Configurazione di un caso d'uso basato su una zona geografica in Oracle Adaptive Risk Management

Introduzione

Questa esercitazione descrive come configurare un caso d'uso basato su geolocalizzazione in Oracle Adaptive Risk Management (OARM).

La regola Geo-velocity consente di autenticare un utente in base alla distanza e all'intervallo di tempo tra la posizione corrente e la posizione da cui è stato eseguito l'ultimo login. È possibile utilizzare queste informazioni come criterio per concedere l'accesso alla risorsa protetta.

La geovelocità viene generalmente calcolata come numero massimo di miglia all'ora. Ciò consente di determinare la velocità con cui un utente può viaggiare da un luogo all'altro per collegarsi correttamente entro un periodo di tempo specifico.

Un prerequisito per implementare il caso d'uso della geovelocità è la presenza dei dati di geolocalizzazione. La funzione di geolocalizzazione consente di identificare la posizione fisica dell'utente. Questo viene in genere determinato ottenendo l'indirizzo IP del dispositivo utilizzato da un utente per tentare un login. Questi dati vengono quindi utilizzati per calcolare la distanza tra due tentativi consecutivi di login.

Questa esercitazione prende in considerazione uno scenario in cui l'amministratore utilizza la sfida basata sulla velocità massima del dispositivo per rilevare questo tipo di attività utente fraudolenta, attivare un avviso e impedire che l'utente esegua correttamente l'accesso. Questa operazione viene eseguita insieme ai dati di geolocalizzazione. L'amministratore può monitorare avvisi, azioni, regole e altre informazioni relative all'utente mediante il dashboard Sessione utente.

Obiettivi

In questa esercitazione verranno eseguiti i seguenti task:

1. Configura la geovelocità utilizzando la regola pronta all'uso Challenge basata sulla velocità massima del dispositivo.
2. Abilita X-forwarded - Per supporto intestazione.
3. Eseguire il test della regola della velocità massima del dispositivo.
4. Monitorare la sessione utente.
5. Convalida il funzionamento della regola Velocità massima dispositivo.

Prerequisiti

Prima di iniziare questa esercitazione è necessario seguire quanto segue:

• Un'istanza di Oracle Advanced Authentication (OAA) e OARM in esecuzione. Per istruzioni su come installare OAA e OARM, vedere Amministrazione di Oracle Advanced Authentication e Oracle Adaptive Risk Management.
• Seguire l'esercitazione Integrare Oracle Access Management con Oracle Advanced Authentication.
• Esaminare il caso d'uso Configuring a Geo-Velocity Based Use Case.
• Caricare i dati di geolocalizzazione nel server OARM. Per istruzioni su come popolare i dati di geolocalizzazione, vedere Caricamento dei dati di geolocalizzazione.

Configurare un caso d'uso di tipo Geo-Velocity in OARM

1. Accedere alla console di amministrazione OARM. Si viene reindirizzati alla pagina di login OAM poiché la console è protetta da OAM OAuth. Specificare le credenziali e il login.

2. Fare clic sul menu hamburger Navigazione applicazione in alto a sinistra e fare clic su Adaptive Risk Management. Viene visualizzato il dashboard Attività utente.

3. Nella casella Autenticazione utente, fare clic sul collegamento Regole. Viene visualizzata la pagina di visualizzazione delle regole dell'attività utente.

4. Nel riquadro di ricerca, immettere il testo appropriato per filtrare tutte le regole disponibili pronte all'uso per configurare l'IP rischioso, ad esempio velocity. Viene visualizzata la regola Challenge basata sulla velocità massima del dispositivo che è necessario configurare per questo caso d'uso.

5. Fare clic sull'icona Modifica nella regola Challenge basato sulla velocità massima del dispositivo.

   Nota: alla sfida basata sulla velocità massima del dispositivo è associata una condizione che valuta la velocità massima del dispositivo nel tempo specificato.

6. Verificare che gli elenchi Seleziona azione e Seleziona avviso siano inseriti preventivamente con le opzioni Challenge e Device Maximum Velocity.

   Nota: è possibile configurare l'azione e l'avviso in base alle proprie esigenze.

7. Verificare che i campi Ultimo login entro (secondi) e Miglia all'ora siano popolati rispettivamente con 72000 e 600.

   Nota: è possibile configurare i campi precedenti in base alle proprie esigenze.

8. Aggiungere gli indirizzi IP che si desidera ignorare per la regola Velocità massima dispositivo. Per comodità dell'amministratore, il gruppo Ignora gruppo IP viene fornito immediatamente.

   Nota: questo parametro consente di specificare una lista di IP da ignorare. Se l'IP dell'utente proviene da tale elenco, questa condizione restituisce sempre false. Ad esempio, un dipendente che lavora su un'applicazione Finance e passa spesso tra VPN, si desidera aggiungere questo indirizzo IP in Ignora gruppo IP. Se l'IP dell'utente non si trova in tale lista o se la lista è nulla o vuota, la condizione valuta la velocità dell'utente o del dispositivo dall'ultimo login e restituisce true se la velocità supera il valore configurato.

9. In Ignora gruppo IP, con l'opzione Ignora gruppo IP selezionata nella lista, fare clic sul collegamento Modifica Ignora gruppo IP per aggiungere gli indirizzi IP da ignorare per questa regola.

10. Fare clic su Salva e continua. Viene visualizzata la pagina Modifica Ignora gruppo IP.

11. Per configurare la lista di indirizzi IP che si desidera ignorare dalla regola, eseguire le operazioni riportate di seguito.

    • Fare clic su Add IPs.
    • Nel campo Valore, immettere l'indirizzo IP. Per la dimostrazione, considerare l'indirizzo IP, 192.0.2.254.
    • Fare clic su Aggiungi. Nella figura seguente viene visualizzato l'indirizzo IP aggiunto a Ignora gruppo IP.
    • Ripetere i passi da 11a a 11c per aggiungere la lista di indirizzi IP da ignorare nel gruppo.

12. Fare clic su Salva per salvare il gruppo. Si viene reindirizzati alla pagina Modifica regola.

13. Fare clic su Salva per salvare la regola. Si viene reindirizzati alla pagina delle regole dell'attività utente.

Ora, durante il flusso di autenticazione quando questa regola viene eseguita, viene valutata la condizione associata alla regola out-of-box Device Maximum Velocity. Se la condizione restituisce True, la regola viene attivata. A sua volta, all'utente viene presentata la sfida in base ai fattori configurati.

Abilita X-forwarded-Per supporto intestazione

X-For Header è una versione standard che viene utilizzata per identificare l'indirizzo IP originale quando un client si connette a un server Web tramite un proxy HTTP o un load balancer.

In questa sezione si verifica se il supporto dell'intestazione X-Forwarded-For è abilitato.

1. Effettuare una richiesta GET utilizzando il seguente URL:

   Get:
   https://129.153.185.7/policy/config/property/v1?propertyName=vcrypt.tracker.ip.detectProxiedIP
   

2. Nella risposta, confermare che venga visualizzato il valore "value": "true".

   [
      {
        "name": "vcrypt.tracker.ip.detectProxiedIP",
        "value": "true"
      }
   ]
   

3. Se la risposta non è true, effettuare una richiesta PUT utilizzando l'URL riportato di seguito per abilitare il supporto dell'intestazione X-Forwarded-For.

   Put:
   https://129.153.185.7/policy/config/property/v1?propertyName=vcrypt.tracker.ip.detectProxiedIP
   

4. Nella risposta, confermare che venga visualizzato il valore "value": "true".

   [
      {
        "name": "vcrypt.tracker.ip.detectProxiedIP",
        "value": "true"
      }
   ]
   

Eseguire il test della regola di velocità massima del dispositivo

In questa sezione è possibile accedere all'applicazione protetta, eseguire il login a OARM e verificare il funzionamento della regola Velocità massima dispositivo.

1. Avviare un browser e accedere all'applicazione protetta, ad esempio http://oam.example.com:7777/mybank. Poiché questa applicazione è protetta, è necessario essere reindirizzati alla pagina di login OAM. Eseguire il login come nuovo utente user2/<password>. Questo utente si collega a Tamil Nadu, India.

   

   Descrizione dell'immagine oamlogin.PNG

2. Se l'autenticazione riesce, dovrai essere reindirizzati alla pagina dell'applicazione protetta, ad esempio /mybank.

   

   Descrizione dell'immagine mybank.PNG

Monitoraggio della sessione utente

1. Apri un nuovo browser.

2. Accedere alla console di amministrazione OARM. Si viene reindirizzati alla pagina di login OAM in quanto la console è protetta da OAM OAuth. Specificare le credenziali e il login.

3. Fare clic sul menu hamburger Navigazione applicazione in alto a sinistra e fare clic su Monitoraggio sessioni utente. Viene visualizzato il dashboard Sessioni utente.

4. Fare clic sul pulsante di attivazione/disattivazione Includi sessioni riuscite per visualizzare l'elenco dei login riusciti. Il login a user2 avrà esito positivo.

   

   Descrizione dell'immagine useression.PNG

5. Fare clic sul collegamento in ID sessione per questo utente, ad esempio 50018. Viene visualizzata la pagina Sessioni utente - 50018.

6. Nel riquadro Informazioni posizione visualizzare le informazioni indirizzo IP, Paese e Stato per l'utente.

   

   Descrizione dell'immagine sessiondetail.PNG

Convalida funzionamento regola velocità massima dispositivo

In questa sezione viene verificato se la regola Velocità massima dispositivo funziona correttamente. Per stabilire la precisione, eseguire il login alla stessa applicazione bancaria con un indirizzo IP diverso utilizzando lo stesso utente e dispositivo.

1. Avviare un browser e accedere all'applicazione protetta, ad esempio http://oam.example.com:7777/mybank. Eseguire il login allo stesso utente user2/<password> ma con un indirizzo IP diverso. In questo esempio, l'indirizzo IP utilizzato è Tokyo (Giappone).

2. Se il login riesce, verrà reindirizzato all'endpoint OAA, ad esempio: https://oaa.example.com/oaa/authnui. OAA interno passa questa richiesta a OARM, che attiva la regola Frequenza massima dispositivo impostata su Challenge e la pagina della richiesta di verifica viene presentata per l'utente.

   

   Descrizione dell'immagine contestechoice.PNG

3. Si verrà reindirizzati alla pagina E-mail in cui viene richiesto di inserire OTP dal dispositivo di posta elettronica registrato. Nel campo Immettere OTP immettere il passcode monouso inviato all'indirizzo di posta elettronica degli utenti e fare clic su Verifica.

   

   Descrizione dell'immagine emailotp.PNG

4. Se l'autenticazione riesce, dovrai essere reindirizzati alla pagina dell'applicazione protetta, ad esempio /mybank.

   

   Descrizione dell'immagine mybank.PNG

5. Aprire una nuova scheda del browser ed eseguire il login alla console di amministrazione OARM. Specificare le credenziali e il login.

6. Fare clic sul menu hamburger Navigazione applicazione in alto a sinistra e fare clic su Monitoraggio sessioni utente. Viene visualizzato il dashboard Sessioni utente.

7. Fare clic sul pulsante di attivazione/disattivazione Includi sessioni riuscite per visualizzare l'elenco dei login riusciti. Si noteranno i dettagli di login a user2 dallo stesso dispositivo, ma un indirizzo IP diverso.

   

   Descrizione dell'immagine usersession2.PNG

8. Fare clic sul collegamento in ID sessione per questo utente, ad esempio 50019. Viene visualizzata la pagina Sessioni utente - 50019.

9. Nel riquadro Autenticazione utente fare clic su Avvisi per visualizzare il messaggio attivato dall'Avviso all'amministratore. In questo modo, l'utente che ha eseguito il login dal Giappone ha ricevuto una richiesta di verifica ed è stato generato un avviso per l'amministratore.

   

   Descrizione dell'immagine usersession2detail.PNG

Per saperne di più

• Amministrazione di Oracle Advanced Authentication e Oracle Adaptive Risk Management
• Riferimento della Guida di Oracle Fusion Middleware per la console di amministrazione di Oracle Advanced Authentication

Feedback

Per fornire un feedback su questo tutorial, si prega di contattare idm_user_assistance_ww_grp@oracle.com

Riconoscimenti

• Author - Devanshi Mohan

Altre risorse di apprendimento

Esplora altri laboratori su docs.oracle.com/learn o accedi ad altri contenuti per la formazione gratuita sul canale YouTube di Oracle Learning. Inoltre, visitare education.oracle.com/learning-explorer per diventare Oracle Learning Explorer.

Per la documentazione sul prodotto, visitare Oracle Help Center.

---

Titolo e informazioni sul copyright

Configuring a Geo-Velocity Based Use Case in Oracle Adaptive Risk Management

F55504-02

March 2022

Copyright © 2022, Oracle and/or its affiliates.