Documentação do Oracle Cloud Infrastructure

Gerenciando a verificação contínua da força de trabalho (beta)

Importante

Pre-General Availability: 2023-10-14

Esta documentação está em um status de Pré-disponibilidade Geral (Pré-GA) e destina-se somente a fins de demonstração e uso preliminar. O documento pode não ser específico para o equipamento ("hardware") no qual você está usando o programa de computador ("software"). A Oracle Corporation e suas empresas afiliadas não fornecem quaisquer garantias relacionadas à documentação e estão isentas de qualquer responsabilidade decorrente de perdas, despesas ou danos incorridos no uso desta documentação.

Esta documentação não é um compromisso da Oracle em entregar qualquer material, código, funcionalidade ou serviços. Esta documentação e os programas e serviços Pré-GA da Oracle estão sujeitos a alterações a qualquer momento sem aviso prévio e, portanto, não devem ser considerados na tomada de decisões de compra. O desenvolvimento, a liberação e a data de disponibilidade de quaisquer recursos ou funcionalidades para programas e serviços Pré-GA da Oracle são de critério exclusivo da Oracle. Todas as datas de lançamento ou outras previsões de eventos futuros estão sujeitas a alterações. A disponibilidade futura de qualquer programa ou serviço futuro da Oracle não deverá ser considerada na celebração de qualquer contrato de licença ou de serviço com a Oracle.

Consulte Avisos Legais da Oracle.

Introdução (Beta)

A Verificação de Identidade (IDV) é um processo que valida a identidade real de uma pessoa, comparando seus atributos faciais físicos com documentos de identificação emitidos pelo governo, como passaportes e carteiras de motorista. Isso fornece um alto nível de garantia de que o usuário é quem ele afirma ser.

A Verificação Contínua da Força de Trabalho (CWV) se baseia no IDV, revalidando periodicamente a identidade de um usuário usando biometria facial após a inscrição inicial. Isso garante que a pessoa que acessa aplicativos ou recursos seja o indivíduo que deve acessar o aplicativo ou recurso (e não alguém que tenha adquirido as credenciais), fortalecendo a postura de segurança da sua organização contra impostores e acesso não autorizado.

Este serviço se integra a provedores de verificação de identidade (ou prova de identidade) de terceiros para executar o documento inicial e a verificação de identidade. Depois que a identidade de um usuário é verificada, seus dados biométricos faciais são inscritos no serviço nativo da Oracle para verificações contínuas. Atualmente, a Oracle suporta Daon.

Conceitos (Beta)

Verificação de Identidade (IDV): O processo único de provar a identidade de um usuário comparando uma selfie ao vivo com um documento de ID emitido pelo governo. Isso é feito por meio de um provedor de terceiros.

Biometria Facial: O processo de capturar as características faciais exclusivas de um usuário para criar um modelo biométrico seguro. Este modelo é usado para matrícula inicial e verificações subsequentes. A biometria facial no IAM é um recurso nativo da OCI.

Verificação Contínua da Força de Trabalho (CWV): Uma postura de segurança contínua em que a identidade de um usuário é verificada periodicamente usando biometria facial para garantir que o usuário autorizado ainda seja aquele que opera a conta.

Provedor de Verificação de Identidade: um serviço de terceiros (por exemplo, Daon) integrado ao OCI IAM para lidar com a verificação inicial de identidade verificando documentos emitidos pelo governo.

Detecção de Capacidade de Vida: Tecnologia usada durante varreduras biométricas faciais para garantir que o usuário esteja fisicamente presente e não use uma foto, vídeo ou máscara para falsificar o sistema. Isso envolve prompts como inclinar a cabeça ou piscar.

Inscrição em Linha: Um processo de inscrição que é obrigatório por um administrador e ocorre diretamente no fluxo de acesso. Geralmente, os usuários precisam concluí-lo antes de poder acessar os aplicativos.

Processo Contínuo de Verificação da Força de Trabalho

O processo envolve duas personas principais:

  • Administradores: Configure provedores de Verificação de Identidade e configure políticas de Verificação Contínua da Força de Trabalho que definam quando e com que frequência os usuários devem verificar sua identidade.
  • Usuários: Inscreva-se no serviço verificando sua identidade com um ID emitido pelo governo e seu rosto. Posteriormente, eles concluem verificações biométricas faciais periódicas, conforme definido pelo administrador.

Fluxo de trabalho de administradores (beta)

  1. Um administrador da Example Inc. primeiro estabelece um relacionamento comercial com um provedor de verificação de identidade suportado, como Daon.
  2. Na Console do OCI, o administrador navega até o Domínio de Identidades, configura o Daon como um provedor de verificação de identidades usando credenciais como ID e segredo do cliente e o ativa.
  3. Em seguida, o administrador cria uma política de Verificação Contínua da Força de Trabalho e adiciona uma regra que especifica quais grupos de usuários são afetados.
  4. Na regra, o administrador habilita a biometria facial e define a frequência para verificações periódicas (por exemplo, a cada 7 a 14 dias) e rematrícula (por exemplo, a cada 6 a 12 meses).

A Oracle recomenda a combinação de Verificação de Identidade e Biometria para garantia de identidade aprimorada. No entanto, cada recurso é opcional e pode ser usado separadamente. Os administradores têm a flexibilidade de configurar a Verificação Contínua da Força de Trabalho com Verificação de Identidade e Biometria Facial, ou apenas com Biometria Facial de acordo com as necessidades específicas de sua organização. Quando a verificação de identidade e a biometria facial estiverem habilitadas para inscrição em linha, o processo IDV será solicitado primeiro, seguido pela verificação biométrica.

Os administradores também têm a opção de especificar a inscrição como uma opção em linha obrigatória ou um recurso que os usuários podem ignorar e definir configurações, como frequência de verificação.

Fluxo de trabalho do usuário final (beta)

  1. Inscrição Inicial: Um funcionário, John, é solicitado a se inscrever em linha após a autenticação (se a política de Verificação Contínua da Força de Trabalho estiver configurada para inscrição em linha) ou em Meu Perfil. Este é um processo único.
    1. Verificação de identidade: um código QR aparece na tela do computador de John. Ele faz a varredura com seu smartphone para iniciar o processo de verificação de identidade com Daon. Ele tira uma selfie ao vivo e depois escaneia seu documento de identidade emitido pelo governo. Daon valida a autenticidade do documento e confirma que a selfie corresponde à foto no documento.
    2. Inscrição biométrica: John é redirecionado de volta para o navegador do seu computador. Ele é solicitado a posicionar seu rosto em um quadro e completar instruções aleatórias de vida, como inclinar a cabeça. O sistema captura os dados faciais, cria um modelo biométrico e os armazena com segurança para concluir a inscrição.
  2. Verificação em andamento: Duas semanas depois, quando John acessa um aplicativo, ele se conecta com suas credenciais padrão. Imediatamente depois, a VCC inicia um desafio biométrico facial. Ele posiciona seu rosto, completa um instante de vida e o sistema valida sua identidade contra o modelo armazenado, concedendo-lhe acesso.

Caso de uso: Exemplo de como o Example Inc aproveita o IDV e o CWV (beta)

Esse caso de uso destaca como a Example Inc aproveita a Daon, fornecedora de verificação de identidade, para verificação contínua da força de trabalho (CWV). Um administrador configura o IAM para integração com o provedor de verificação de identidade e cria políticas contínuas de verificação da força de trabalho para verificação periódica de usuários. A Employee of Example Inc. verifica a identidade com um ID emitido pelo governo, se inscreve em biometria facial e é verificada novamente por meio de verificações periódicas de identidade.

Configuração de administração (beta)

  1. Um administrador da Example Inc. navega até o Domínio de Identidades e configura um provedor de verificação de identidade, Daon.
  2. O administrador informa as credenciais fornecidas pelo fornecedor (id do cliente, segredo do cliente, URL de descoberta), mapeia as Reivindicações suportadas com atributos de domínio de identidades e seleciona Criar. O provedor de verificação de Identidade é criado. Em seguida, o administrador ativa o provedor de verificação de identidade.
  3. O administrador cria uma política de verificação contínua da força de trabalho e cria uma regra. Na regra, o administrador define os pré-requisitos no campo de condições, com a chave de acesso como o primeiro fator de autenticação e o Oracle Mobile Authenticator (OMA) como o segundo fator e seleciona os grupos de usuários que são avaliados pela regra.
  4. O administrador do Example Inc. então ativa a biometria facial, programa verificações biométricas faciais em intervalos aleatórios entre 7 e 14 dias e frequência de rematrícula entre 6 e 12 meses.
  5. O administrador ativa a verificação de identidade e seleciona o provedor criado na etapa 2.
  6. Uma vez definida, a política será aplicada no domínio de identidades para os usuários que atenderem às condições especificadas na regra.

Inscrição do usuário (beta)

  1. Um funcionário, John, recebe um email informando-o sobre o novo requisito. Ele se inscreve com seu primeiro e segundo fator e é solicitado a se inscrever com Biometria. Se não for solicitado a se inscrever em biometria durante o sign-in, o usuário se conectará a Meu Perfil de Login e selecionará Inscrever com biometria.
  2. O usuário revisa e aceita os termos e condições.

  3. Verificação de Identidade

    1. Um código QR aparece na tela do computador. John faz a varredura com seu smartphone, que inicia a verificação de identidade com Daon. Dependendo da configuração da Daon, John pode ser solicitado a fazer download do aplicativo Daon ou de um aplicativo fornecido pela Example Inc. para concluir a verificação de identidade.
    2. John tira uma selfie ao vivo. Daon verifica a selfie do usuário quanto à vivacidade.
    3. Ele então escaneia sua identidade emitida pelo governo usando seu telefone. Daon valida a autenticidade do documento e confirma que a selfie corresponde à foto no documento.
    4. Uma mensagem de sucesso indica que sua identidade foi verificada.

  4. Inscrição em Biometria Facial

    1. John é redirecionado de volta para o navegador do seu computador.
    2. O navegador solicita acesso à sua webcam. Ele é solicitado a posicionar o rosto em um quadro e completar os prompts aleatórios de vivacidade, como inclinar a cabeça do usuário para cima, para a direita e para a esquerda. Essas etapas protegem contra ataques de falsificação e repetição.
    3. O sistema captura seus dados faciais, cria um modelo biométrico e os armazena com segurança. Sua inscrição está concluída.

Verificação contínua da força de trabalho (beta)

  1. Uma vez inscrito, a verificação biométrica facial periódica ocorre perfeitamente em segundo plano. Por exemplo, duas semanas depois, ao acessar um aplicativo empresarial, John conclui o log-in de chave de acesso padrão seguido pelo Oracle Mobile Authenticator (OMA) como segundo fator.
  2. Imediatamente depois, a VCC inicia um desafio de verificação biométrica facial. John posiciona seu rosto dentro do quadro, completa um prompt aleatório de vivacidade e o sistema valida sua identidade contra o modelo biométrico armazenado com segurança.
  3. John recebe acesso ao aplicativo. O evento de verificação é registrado para fins de auditoria.