garantire che l'utente sia fisicamente presente e non utilizzi foto, video o maschere per viziare il sistema. Ciò comporta prompt come inclinare la testa o lampeggiare.

Iscrizione in linea: processo di iscrizione obbligatorio da un amministratore e che si verifica direttamente all'interno del flusso di accesso. Gli utenti sono in genere tenuti a completarlo prima di poter accedere alle applicazioni.

Processo di verifica continua della forza lavoro

Il processo coinvolge due persone chiave:

  • Amministratori: configura i provider di verifica delle identità e imposta i criteri di verifica continua della forza lavoro che definiscono quando e con quale frequenza gli utenti devono verificare la propria identità.
  • Utenti: iscriviti al servizio verificando la propria identità con un documento di identità emesso dal governo e il loro volto. Successivamente, completano periodici controlli biometrici facciali come definiti dall'amministratore.

Flusso di lavoro amministratori (beta)

  1. Un amministratore di Example Inc. stabilisce innanzitutto una relazione commerciale con un provider di verifica dell'identità supportato, ad esempio Daon.
  2. Nella console OCI, l'amministratore accede al dominio di Identity, configura Daon come provider di verifica dell'identità utilizzando credenziali quali l'ID client e il segreto e lo attiva.
  3. L'amministratore crea quindi un criterio di verifica continua della forza lavoro e aggiunge una regola che specifica i gruppi di utenti interessati.
  4. All'interno della regola, l'amministratore abilita la biometria facciale e imposta la frequenza per i controlli periodici (ad esempio, ogni 7-14 giorni) e la riiscrizione (ad esempio, ogni 6-12 mesi).

Oracle consiglia di combinare la verifica delle identità e la biometria per una maggiore sicurezza delle identità. Tuttavia, ciascuna funzionalità è facoltativa e può essere utilizzata separatamente. Gli amministratori hanno la flessibilità di configurare la verifica continua della forza lavoro con la verifica dell'identità e la biometria facciale o con la sola biometria facciale in base alle esigenze specifiche della loro organizzazione. Quando sia la verifica dell'identità che la biometria facciale sono abilitate per l'iscrizione in linea, il processo IDV verrà richiesto per primo, seguito dalla verifica biometrica.

Gli amministratori hanno anche la possibilità di specificare l'iscrizione come opzione in linea obbligatoria o come funzione che gli utenti possono saltare e definire impostazioni come la frequenza di verifica.

Flusso di lavoro utente finale (beta)

  1. Iscrizione iniziale: a un dipendente, John, viene richiesto di iscriversi in linea dopo l'autenticazione (se il criterio di verifica della forza lavoro continua è configurato per l'iscrizione in linea) o da Profilo personale. Questo è un processo da eseguire una sola volta.
    1. Verifica dell'identità: un codice QR appare sullo schermo del computer di John. Lo scansiona con il suo smartphone per avviare il processo di verifica dell'identità con Daon. Prende un selfie dal vivo e poi scansiona il suo documento di identità emesso dal governo. Daon convalida l'autenticità del documento e conferma che il selfie corrisponde alla foto nel documento.
    2. Iscrizione biometrica: John viene reindirizzato al browser Web del suo computer. Gli viene chiesto di posizionare il suo viso in una cornice e prompt di vita completi randomizzati, come inclinare la testa. Il sistema acquisisce i suoi dati facciali, crea un modello biometrico e li memorizza in modo sicuro per completare la sua iscrizione.
  2. Verifica in corso: due settimane dopo, quando John accede a un'applicazione, accede con le sue credenziali standard. Subito dopo, il CWV avvia una sfida biometrica facciale. Posiziona il viso, completa un prompt di vita e il sistema convalida la sua identità rispetto al modello memorizzato, concedendogli l'accesso.

Caso d'uso: esempio di come l'esempio utilizza IDV e CWV (Beta)

Questo caso d'uso evidenzia in che modo Example Inc utilizza il fornitore di verifica dell'identità Daon per la verifica continua della forza lavoro (CWV). Un amministratore configura IAM per l'integrazione con il provider di verifica delle identità e crea criteri di verifica continua della forza lavoro per la verifica periodica degli utenti. Employee of Example Inc. verifica l'identità con un documento di identità emesso dal governo, si iscrive alla biometria facciale e viene nuovamente verificato tramite controlli periodici dell'identità.

Configurazione amministrazione (beta)

  1. Un amministratore di Example Inc. passa al dominio di Identity e configura un provider di verifica dell'identità, Daon.
  2. L'amministratore immette le credenziali fornite dal fornitore (ID client, segreto client, URL di ricerca automatica), mappa le richieste supportate con gli attributi del dominio di Identity, quindi seleziona Crea. Il provider di verifica dell'identità viene creato. L'amministratore attiva quindi il provider di verifica dell'identità.
  3. L'amministratore crea un criterio di verifica continua della forza lavoro e crea una regola. Nella regola, l'amministratore imposta i prerequisiti nel campo delle condizioni, con passkey come primo fattore di autenticazione e Oracle Mobile Authenticator (OMA) come secondo fattore e seleziona i gruppi di utenti valutati dalla regola.
  4. L'amministratore di Example Inc. abilita quindi la biometria facciale, pianifica i controlli biometrici facciali a intervalli randomizzati tra 7 e 14 giorni e la frequenza di riiscrizione tra 6 e 12 mesi.
  5. L'amministratore abilita la verifica dell'identità e seleziona il provider creato nel passo 2.
  6. Una volta definito, il criterio viene applicato in tutto il dominio di Identity per gli utenti che soddisfano le condizioni specificate nella regola.

Iscrizione utente (beta)

  1. Un dipendente, John, riceve un'e-mail che lo informa del nuovo requisito. Si iscrive con il suo fattore primario e secondo ed è invitato a iscriversi con la biometria. Se non viene richiesto di iscriversi alla biometria durante l'accesso, l'utente accede a Profilo login personale e seleziona Iscrivi con la biometria.
  2. L'utente esamina e accetta i termini e i termini.

  3. Verifica identità

    1. Sul suo schermo appare un codice QR. John lo scansiona con il suo smartphone, che avvia la verifica dell'identità con Daon. A seconda della configurazione di Daon, a John potrebbe essere richiesto di scaricare l'app Daon o un'app fornita da Example Inc. per completare la verifica dell'identità.
    2. John prende un selfie dal vivo. Daon verifica il selfie dell'utente per la vivacità.
    3. Poi scansiona il suo documento di identità emesso dal governo usando il suo telefono. Daon convalida l'autenticità del documento e conferma che il selfie corrisponde alla foto nel documento.
    4. Un messaggio di successo indica che la sua identità è stata verificata.

  4. Iscrizione biometrica facciale

    1. John viene reindirizzato al browser Web del suo computer.
    2. Il browser richiede l'accesso alla sua webcam. Gli viene chiesto di posizionare il viso in una cornice e completare i prompt di vivacità randomizzati, come inclinare la testa dell'utente verso l'alto, a destra e a sinistra. Questi passaggi proteggono dagli attacchi di spoofing e replay.
    3. Il sistema acquisisce i suoi dati facciali, crea un modello biometrico e li memorizza in modo sicuro. La sua iscrizione è stata completata.

Verifica continua forza lavoro (beta)

  1. Una volta iscritto, la verifica biometrica facciale periodica si verifica senza soluzione di continuità in background. Ad esempio, due settimane dopo, quando si accede a un'applicazione enterprise, John completa il login passkey standard seguito da Oracle Mobile Authenticator (OMA) come secondo fattore.
  2. Subito dopo, il CWV avvia una sfida di verifica biometrica facciale. John posiziona il viso all'interno del fotogramma, completa un prompt di vivacità casuale e il sistema convalida la sua identità rispetto al modello biometrico archiviato in modo sicuro.
  3. John ha accesso all'applicazione. L'evento di verifica viene registrato a scopo di controllo.