Oracle Adaptive Risk Managementでのカスタム・アクティビティを構成するユース・ケース

イントロダクション

このチュートリアルでは、Oracle Adaptive Risk Management (OARM)でカスタム・アクティビティのユース・ケースを構成する方法を示します。

即時利用可能なユーザー認証アクティビティに加えて、顧客は独自のカスタム・アクティビティを作成し、そこから収集された情報を使用してルールを作成できます。ルールは、ビジネス・ニーズに応じてカスタマイズされます。これらのルールは、トランザクション的な性質があり、ビジネスは関心を持つユーザー・アクティビティの様々な側面を監視します。カスタム・アクティビティの例には、インターネット・バンキングやバンキング・アプリケーションでの料金の支払があります。支払に関連する金額やユーザー情報などの情報を使用するルールを追加して、不正送金を識別できます。

このチュートリアルでは、ユーザーがオンラインで購入するカスタム・アクティビティを管理者がモニターするシナリオを検討します。最初のショッピング・トランザクションの価値が$500を超える場合、ユーザーはトランザクションを続行できます。ただし、ユーザーが最初の購入から5分以内に2番目のオンライン・トランザクションを実行し、$500を超えると、ユーザーはブロックされます。管理者は、「ユーザー・セッション」ダッシュボードから、アラート、アクション、ルールおよびその他のユーザー関連情報をモニターできます。

目的

このチュートリアルでは、次のタスクを実行します。

1. OARMでカスタム・アクティビティを構成します。
2. OAAリスクREST APIを使用してルールをテストします。
3. 条件を更新して、ルールの動作をテストします。
4. ユーザー・セッションを監視します。

前提条件

このチュートリアルを開始する前に、次のことを実行する必要があります。

• 実行中のOracle Advanced Authentication (OAA)およびOARMインスタンス。OAAおよびOARMのインストール方法の詳細は、Oracle Advanced AuthenticationおよびOracle Adaptive Risk Managementの管理を参照してください。
• チュートリアル「Oracle Access ManagementとOracle Advanced Authenticationの統合」に従います。
• ネイティブPostmanクライアントv8.0.6以降がインストールされています。
• JSONファイル: Oracle_Adaptive_Risk_Management_Rest_API.postman_collection.json、Oracle_Advanced_Authentication_Example_Environment.postman_environment.json

OARMでのカスタム・アクティビティの構成

クレジット・カード・アクティビティのカスタム・アクティビティを構成するには、次のステップを実行します。

クレジット・カード活動のカスタム活動の作成

1. OARM管理コンソールにログインします。コンソールはOAM OAuthで保護されているため、OAMログイン・ページにリダイレクトされます。資格証明およびログインを指定します。

2. 左上にある「アプリケーション・ナビゲーション」ハンバーガ・メニューをクリックします。

3. 「Adaptive Risk Management」で、「カスタム・アクティビティ」をクリックします。「カスタム・アクティビティ」ページが表示されます。

4. 「新規アクティビティの作成」をクリックします。

   

5. [新規カスタム活動]ページの1。「アクティビティの説明」ペインに、次のように入力します。

   • このアクティビティの名前を入力します: カスタム・アクティビティの名前を指定してください。たとえば、「クレジット・カード活動」です。
   • 説明: カスタム・アクティビティの説明を指定します。たとえば、「クレジット・カード活動」です。
   • 「次」をクリックします。

   

6. 2監視対象のアクターを指定しますペインで、「次へ」をクリックします。

   ノート:このユースケースでは、アクターは選択されません。モニターするアクターの指定方法の詳細は、Oracle Advanced Authentication管理コンソールのヘルプ・リファレンスを参照してください。

   

7. 3モニターするアクティビティ詳細の指定セクション、「詳細の追加」をクリックして、次の情報を入力します。

   • 名前: アクティビティ詳細の名前を指定します。この例では、アイテム価格は、このカスタム・アクティビティ・ユース・ケースが顧客が購入したアイテムの価格に関連付けられているために使用されます。
   • 摘要: 活動詳細の摘要(購買品目価格など)を指定します。
   • 必須: トグル・ボタンを使用して、要素が必須であるかどうかを指定します。これにより、OARMに入ってくるすべてのトランザクションに対して価格情報が提供されます。
   • データ型: 属性のデータ型を「数値」として指定します。
   • 暗号化済: トグル・ボタンを使用して、要素を暗号化するかどうかを指定します。暗号化は文字列データ・フィールドに対してのみ使用されます。その他のデータ・フィールドは暗号化する必要はありません。この例では、暗号化されないままにします。
   • 「OK」をクリックします

   

   アイテム価格の右側にある「マップ」アイコンをクリックして、次のようにソース・データを指定します。

   • ソース・データ: ソース・データとは、保護されたアプリケーションから取得される、トランザクションの一部であるクライアント・データのことです。たとえば、transaction.priceです。
   • マッピング・タイプ: これは、ソース・データを宛先データとアクタに接続する方法を指定します。ソース・データ要素から宛先データ要素への1対1のマッピングが必要なため、「直接」を選択します

   

   • 「OK」をクリックします
   • 「完了」をクリックします。

8. 「保存して続行」をクリックして、カスタム・アクティビティの作成を確認します。

   

アラート・グループの作成

1. 左上にある「アプリケーション・ナビゲーション」ハンバーガ・メニューをクリックし、「Adaptive Risk Management」で「グループの管理」をクリックします「新規グループの作成」をクリックします。

2. 「新規グループ」ページで、次のように新しいアラート・グループを作成します。

   • Group Name: Purchased Item Exceeds Limitなどのグループ名を指定します。
   • グループ・タイプ: グループ・タイプを「アラート」として指定します。
   • グループ摘要: 「購買価格が$500を超える場合はアラート」など、グループの説明を指定します。
   • 「作成」をクリックします。

   

3. 「購入済アイテムが制限を超えています」ペインで、「アラートの追加」を選択します:

   

4. 「値の追加」ペインで、次の値を入力し、「追加」をクリックします。

   • アラート・タイプ: アラート・タイプを「不正」に指定します。
   • アラート・レベル: アラート・レベルを「高」に指定します。
   • アラート・メッセージ: 「購入価格が制限を超えています」としてアラート・メッセージを指定します。

   

5. アラートがアラート・グループに追加されました。

   

6. 「保存」をクリックします。

クレジット・カード活動ルールの構成

1. 左上の「アプリケーション・ナビゲーション」ハンバーガー・メニューをクリックし、「適応Risk Management」をクリックして、ダッシュボードにアクティビティのリストを表示します。

   

2. 「クレジット・カード・アクティビティ」タイルで、「0ルール」リンクをクリックします。「ユーザー・アクティビティ」ページが表示されます。

3. 「ユーザー・アクティビティ」ページで、「新規ルールの追加」をクリックします。

   

4. 「新規ルールの追加」ページで、次の情報を入力します。

   • 名前: ルールの名前(クレジット・カード・アクティビティなど)を指定します。
   • 説明: ルールの説明を指定します。たとえば、購買価格が$500を超えているかどうかを確認します。
   • ステータス: トグル・ボタンを使用してルールを有効にします。
   • アクションの選択: ルールに関連付けるアクションを選択します。たとえば、このユース・ケースではブロックです。
   • アラートの選択: ルールが評価されたときにトリガーするアラートを選択します。たとえば、「購入アイテムが制限を超えています」などです。

   

5. 同じウィンドウで、トグル・ボタンを使用して「拡張条件の表示」を選択します。

6. 「検索条件」リストから「フィルタ条件を使用したトランザクション数の確認」を選択し、「条件の追加」をクリックします。条件が下に表示されます。次のように情報を入力します。

   • 棚卸するトランザクションの選択: クレジット・カード活動
   • 件数の指定条件: 次以上
   • カウントに指定されたチェック値: 1
   • トランザクション・ステータス: 空のままにします
   • 現在のトランザクションを件数で無視: True
   • 同じユーザーの場合: True
   • 現在のトランザクションにフィルタ・チェックを適用: True
   • 期間: 5
   • 期間タイプ: ローリング
   • 期間単位: 分

   

7. 「保存」をクリックします。ルールが表示されます。

1. 「ユーザー・アクティビティ」画面で、「クレジット・カード・アクティビティ・ルールに基づくブロック」の「編集」ボタンをクリックします。

2. 画面の下部で、「フィルタの追加」をクリックし、次の情報を入力します。

   • 属性: 品目価格
   • 比較: 次より大きい
   • 値: 500

   

   • 「保存」をクリックします。

3. 左上にある「アプリケーション・ナビゲーション」ハンバーガ・メニューをクリックし、「Adaptive Risk Management」の下にある「カスタム・アクティビティ」を選択します。

4. トグル・ボタンを選択して、「クレジット・カード活動ルールの確認」を有効にします。

   

5. 左上の「アプリケーション・ナビゲーション」ハンバーガー・メニューをクリックし、「適応Risk Management」をクリックして、ダッシュボードにユーザー・アクティビティのリストを表示します。カスタム・アクティビティに関連付けられたルールが表示されます。

   

   認証フロー時に、このルールが実行されると、ルールに関連付けられているフィルタ条件を使用したトランザクション数の確認条件が評価されます。この条件がTrueに評価されると、ルールがトリガーされます。その結果、ユーザーはブロックされます。

OAAリスクREST APIを使用したクレジット・カード活動ルールのテスト

この項では、OAAリスクRest APIを使用してクレジット・カード・アクティビティのチェック・ルールをテストします。

OARM Postmanコレクションのインストール

Postmanでの環境パラメータの設定

1. Postmanを開き、「ファイル」→「インポート」を選択します。

2. 「インポート」ダイアログ・ボックスの「ファイル」タブで、「ファイルのアップロード」を選択します。Oracle_Advanced_Authentication_Example_Environment.postman_environment.jsonを選択し、「開く」をクリックします。

3. 左側のメニューで、「環境」をクリックします。

4. 「Oracle Advanced Authenticationサンプル環境」の右側にある環境リストで、省略記号をクリックしてから「複製」をクリックします。

   

5. 元の環境の上に表示される「Oracle Advanced Authentication環境コピーの例」で、省略記号をクリックしてOracle Advanced Authentication Environment for REST APIsに変更します。

6. 「初期値」および「現在値」に次の値を入力して、新しい環境の環境変数を更新します。完了したら、タブの「保存」、「X」の順にクリックして閉じます。

   • oaa-admin: Oracle Advanced Authenticationのホスト名および管理ポート(https://oaa.example.comなど)。
   • oaa-policy: Oracle Advanced Authenticationのホスト名とポリシー・ポート(https://oaa.example.comなど)。
   • oaa-runtime: Oracle Advanced Authenticationのホスト名とランタイム・ポート(https://oaa.example.comなど)。
   • RELEASENAME: Oracle Advanced Authentication設定に割り当てられたRELEASENAME (oaainstallなど)。これは、OAAのインストール時にcommon.deployment.nameに渡される値です。
   • oaapolicyapikey: Oracle Advanced Authentication設定のoaapolicyapikey (a5764d4ef6b71129f38a2d8ddc88b6060653d3c8など)。これは、OAAのインストール時にinstall.global.policyapikeyに渡される値です。
   • oaaapikey: Oracle Advanced Authentication設定のoaaapikey (a5764d4ef6b71129f38a2d8ddc88b6060653d3c8など)。これは、OAAのインストール時にinstall.global.uasapikeyに渡される値です。
   • KBA: Oracle Advanced Authentication設定のKBAユーザー名(OAAINSTALL_OAA_KBAなど)。これは値<RELEASENAME>_OAA_KBAを取得し、大/小文字を区別します。
   • oaafactorapikey: Oracle Advanced Authentication設定のoaafactorapikey (a5764d4ef6b71129f38a2d8ddc88b6060653d3c8など)。これは、OAAのインストール時にinstall.global.factorsapikeyに渡される値です。
   • oaa-risk: Oracle Advanced Authenticationのホスト名とリスク・ポート(https://oaa.example.comなど)。
   • oaariskapikey: Oracle Advanced Authentication設定のoaaapikey (a5764d4ef6b71129f38a2d8ddc88b6060653d3c8など)。これは、OAAのインストール時にinstall.global.riskapikeyに渡される値です。

   ノート: oaa-admin、oaa-policy、oaa-runtime (spui)およびoaa-riskのURLがわからない場合は、「デプロイメント詳細の印刷」を参照してください。

   環境は次のようになります。

   

7. 「環境」ドロップダウン・リストをクリックし、リストから更新された環境を選択します。

   

Postmanコレクションをインポートする

1. Oracle Adaptive Risk Management REST API Postmanコレクションをインポートするには、Postmanメイン・ページで「ファイル」→「インポート」を選択します。

2. 「インポート」ダイアログ・ボックスの「ファイル」タブで、「ファイルのアップロード」を選択します。ファイルOracle_Adaptive_Risk_Management_Rest_API.postman_collection.jsonを選択し、「開く」、「インポート」の順にクリックします。

   左側のメニューで「コレクション」をクリックします。コレクションは次のように表示されます。

   

クレジット・カード活動ルールのテスト

このカスタム・アクティビティを実行時に実行するには、次のAPIを実行する必要があります。

ユーザー・アクティビティIDの取得

クレジット・カード活動に関連付けられたユーザー活動IDを取得します:

1. Postmanの「コレクション」タブで、「Oracle Adaptive Risk Management REST API」→「ユーザー・アクティビティ」にナビゲートします。

2. 「ユーザー・アクティビティの取得」を選択します。このリクエストは、/policy/risk/v1/user-activitiesエンドポイントに対してGETリクエストを行い、クレジット・カード・アクティビティに関連付けられたユーザー・アクティビティIDを取得します。「送信」をクリックします。

   

3. レスポンスで、Status: 200 OKが表示されることを確認します。レスポンス本文から、クレジット・カード・アクティビティの値をテキスト・ファイルにコピーします。トランザクションでは、後でこれが必要になります。

   

ユーザーのセッションの作成

次のように、ユーザーのセッションを作成します。

1. Postmanの「コレクション」タブで、「Oracle Adaptive Risk Management REST API」→「セッション/v1」→「(リクエストID)」にナビゲートします。

2. 「ユーザー認証リクエストの新規セッションの作成」を選択します。このリクエストは、risk-analyzer/session/v1エンドポイントに対してPOSTリクエストを行います。本文で、本文内の情報をユーザーと環境にあわせて編集します。次の例では、defaultグループにtestuserのセッションを作成するようにリクエストしています。本文内の残りのパラメータの設定方法の詳細は、次のスクリーンショット右上にあるドキュメント・アイコンをクリックします。

   

3. レスポンス本文で、Status: 200 OKが表示されることを確認します。requestIDの値をテキストファイルにコピーします。この値は、後でトランザクションを作成するために必要になります。

   

ユーザーのトランザクションの作成

次のように、ユーザーのトランザクションを作成します。

1. Postmanの「コレクション」タブで、「Oracle Adaptive Risk Management REST API」→「transaction/v1」にナビゲートします。

2. 「新規トランザクションの作成」を選択します。このリクエストは、/risk-analyzer/transaction/v1エンドポイントに対してPOSTリクエストを行います。本文で、requestIDの値を前のステップでコピーした値に置き換え、「送信」をクリックします。

   

   ノート:前述の本文テキストでは、「キー」transaction.priceを確認します。このフィールドは、「クレジット・カード活動のカスタム活動の作成」のステップ7で作成したマッピングで定義されます。ここでは、$500制限セットを超える$700の値を設定します。

3. レスポンスで、Status: 200 OKが表示されることを確認します。レスポンス本文から、テキスト・ファイル内のtransactionIdの値(5)をコピーします。この値は、ルールを実行する次のステップで必要になります。

   

ルールを処理する

トランザクションのルールを次のように処理します。

1. Postmanの「コレクション」タブで、「Oracle Adaptive Risk Management REST API」→「transaction/v1」にナビゲートします。

2. 「プロセス・ルール」を選択します。このリクエストは、/risk-analyzer/risk/v1エンドポイントに対してPUTリクエストを行います。

   APIコールで次の値を置換し、「送信」をクリックします。

   • CheckpointList: 「ユーザー・アクティビティIDの取得」でクレジット・カード・アクティビティに対して取得した値を指定します(例: 1600)。
   • transactionId: 「ユーザー**のトランザクションの作成」で作成したトランザクションの値(**5など)を指定します。
   • requestID: 「ユーザーのセッションの作成」で取得した値を指定します。

   

3. レスポンス本文では、resultは空白です。これは、Allowを意味し、ユーザーは最初の試行時にトランザクションを続行できます。

   

   ノート:価格値が$700の場合でも、ユーザーは最初の試行でトランザクションを続行できます。これは、ルールに関連付けられた条件に従って、「カウント中の現在のトランザクションの無視」が「True」に設定されているためです。これは、ユーザーが$500を超える価格のトランザクションを初めて試行すると、価格値は無視され、ユーザーはトランザクションを続行できることを意味します。

セッションを成功として更新

ノート: この項のステップは、セッションをSuccessとしてマークする場合です。アプリケーション要件に応じて、セッションを適宜更新できます。可能な値を表示するには、Postmanコレクションの/policy/config/property/v1?propertyName=auth.status.enum.*に対してGETを実行します。

1. セッションをSuccessとして更新します。Postmanの「コレクション」タブで、「Oracle Adaptive Risk Management REST API」→「セッション/v1」→「(リクエストID)」にナビゲートします。「既存のセッションの詳細の更新」を選択します。

   APIコールの本文で次の値を置換し、「送信」をクリックします。

   • authenticationStatus: 成功したセッションを示すには、0に設定します。
   • requestId: 「ユーザーのセッションの作成」で取得した値を指定します。

   

2. レスポンス本文で、Status: 200 OKが表示されることを確認します。

   

同じユーザーの別のセッションの作成

1. 5分以内に2番目のトランザクションを実行するために、同じユーザーに対して別のセッションを作成します。レスポンス本文からリクエスト本文に次のフィールドに入力し、「送信」をクリックします。

   • cookieType:4: 元のセッション作成レスポンス本文から、digitalCookieの値をコピーし、cookieType:4リクエスト本文に貼り付けます。
   • cookieType:1: 元のセッション作成レスポンス本文から、secureCookieの値をコピーし、cookieType:1リクエスト本文に貼り付けます。

   

2. レスポンス本文から、requestIDの値をテキスト・ファイルにコピーします。トランザクションを作成するには、この値が必要です。

   

ユーザーの別のトランザクションの作成

1. ユーザーの2番目のトランザクションを作成するには、次を実行します。

   • requestIDを前のステップでコピーした値に置き換えます。
   • 「送信」をクリックします。

   

2. レスポンス本文から、テキスト・ファイル内のtransactionIdの値(6)をコピーします。この値は、ルールを実行する次のステップで必要になります。

   

2番目のトランザクションのルールの処理

1. APIコールのリクエスト本文で次の値を置換して、2番目のトランザクションのルールを処理し、「送信」をクリックします。

   • transactionId: 前のステップで作成した2番目のトランザクションIDの値(6など)を指定します。
   • requestID: ステップ5で2番目のセッションの作成時に取得した値を指定します。

   

2. レスポンス本文では、結果の値は「ブロック」です。条件に従って、価格値が$500より大きく、トランザクション数が1より大きい場合は、ユーザーをブロックする必要があります。アラート・メッセージが関連するアラート・グループから返されることに注意してください。

   

条件の更新によるルールの動作のテスト

この項では、ユーザーが最初の時間に$500を超えるトランザクションを作成しようとした場合に、ユーザーをブロックする条件基準を更新します。このシナリオでは、別のユーザーtestuser2がトランザクションを実行します。

1. ブラウザを起動し、OARM管理コンソールにログインします。資格証明およびログインを指定します。

2. 左上にある「アプリケーション・ナビゲーション」ハンバーガ・メニューをクリックし、「Adaptive Risk Management」をクリックします。「モニター対象ユーザー・アクティビティ」ページが表示されます。

3. 「クレジット・カード・アクティビティ」タイルで、「1ルール」リンクをクリックします。「ユーザー・アクティビティ」ページが表示されます。

   

4. 「ユーザー・アクティビティ」ページで、ルールに対する「編集」アイコンをクリックします。

   

5. 「条件」セクションで、「カウント中の現在のトランザクションの無視」を「False」に更新し、「保存」をクリックします。

   

6. Postmanコレクションの「セッションの作成」で、新しいユーザーtestuser2用に別のセッションを作成します。「送信」をクリックします。

   

7. レスポンス本文から、requestIDの値をテキスト・ファイルにコピーします。トランザクションを作成するには、この値が必要です。

   

8. ユーザーのトランザクションを作成するには、「トランザクションの作成」で次を実行します。

   • requestIDを前のステップでコピーした値に置き換えます。
   • 「送信」をクリックします。

   

9. レスポンス本文から、transactionIdの値(7)をテキスト・ファイルにコピーします。この値は、ルールを実行する次のステップで必要になります。

   

10. プロセス・ルールAPIコールのリクエスト本文で次の値を置き換えて、このトランザクションのルールを処理します。「送信」をクリックします。

    • transactionId: 前のステップ9で作成したトランザクションIDの値(7など)を指定します。
    • requestID: 前のステップでセッションの作成時に取得した値を指定します。

    

11. レスポンス本文で、結果の値(ブロック)を検証します。条件に従って、価格値がトランザクション件数1で$500より大きい場合、ユーザーをブロックする必要があるため、ユーザーは最初の試行でトランザクションを続行できません。

    

ユーザー・セッションのモニター

1. 新しいブラウザを起動します。

2. OARM管理コンソールにログインします。コンソールはOAM OAuthで保護されているため、OAMログイン・ページにリダイレクトされます。資格証明およびログインを指定します。

3. 左上にある「アプリケーション・ナビゲーション」ハンバーガ・メニューをクリックし、「ユーザー・セッションのモニター」をクリックします。「ユーザー・セッション」ダッシュボードが表示されます。「成功したセッションを含める」トグル・ボタンをクリックして、成功したログインと失敗したログインのリストを表示します。

   

   次の点に注意してください。

   • testuserの情報: ユーザーの最初のトランザクションが成功しました。ユーザーが2番目のトランザクションを実行すると、ユーザーはブロックされました。デバイスID (85)は、両方のトランザクションで同じであることに注意してください。これは、このトランザクションの実行中にdigitalCookieおよびsecureCookieをコピーしたためです。これにより、ユーザーのデバイス情報をモニターできます。
   • testuser2の情報: ユーザーの最初のトランザクションがブロックされました。

4. タスク2で作成したtestuser2 (例: 90)の「セッションID」の下のリンクをクリックします。「ユーザー・セッション- 90」ページが表示されます。アクションが「ブロック」であることが表示されます。

   

さらに学ぶ

• Oracle Advanced AuthenticationおよびOracle Adaptive Risk Managementの管理
• Oracle Fusion Middleware Oracle Advanced Authentication管理コンソールのヘルプ・リファレンス

フィードバック

このチュートリアルに関するフィードバックを提供するには、idm_user_assistance_ww_grp@oracle.comに連絡してください

謝辞

• 著者 - Russ Hodgson

その他の学習リソース

docs.oracle.com/learnで他のラボを確認するか、Oracle Learning YouTubeチャネルで無料のラーニング・コンテンツにアクセスしてください。また、education.oracle.com/learning-explorerにアクセスして、Oracle Learning Explorerになります。

製品ドキュメントについては、Oracle Help Centerを参照してください。

---

タイトルおよび著作権情報

Configuring a Custom Activity Use Case in Oracle Adaptive Risk Management

F55513-02

Copyright ©2025, Oracle and/or its affiliates.