Gestione della sicurezza delle identità

Verifica dell'identità (IDV): il processo una tantum di convalida dell'identità reale di un utente abbinando un selfie live a un documento d'identità emesso dal governo (ad esempio, un passaporto o una patente di guida). L'IDV viene eseguito da un provider di verifica dell'identità di terze parti supportato e offre un elevato livello di garanzia che l'utente sia chi dichiara di essere.

Biometria facciale: il processo sfrutta l'acquisizione delle caratteristiche facciali uniche di un utente per creare un modello biometrico sicuro. Questo modello viene utilizzato per l'iscrizione iniziale e i controlli di verifica successivi. La biometria facciale in OCI IAM è una capacità OCI nativa.

Assicurazione identità: combina IDV e biometria facciale. Dopo la verifica iniziale dell'identità (IDV), il sistema verifica periodicamente l'identità di un utente utilizzando la biometria facciale. Questi controlli confermano che la persona che utilizza le credenziali è l'utente registrato, non qualcuno che ha ottenuto le credenziali. Questo processo riduce il rischio di impersonazione e accesso non autorizzato e rafforza il livello di sicurezza dell'organizzazione.

Provider di verifica dell'identità: supportiamo provider di verifica di terze parti come Daon e CLEAR per la verifica iniziale dell'identità in IAM utilizzando documenti emessi dal governo.

Rilevamento della vita: tecnologia utilizzata durante le scansioni biometriche facciali per garantire che l'utente sia fisicamente presente e non utilizzi foto, video o maschere per viziare il sistema. Ciò comporta prompt come inclinare la testa o lampeggiare.

Iscrizione in linea: processo di iscrizione che può essere richiesto da un amministratore e si verifica direttamente all'interno del flusso di accesso. Gli utenti obbligatori sono in genere tenuti a completarlo prima di poter accedere alle applicazioni.

1. Un amministratore di Example Inc. stabilisce innanzitutto una relazione commerciale con un provider di verifica dell'identità di terze parti supportato.
2. Nella console OCI, l'amministratore accede al dominio di Identity, configura il provider di verifica dell'identità di terze parti utilizzando credenziali quali l'ID client e il segreto e lo attiva.
3. L'amministratore crea quindi un criterio di sicurezza delle identità e aggiunge una regola che specifica i gruppi di utenti interessati.
4. All'interno della regola, l'amministratore abilita la biometria facciale e imposta la frequenza per i controlli periodici (ad esempio, ogni 7-14 giorni) e la riiscrizione (ad esempio, ogni 6-12 mesi).

Si consiglia di combinare la verifica dell'identità e la biometria per una maggiore sicurezza dell'identità. Tuttavia, ciascuna funzionalità è facoltativa e può essere utilizzata separatamente. Gli amministratori hanno la flessibilità di configurare Identity Assurance con Identity Verification e Facial Biometrics, o con Facial Biometrics da solo in base alle esigenze specifiche della loro organizzazione. Quando sia la verifica dell'identità che la biometria facciale sono abilitate per l'iscrizione in linea, il processo IDV verrà richiesto per primo, seguito dalla verifica biometrica.

La sicurezza delle identità viene eseguita dopo l'autenticazione e può essere utilizzata per la verifica delle identità anche se si è federati con un provider di identità di terze parti esterno, ad esempio Azure.

Gli amministratori hanno anche la possibilità di specificare l'iscrizione come opzione in linea obbligatoria o come funzione che gli utenti possono saltare e definire impostazioni come la frequenza di verifica.

1. Iscrizione iniziale: a un dipendente, John, viene richiesto di iscriversi in linea dopo l'autenticazione (se il criterio di Identity Assurance è configurato per l'iscrizione in linea) o da Profilo personale. Questo è un processo da eseguire una sola volta.
   1. Verifica identità: sullo schermo del computer di John viene visualizzato un codice QR. Lo scansiona con il suo smartphone per avviare il processo di verifica dell'identità con il provider di verifica dell'identità di terze parti configurato, ad esempio. Prende un selfie dal vivo e poi scansiona il suo documento di identità emesso dal governo. Il provider di verifica dell'identità di terze parti configurato convalida l'autenticità del documento e conferma che il selfie corrisponde alla foto nel documento.
   2. Iscrizione biometrica: John viene reindirizzato al browser Web del computer. Gli viene chiesto di posizionare il viso in una cornice e completare prompt di vita randomizzati, che comporta l'allineamento del naso con punti casuali. Il sistema acquisisce i suoi dati facciali, crea un modello biometrico e li memorizza in modo sicuro per completare la sua iscrizione.
2. Verifica in corso: due settimane dopo, quando John accede a un'applicazione, accede con le credenziali standard. Subito dopo, Identity Assurance avvia una sfida biometrica facciale. Posiziona il viso, completa un prompt di vita e il sistema convalida la sua identità rispetto al modello memorizzato, concedendogli l'accesso.

Questo caso d'uso utilizza Daon per evidenziare in che modo Example Inc utilizza il fornitore di verifica dell'identità Daon per Identity Assurance. Un amministratore configura IAM per l'integrazione con il provider di verifica dell'identità e crea criteri Identity Assurance per la verifica periodica degli utenti. Un dipendente di Example Inc. verifica l'identità con un documento di identità emesso dal governo, si iscrive alla biometria facciale e viene verificato di nuovo tramite controlli periodici dell'identità.