Configurazione di un caso d'uso attività personalizzato in Oracle Adaptive Risk Management

Introduzione

In questa esercitazione viene illustrato come configurare un caso d'uso di attività personalizzato in Oracle Adaptive Risk Management (OARM).

Oltre all'attività di autenticazione utente pronta all'uso, un cliente può creare le proprie attività personalizzate e creare regole utilizzando le informazioni raccolte da esso. Le regole sono personalizzate in base alle esigenze aziendali. Queste regole possono essere di natura transazionale, monitorando vari aspetti dell'attività dell'utente a cui l'azienda è interessata. Alcuni esempi di attività personalizzate sono l'internet banking o il pagamento delle fatture in un'applicazione bancaria. È possibile aggiungere regole che utilizzano le informazioni, come l'importo coinvolto nel pagamento, le informazioni sull'utente e così via per identificare un trasferimento di denaro fraudolento.

Questa esercitazione considera uno scenario in cui l'amministratore monitora un'attività personalizzata che coinvolge un utente che effettua acquisti online. Se la prima transazione di acquisto vale più di $ 500, l'utente può procedere con la transazione. Tuttavia, se l'utente esegue una seconda transazione online entro 5 minuti dal primo acquisto e supera $ 500, l'utente viene bloccato. L'amministratore può monitorare avvisi, azioni, regole e altre informazioni correlate all'utente tramite il dashboard User Session.

Obiettivi

In questa esercitazione verranno eseguiti i task riportati di seguito.

  1. Configurare un'attività personalizzata in OARM.
  2. Eseguire il test della regola utilizzando l'API REST Rischio OAA.
  3. Verificare il comportamento della regola aggiornando la condizione.
  4. Monitorare la sessione utente.

Prerequisiti

Prima di iniziare questo tutorial è necessario seguire:

Configurare un'attività personalizzata in OARM

Per configurare un'attività personalizzata per l'attività con carta di credito, effettuare le operazioni riportate di seguito.

Crea attività personalizzata per attività carta di credito

  1. Eseguire il login alla console di amministrazione OARM. Si viene reindirizzati alla pagina di login a OAM poiché la console è protetta da OAM OAuth. Specificare le credenziali e il login.

  2. Fare clic sul menu hamburger Navigazione applicazione in alto a sinistra.

  3. In Adaptive Risk Management fare clic su Attività personalizzate. Viene visualizzata la pagina Attività personalizzate.

  4. Fare clic su Crea nuova attività.

  5. Nella pagina Nuova attività personalizzata, in 1. Nel riquadro Attività immettere quanto segue:

    • Immettere un nome per questa attività: specificare il nome dell'attività personalizzata. Ad esempio, Attività carta di credito.
    • Descrizione: specificare la descrizione dell'attività personalizzata. Ad esempio, Attività carta di credito.
    • Fare clic su Avanti.

  6. Nel campo 2. Specificare gli attori da monitorare, quindi fare clic su Successivo.

    Nota: per questo caso d'uso, non sono selezionati attori. Per ulteriori informazioni su come specificare gli attori da monitorare, vedere Guida di riferimento per la console di amministrazione di Oracle Advanced Authentication.

  7. Nel campo 3. Fornire la sezione Dettagli attività da monitorare, fare clic su Aggiungi dettagli e immettere le informazioni riportate di seguito.

    • Nome: specificare un nome per i dettagli dell'attività. In questo esempio viene utilizzato il prezzo articolo perché questo caso d'uso dell'attività personalizzata è associato al prezzo dell'articolo acquistato da un cliente.
    • Descrizione: specificare una descrizione per i dettagli dell'attività, ad esempio prezzo articolo acquistato.
    • Obbligatorio: utilizzare il pulsante di attivazione/disattivazione per specificare che l'elemento è obbligatorio. Ciò garantisce che per ogni transazione che entra in OARM, vengano fornite le informazioni sul prezzo.
    • Tipo di dati: specificare il tipo di dati dell'attributo come Numerico.
    • Cifrato: utilizzare il pulsante di attivazione/disattivazione per specificare se l'elemento deve essere cifrato. La cifratura viene utilizzata solo per i campi dati stringa; gli altri campi dati non devono essere cifrati. In questo esempio lo lasceremo in chiaro.
    • Fare clic su OK.

    A destra di prezzo articolo, fare clic sull'icona Mappa per fornire i dati di origine come indicato di seguito.

    • Dati di origine: i dati di origine si riferiscono ai dati client provenienti da un'applicazione protetta nell'ambito di una transazione. Ad esempio, transaction.price.
    • Tipo di mapping: specifica un modo per connettere i dati di origine ai dati di destinazione e all'attore. Poiché è necessario un mapping uno a uno dell'elemento dati di origine all'elemento dati di destinazione, selezionare Diretto.

    • Fare clic su OK.
    • Fare clic su Fine.

  8. Fare clic su Salva e continua per confermare la creazione dell'attività personalizzata.

Creare un gruppo di avvisi

  1. Fare clic sul menu hamburger Navigazione applicazione in alto a sinistra, quindi in Adaptive Risk Management fare clic su Gestisci gruppi. Fare clic su Crea nuovo gruppo.

  2. Nella pagina Nuovo gruppo creare un nuovo gruppo di avvisi come indicato di seguito.

    • Nome gruppo: specificare un nome per il gruppo, ad esempio Articolo acquistato supera il limite.
    • Tipo gruppo: specificare il tipo di gruppo come Avvisi.
    • Descrizione gruppo: specificare una descrizione per il gruppo, ad esempio Avviso se il prezzo di acquisto è superiore a $500.
    • Fare clic su Crea.

  3. Nel riquadro Articolo acquistato supera il limite, selezionare Aggiungi avvisi.

  4. Nel riquadro Aggiungi valore immettere i valori riportati di seguito e fare clic su Aggiungi.

    • Tipo di avviso: specificare il tipo di avviso come Froud.
    • Livello avviso: specificare il livello di avviso come Alto.
    • Messaggio di avviso: specificare il messaggio di avviso come Il prezzo di acquisto supera il limite.

  5. L'avviso viene aggiunto al gruppo di avvisi:

  6. Fare clic su Salva.

Configura regola attività carta di credito

  1. Fare clic sul menu hamburger Navigazione applicazione in alto a sinistra, quindi fare clic su Adaptive Risk Management per visualizzare l'elenco delle attività nel dashboard.

  2. Nella casella Attività carta di credito, fare clic sul collegamento 0 regole. Viene visualizzata la pagina Attività utente.

  3. Nella pagina Attività utente fare clic su Aggiungi nuova regola.

  4. Nella pagina Aggiungi nuova regola immettere le informazioni riportate di seguito.

    • Nome: specificare un nome per la regola, ad esempio Attività carta di credito.
    • Descrizione: specificare una descrizione per la regola, ad esempio Verificare se il prezzo di acquisto è superiore a $500.
    • Stato: utilizzare il pulsante di attivazione/disattivazione per abilitare la regola.
    • Seleziona azione: selezionare l'azione che si desidera associare alla regola. Ad esempio, Blocco in questo caso d'uso.
    • Seleziona avviso: selezionare l'avviso da attivare quando viene valutata la regola. Ad esempio, Articolo di acquisto supera il limite.

  5. Nella stessa finestra, utilizzare il pulsante di attivazione/disattivazione per Mostra condizioni avanzate.

  6. Nell'elenco Condizione di ricerca, selezionare Controlla conteggio transazioni utilizzando le condizioni di filtro e fare clic su Aggiungi condizione. La condizione viene visualizzata di seguito. Immettere le informazioni come indicato di seguito.

    • Seleziona transazione da conteggiare: attività carta di credito
    • Condizione specificata per conteggio: maggiore di uguale a
    • Valore di controllo specificato per l'inventario: 1
    • Stato transazione: lasciare vuoto
    • Ignora transazione corrente nel conteggio: True
    • per lo stesso utente: True
    • Applicare i controlli dei filtri alla transazione corrente: True
    • Durata: 5
    • Tipo di durata: In sequenza
    • Unità durata: minuti

  7. Fare clic su Salva. La regola verrà visualizzata:

  1. Nella schermata Attività utente, fare clic sul pulsante Modifica per Blocco basato su regola attività carta di credito.

  2. Nella parte inferiore della schermata fare clic su Aggiungi filtro e immettere le informazioni riportate di seguito.

    • Attributo: prezzo articolo
    • Confronto: maggiore di
    • Valore: 500

    • Fare clic su Salva.

  3. Fare clic sul menu hamburger Navigazione applicazione in alto a sinistra, quindi in Adaptive Risk Management fare clic su Attività personalizzate.

  4. Selezionare il pulsante di attivazione/disattivazione per abilitare Regola attività conto carta di credito.

  5. Fare clic sul menu hamburger Navigazione applicazione in alto a sinistra, quindi fare clic su Adaptive Risk Management per visualizzare l'elenco delle attività utente nel dashboard. Verrà visualizzata una regola associata all'attività personalizzata:

    Durante il flusso di autenticazione, quando viene eseguita questa regola, viene valutata la condizione Controlla conteggio transazioni utilizzando le condizioni di filtro associate alla regola. Se questa condizione viene valutata come Vero, la regola viene attivata. L'utente viene pertanto bloccato.

Test della regola attività carta di credito mediante l'API REST Rischio OAA

In questa sezione è possibile eseguire il test della regola Verifica attività carta di credito utilizzando l'API OAA Risk Rest.

Installare la raccolta OARM Postman

Impostazione dei parametri di ambiente in Postman

  1. Aprire Postman e selezionare File > Importa.

  2. Nella scheda File della finestra di dialogo Importa selezionare Carica file. Scegliere Oracle_Advanced_Authentication_Example_Environment.postman_environment.json e quindi fare clic su Apri.

  3. Nel menu a sinistra fare clic su Ambienti.

  4. Nella lista di ambienti visualizzata, a destra di Oracle Advanced Authentication Example Environment, fare clic sui puntini e quindi su Duplica.

  5. In Oracle Advanced Authentication Example Environment Copy, visualizzato sopra l'ambiente originale, fare clic sui puntini e rinominare in Oracle Advanced Authentication Environment for REST APIs.

  6. Aggiornare le variabili di ambiente per il nuovo ambiente immettendo i valori seguenti per Valore iniziale e Valore corrente. Al termine, fare clic su Salva e quindi su X nella scheda per chiuderla:

    • oaa-admin: nome host e porta di amministrazione di Oracle Advanced Authentication, ad esempio https://oaa.example.com.
    • oaa-policy: nome host e porta dei criteri di Oracle Advanced Authentication, ad esempio https://oaa.example.com.
    • oaa-runtime: nome host e porta runtime di Oracle Advanced Authentication, ad esempio https://oaa.example.com.
    • RELEASENAME: il valore RELEASENAME assegnato alla configurazione di Oracle Advanced Authentication, ad esempio oaainstall. Questo è il valore passato per common.deployment.name durante l'installazione di OAA.
    • oaapolicyapikey: oaapolicyapikey per l'impostazione di Oracle Advanced Authentication, ad esempio a5764d4ef6b71129f38a2d8ddc88b6060653d3c8. Questo è il valore passato per install.global.policyapikey durante l'installazione di OAA.
    • oaaapikey: oaaapikey per l'impostazione di Oracle Advanced Authentication, ad esempio a5764d4ef6b71129f38a2d8ddc88b6060653d3c8. Questo è il valore passato per install.global.uasapikey durante l'installazione di OAA.
    • KBA: nome utente KBA per l'impostazione di Oracle Advanced Authentication, ad esempio OAAINSTALL_OAA_KBA. Viene utilizzato il valore <RELEASENAME>_OAA_KBA e viene fatta distinzione tra maiuscole e minuscole.
    • oaafactorapikey: oaafactorapikey per l'impostazione di Oracle Advanced Authentication, ad esempio a5764d4ef6b71129f38a2d8ddc88b6060653d3c8. Questo è il valore passato per install.global.factorsapikey durante l'installazione di OAA.
    • oaa-risk: nome host e porta di rischio di Oracle Advanced Authentication, ad esempio https://oaa.example.com.
    • oaariskapikey: oaaapikey per l'impostazione di Oracle Advanced Authentication, ad esempio a5764d4ef6b71129f38a2d8ddc88b6060653d3c8. Questo è il valore passato per install.global.riskapikey durante l'installazione di OAA.

    Nota: se non si conoscono gli URL per oaa-admin, oaa-policy, oaa-runtime (spui) e oaa-risk, vedere Stampa dei dettagli di distribuzione.

    L'ambiente sarà simile al seguente:

  7. Fare clic sull'elenco a discesa Ambiente, quindi selezionare l'ambiente aggiornato dall'elenco.

Importare la raccolta Postman

  1. Per importare la raccolta Postman dell'API REST di Oracle Adaptive Risk Management, nella pagina principale Postman selezionare File > Importa.

  2. Nella scheda File della finestra di dialogo Importa selezionare Carica file. Scegliere il file Oracle_Adaptive_Risk_Management_Rest_API.postman_collection.json, quindi fare clic su Apri, quindi su Importa.

    Fare clic su Raccolte nel menu a sinistra. La raccolta dovrebbe essere visualizzata come segue:

Test della regola attività carta di credito

Per eseguire questa attività personalizzata in runtime, è necessario eseguire l'API seguente.

Recupera ID attività utente

Recupera l'ID attività utente associato all'attività carta di credito:

  1. Nella scheda Raccolte Postman, passare a API REST di Oracle Adaptive Risk Management > attività utente.

  2. Selezionare Recupera attività utente. Questa richiesta effettua una richiesta GET all'endpoint /policy/risk/v1/user-activities e recupera l'ID attività utente associato all'attività carta di credito. Fare clic su Invia:

  3. Nella risposta, confermare la visualizzazione di Status: 200 OK. Dal corpo della risposta, copiare il valore per l'attività della carta di credito in un file di testo. Ne avrai bisogno in seguito durante la transazione.

Crea una sessione per l'utente

Creare una sessione per l'utente come indicato di seguito.

  1. Nella scheda Raccolte Postman passare a API REST di Oracle Adaptive Risk Management > sessione/v1 > (ID richiesta).

  2. Selezionare Crea nuova sessione per la richiesta di autenticazione utente. Questa richiesta effettua una richiesta POST all'endpoint risk-analyzer/session/v1. Nel corpo, modificare le informazioni nel corpo in modo che corrispondano all'utente e all'ambiente. Nell'esempio riportato di seguito si richiede di creare una sessione per testuser nel gruppo default. Per ulteriori informazioni su come impostare il resto dei parametri nel corpo, fare clic sull'icona della documentazione evidenziata in alto a destra dello screenshot seguente:

  3. Nel corpo della risposta confermare che viene visualizzato Status: 200 OK. Copiare il valore requestID in un file di testo. Sarà necessario creare questo valore in un secondo momento per una transazione.

Crea una transazione per l'utente

Creare una transazione per l'utente come indicato di seguito.

  1. Nella scheda Raccolte Postman, andare all'API REST di Oracle Adaptive Risk Management > transazione/v1.

  2. Selezionare Crea nuove transazioni. Questa richiesta effettua una richiesta POST all'endpoint /risk-analyzer/transaction/v1. Nel corpo, sostituire il valore di requestID con il valore copiato nel passo precedente e fare clic su Invia:

    Nota: nel testo del corpo precedente, verrà visualizzata la "chiave": "transaction.price". Questo campo è definito nel mapping creato nel passo 7 di Crea attività personalizzata per attività con carta di credito. Qui stiamo impostando un valore di $ 700 che è al di sopra del limite di $ 500 impostato.

  3. Nella risposta, confermare la visualizzazione di Status: 200 OK. Dal corpo della risposta copiare il valore transactionId, che è 5 in un file di testo. Questo valore sarà necessario nel passo successivo in cui verrà eseguita la regola.

Elaborazione della regola

Elaborare la regola per la transazione come indicato di seguito.

  1. Nella scheda Raccolte Postman, andare all'API REST di Oracle Adaptive Risk Management > transazione/v1.

  2. Selezionare Regola processo. Questa richiesta effettua una richiesta PUT all'endpoint /risk-analyzer/risk/v1.

    Sostituire i valori riportati di seguito nella chiamata API e fare clic su Invia.

    • CheckpointList: specifica il valore ottenuto per l'attività della carta di credito in Recupera ID attività utente, ad esempio: 1600.
    • transactionId: specifica il valore della transazione creata in Crea una transazione per l'utente **, ad esempio **5.
    • requestID: specifica il valore ottenuto in Crea una sessione per l'utente.

  3. Nel corpo della risposta, risultato è vuoto, ovvero Consenti e l'utente può procedere con la transazione al primo tentativo.

    Nota: l'utente può procedere con la transazione al primo tentativo anche se il valore del prezzo è $700. Questo perché, in base alla condizione associata alla regola, Ignora transazione corrente nel conteggio è impostato su Vero. Ciò implica che la prima volta che l'utente tenta una transazione con un prezzo maggiore di $500, il valore del prezzo viene ignorato e l'utente è autorizzato a procedere con la transazione.

Aggiornamento della sessione come riuscito

Nota: i passi di questa sezione sono quelli che consentono di contrassegnare la sessione come Success. A seconda delle esigenze dell'applicazione, è possibile aggiornare la sessione di conseguenza. Per visualizzare i valori possibili, eseguire un valore GET rispetto a /policy/config/property/v1?propertyName=auth.status.enum.* nell'insieme Postman.

  1. Aggiornare la sessione come Success. Nella scheda Raccolte Postman passare a API REST di Oracle Adaptive Risk Management > sessione/v1 > (ID richiesta). Selezionare Aggiorna dettagli di una sessione esistente.

    Sostituire i valori seguenti nel corpo della chiamata API, quindi fare clic su Invia.

    • authenticationStatus: impostare su 0 per indicare una sessione riuscita.
    • requestId: specifica il valore ottenuto in Crea una sessione per l'utente.

  2. Nel corpo della risposta confermare che viene visualizzato Status: 200 OK.

Crea un'altra sessione per lo stesso utente

  1. Creare un'altra sessione per lo stesso utente per eseguire la seconda transazione entro cinque minuti. Compilare i campi riportati di seguito dal corpo della risposta al corpo della richiesta e fare clic su Invia.

    • cookieType:4: dal corpo di risposta della sessione di creazione originale copiare il valore di digitalCookie e incollarlo nel corpo della richiesta cookieType:4.
    • cookieType:1: dal corpo di risposta della sessione di creazione originale copiare il valore di secureCookie e incollarlo nel corpo della richiesta cookieType:1.

  2. Dal corpo della risposta, copiare il valore requestID in un file di testo. Questo valore sarà necessario per creare una transazione.

Crea un'altra transazione per l'utente

  1. Per creare una seconda transazione per l'utente, effettuare le operazioni riportate di seguito.

    • Sostituire requestID con il valore copiato nel passo precedente.
    • Fare clic su Invia.

  2. Dal corpo della risposta, copiare il valore transactionId, che è 6 in un file di testo. Questo valore sarà necessario nel passo successivo in cui verrà eseguita la regola.

Elabora la regola per la seconda transazione

  1. Elaborare la regola per la seconda transazione sostituendo i seguenti valori nel corpo della richiesta della chiamata API e fare clic su Invia:

    • transactionId: specifica il valore dell'ID della seconda transazione creato nel passo precedente, ad esempio 6.
    • requestID: specifica il valore ottenuto durante la creazione della seconda sessione nel Passo 5.

  2. Nel corpo della risposta, il valore del risultato è Blocco. In base alla condizione, se il valore del prezzo è maggiore di $500 e il conteggio delle transazioni è maggiore di 1, l'utente deve essere bloccato. Si noti che il messaggio di avviso viene restituito dal gruppo di avvisi associato:

Eseguire il test del funzionamento della regola aggiornando la condizione

In questa sezione verranno aggiornati i criteri condizione per bloccare un utente se un utente tenta di effettuare una transazione superiore a $500 per la prima volta. In questo scenario, un altro utente, testuser2, esegue la transazione.

  1. Avviare un browser ed eseguire il login alla console di amministrazione OARM. Specificare le credenziali e il login.

  2. Fare clic sul menu hamburger Navigazione applicazione in alto a sinistra, quindi fare clic su Adaptive Risk Management. Viene visualizzata la pagina Attività utente monitorato.

  3. Nella casella Attività carta di credito, fare clic sul collegamento 1 regola. Viene visualizzata la pagina Attività utente.

  4. Nella pagina Attività utente, fare clic sull'icona Modifica a fronte della regola.

  5. Nella sezione Condizioni, aggiornare Ignora transazione corrente nel conteggio su Falso e fare clic su Salva.

  6. Nella raccolta Postman, in Crea sessione, creare un'altra sessione per un nuovo utente, testuser2. Fare clic su Invia:

  7. Dal corpo della risposta, copiare il valore di requestID in un file di testo. Questo valore sarà necessario per creare una transazione.

  8. Per creare una transazione per l'utente, eseguire quanto riportato di seguito in Crea transazione.

    • Sostituire requestID con il valore copiato nel passo precedente.
    • Fare clic su Invia.

  9. Dal corpo della risposta copiare il valore transactionId, che è 7, in un file di testo. Questo valore sarà necessario nel passo successivo in cui verrà eseguita la regola.

  10. Elaborare la regola per questa transazione sostituendo i valori seguenti nel corpo della richiesta della chiamata API Regola di processo. Fare clic su Invia.

    • transactionId: specifica il valore dell'ID transazione creato nel passo 9 precedente, ad esempio 7.
    • requestID: specifica il valore ottenuto durante la creazione della sessione nel passo precedente.

  11. Nel corpo della risposta, convalidare il valore del risultato, ovvero Blocco. L'utente non è autorizzato a procedere con la transazione nel primo tentativo, perché secondo la condizione, se il valore del prezzo è maggiore di $500 nel conteggio delle transazioni 1, l'utente dovrebbe essere bloccato.

Monitorare la sessione utente

  1. Avvia un nuovo browser.

  2. Eseguire il login alla console di amministrazione OARM. Si viene reindirizzati alla pagina di login a OAM, poiché la console è protetta da OAM OAuth. Specificare le credenziali e il login.

  3. Fare clic sul menu hamburger Navigazione applicazione in alto a sinistra, quindi fare clic su Monitora sessioni utente. Viene visualizzato il dashboard Sessioni utente. Fare clic sul pulsante di attivazione/disattivazione Includi sessioni riuscite per visualizzare la lista dei login riusciti e non riusciti:

    Osservare quanto riportato di seguito.

    • Informazioni per testuser: la prima transazione dell'utente è riuscita. Quando l'utente esegue la seconda transazione, l'utente è stato bloccato. Si noti che l'ID dispositivo, ovvero 85, è lo stesso in entrambe le transazioni. Questo perché durante l'esecuzione della transazione sono stati copiati digitalCookie e secureCookie. Ciò consente di monitorare le informazioni sul dispositivo dell'utente.
    • Informazioni per testuser2: la prima transazione dell'utente è stata bloccata.

  4. Fare clic sul collegamento in ID sessione per testuser2 creato nel task 2, ad esempio 90. Viene visualizzata la pagina Sessioni utente - 90. L'azione sarà Blocco:

Per saperne di più

Feedback

Per fornire feedback su questo tutorial, si prega di contattare idm_user_assistance_ww_grp@oracle.com

Riconoscimenti

Altre risorse di apprendimento

Esplora altri laboratori su docs.oracle.com/learn o accedi a più contenuti di formazione gratuiti sul canale YouTube di Oracle Learning. Inoltre, visitare education.oracle.com/learning-explorer per diventare Oracle Learning Explorer.

Per la documentazione del prodotto, visitare Oracle Help Center.