Oracle Adaptive Risk ManagementでのGeo-Velocityベースのユースケースの構成

イントロダクション

このチュートリアルでは、Oracle Adaptive Risk Management (OARM)で地理速度ベースのユースケースを構成する方法を示します。

地理速度ルールでは、現在の場所と最後にログインした場所の間の距離と時間差に基づいてユーザーを認証できます。この情報は、保護されたリソースへのアクセス権を付与する基準として利用できます。

ジオ速度は通常、最大マイル/時間として計算されます。これにより、特定の期間内に正常にサインインするために、ある場所から別の場所に移動できる時間を判断できます。

ジオロケーション・データを保持することが、ジオスピード・ユース・ケースを実装するための前提条件です。ジオロケーション機能を使用すると、ユーザーの物理的な場所を識別できます。これは通常、ユーザーがログインを試行するために使用しているデバイスのIPアドレスを取得することによって決定されます。このデータは、連続する2つのログイン試行間の距離を計算するために使用されます。

このチュートリアルでは、管理者が「デバイスの最大速度に基づく課題」をすぐに使用できるルールを使用して、このようなタイプの不正ユーザー・アクティビティを検出し、アラートをトリガーし、ユーザーに正常にサイン・インしないようにチャレンジするシナリオを検討します。これは、ジオロケーション・データと組み合せて実行されます。管理者は、「ユーザー・セッション」ダッシュボードを使用して、アラート、アクション、ルールおよびその他のユーザー関連情報を監視できます。

目的

このチュートリアルでは、次の手順を実行します。

  1. すぐに使用可能な「デバイスの最大速度に基づく課題」ルールを使用して、ジオ速度を構成します。
  2. X-Forwarded-Forヘッダーのサポートを有効にします。
  3. 「Device Maximum Velocity」ルールをテストします。
  4. ユーザー・セッションをモニターします。
  5. デバイスの最大速度ルールの動作を検証します。

前提条件

このチュートリアルを開始する前に、次に従う必要があります。

OARMでのGeo-Velocityユースケースの構成

  1. OARM管理コンソールにログインします。コンソールがOAM OAuthによって保護されるため、OAMログイン・ページにリダイレクトされます。資格証明を指定してログインします。

  2. 左上の「アプリケーション・ナビゲーション・ハンバーガー」メニューをクリックし、「Adaptive Risk Management」をクリックします。「ユーザー・アクティビティ」ダッシュボードが表示されます。

  3. 「ユーザー認証」タイルで、「ルール」リンクをクリックします。「ユーザー・アクティビティ・ルール」表示ページが表示されます。

  4. 検索ペインで、関連するテキストを入力して、リスクのあるIPを構成する即時利用可能なすべてのルールをフィルタします(たとえば、velocity)。「デバイスの最大速度に基づく課題」ルールでは、このユースケースに対して構成する必要があることがわかります。

  5. 「デバイスの最大速度に基づく課題」ルールに対して「編集」アイコンをクリックします。

    ノート: 「デバイスの最大速度に基づくチャレンジ」即時利用可能なルールには、指定された時間におけるデバイスの最大速度を評価する条件が関連付けられています。

  6. 「アクションの選択」および「アラートの選択」リストにそれぞれ「チャレンジ」および「デバイスの最大速度」オプションが事前移入されていることを確認します。

    ノート:必要に応じてアクションおよびアラートを構成できます。

  7. Last login Within (Seconds)」および「Miles per Hour」フィールドにそれぞれ 72000および 600が事前入力されていることを確認します。

    ノート:前述のフィールドは、要件に従って構成できます。

  8. Device Maximum Velocityルールで無視するIPアドレスを追加します。管理者の便宜上、Ignore IP Groupグループはすぐに提供されます。

    ノート:このパラメータを使用して、無視するIPのリストを指定できます。ユーザーのIPがこのリストに含まれる場合、この条件は常にfalseと評価されます。たとえば、財務アプリケーションで作業し、VPN間で頻繁に切り替える従業員の場合、このIPアドレスをIPグループを無視します。ユーザーのIPがこのリストに含まれないか、リストがnullまたは空白である場合、条件は、最後のログインからのユーザーまたはデバイスの速度を評価し、速度が構成値を超えている場合はtrueと評価されます。

  9. 「IPグループの無視」で、リストで「IPグループの無視」オプションが選択されている状態で、「IPグループの無視の編集」リンクをクリックして、このルールで無視するIPアドレスを追加します。

  10. 「保存して続行」をクリックします。「IPグループの無視の編集」ページが表示されます。

  11. ルールで無視するIPアドレスのリストを構成するには、次のステップを実行します。

    • 「IPの追加」をクリックします。
    • 「値」フィールドで、IPアドレスを入力します。デモンストレーションでは、IPアドレス192.0.2.254について考えてみます。
    • 「追加」をクリックします。次の図は、Ignore IP Groupに追加されたIPアドレスを示しています。
    • ステップ11aから11cを繰り返して、グループで無視するIPアドレスのリストを追加します。

  12. 「保存」をクリックして、グループを保存します。ルールの編集ページにリダイレクトされます。

  13. 「保存」をクリックしてルールを保存します。「ユーザー・アクティビティ・ルール」ページにリダイレクトされます。

現在は、このルールの実行時に、即時利用可能なデバイスの最大速度に関連付けられた条件が評価されます。この条件が「True」と評価された場合、ルールがトリガーされます。次に、ユーザーは、構成されたファクタに基づいてチャレンジが表示されます。

X-Forwarded-Forヘッダー・サポートの有効化

X-Forwarded-For Headerは、クライアントがHTTPプロキシまたはロード・バランサを介してWebサーバーに接続したときに元のIPアドレスを識別するために使用される事実上の標準バージョンです。

このセクションでは、X-Forwarded-Forヘッダーサポートが有効かどうかを検証します。

  1. 次のURLを使用してGETリクエストを実行します。

    Get:
https://129.153.185.7/policy/config/property/v1?propertyName=vcrypt.tracker.ip.detectProxiedIP

  2. レスポンスで、"value": "true"が表示されることを確認します。

    [
   {
     "name": "vcrypt.tracker.ip.detectProxiedIP",
     "value": "true"
   }
]

  3. レスポンスがtrueでない場合は、次のURLを使用してPUTリクエストを実行し、X-Forwarded-Forヘッダーのサポートを有効にします。

    Put:
https://129.153.185.7/policy/config/property/v1?propertyName=vcrypt.tracker.ip.detectProxiedIP

  4. レスポンスで、"value": "true"が表示されることを確認します。

    [
   {
     "name": "vcrypt.tracker.ip.detectProxiedIP",
     "value": "true"
   }
]

「Device Maximum Velocity Rule」のテスト

この項では、保護されたアプリケーションにアクセスし、OARMにログインし、「Device Maximum Velocity」ルールの動作をテストします。

  1. ブラウザを起動し、保護されたアプリケーション(http://oam.example.com:7777/mybankなど)にアクセスします。このアプリケーションが保護されているため、OAMログイン・ページにリダイレクトする必要があります。新しいユーザーuser2/<password>としてログインします。このユーザーは、インドのタミル・ナドゥからログインします。

    図oamlogin.PNGの説明

  2. 認証が成功した場合、保護されたアプリケーション・ページ(/mybankなど)にリダイレクトする必要があります。

    図mybank.PNGの説明

ユーザー・セッションの監視

  1. 新規ブラウザを起動します。

  2. OARM管理コンソールにログインします。コンソールはOAM OAuthによって保護されるため、OAMログイン・ページにリダイレクトされます。資格証明を指定してログインします。

  3. 左上の「アプリケーション・ナビゲーション」ハンバーガー・メニューをクリックし、「ユーザー・セッションのモニター」をクリックします。「ユーザー・セッション」ダッシュボードが表示されます。

  4. 「成功したセッションを含む」トグル・ボタンをクリックして、成功したログインのリストを表示します。user2ログインが成功したことがわかります。

    図useression.PNGの説明

  5. このユーザーの「セッションID」の下にあるリンク(例: 50018)をクリックします。「ユーザー・セッション- 50018」ページが表示されます。

  6. 「場所情報」ペインで、ユーザーの「IPアドレス」「国」および「状態」の情報を表示します。

    図sessiondetail.PNGの説明

デバイスの最大速度ルールの動作の検証

このセクションでは、「Device Maximum Velocity」ルールが正確に機能しているかどうかを確認します。正確性を確立するには、同じユーザーおよびデバイスを使用して、異なるIPアドレスを持つ同じバンキング・アプリケーションにログインします。

  1. ブラウザを起動し、保護されたアプリケーション(http://oam.example.com:7777/mybankなど)にアクセスします。同じユーザーuser2/<password>として、異なるIPアドレスからログインします。この例では、使用されているIPアドレスは東京(日本)です。

  2. ログインに成功すると、OAAエンドポイント(https://oaa.example.com/oaa/authnuiなど)にリダイレクトされます。内部的にはOAAはこのリクエストをOARMに渡し、これによってChallengeに設定されているデバイス最大速度ルールがトリガーされ、ユーザーのチャレンジ・ページが表示されます。

    図choice.PNGの説明

  3. 登録済のEメール・デバイスからOTPの入力を求められた「Eメール」ページにリダイレクトされます。「OTPの入力」フィールドに、ユーザーの電子メール・アドレスに電子メールで送信されるワンタイム・パスコードを入力し、「検証」をクリックします。

    図emailotp.PNGの説明

  4. 認証が成功した場合、保護されたアプリケーション・ページ(/mybankなど)にリダイレクトする必要があります。

    図mybank.PNGの説明

  5. 新しいブラウザ・タブを開き、OARM管理コンソールにログインします。資格証明を指定してログインします。

  6. 左上の「アプリケーション・ナビゲーション」ハンバーガー・メニューをクリックし、「ユーザー・セッションのモニター」をクリックします。「ユーザー・セッション」ダッシュボードが表示されます。

  7. 「成功したセッションを含む」トグル・ボタンをクリックして、成功したログインのリストを表示します。同じデバイスから user2のログイン詳細が表示されますが、IPアドレスは異なります。

    図usersession2.PNGの説明

  8. このユーザーの「セッションID」の下にあるリンク(例: 50019)をクリックします。「ユーザー・セッション- 50019」ページが表示されます。

  9. 「ユーザー認証」ペインで、「アラート」をクリックして、管理者に対してアラートによってトリガーされたメッセージを表示します。ここでは、日本からログインしたユーザーにチャレンジが提示され、管理者に対してアラートが発生したことを説明します。

    図usersession2detail.PNGの説明

さらに学ぶ

フィードバック

このチュートリアルに関するフィードバックは、idm_user_assistance_ww_grp@oracle.comにお問い合せください

謝辞

その他の学習リソース

他のラボをdocs.oracle.com/learnで探すか、Oracle Learning YouTubeチャネルでより無料の学習コンテンツにアクセスします。また、education.oracle.com/learning-explorerにアクセスしてOracle Learning Explorerになります。

製品のドキュメントは、Oracle Help Centerを参照してください。