Documentação do Oracle Cloud Infrastructure

Gerenciando o Identity Assurance

Use a Verificação de Identidade e a Biometria Facial para garantir que um usuário seja quem ele afirma ser antes de acessar os recursos da empresa.

Introdução

Verificação de Identidade (IDV): O processo único de validar a identidade do mundo real de um usuário combinando uma selfie ao vivo com um ID emitido pelo governo (por exemplo, um passaporte ou carteira de motorista). O IDV é executado por um provedor de verificação de identidade de terceiros suportado e oferece um alto nível de garantia de que o usuário é quem ele afirma ser.

Biometria Facial: O processo aproveita a captura das características faciais exclusivas de um usuário para criar um modelo biométrico seguro. Este modelo é usado para matrícula inicial e verificações subsequentes. A biometria facial no OCI IAM é um recurso nativo do OCI.

Identity Assurance: Combina IDV e biometria facial. Após a verificação de identidade inicial (IDV), o sistema reverifica periodicamente a identidade de um usuário usando a biometria facial. Essas verificações confirmam que a pessoa que usa as credenciais é o usuário inscrito, não alguém que obteve as credenciais. Esse processo reduz o risco de personificação e acesso não autorizado e fortalece a postura de segurança da sua organização.

Este serviço se integra a provedores de verificação de identidade (ou prova de identidade) de terceiros para executar o documento inicial e a verificação de identidade. Após a verificação da identidade de um usuário, seus dados biométricos faciais são inscritos no serviço nativo da Oracle para verificações contínuas.
Observação

Suportamos provedores de verificação de terceiros, como Daon e CLEAR.

Conceitos

Provedor de Verificação de Identidade: Oferecemos suporte a provedores de verificação de terceiros, como Daon e CLEAR, para a verificação de identidade inicial no IAM usando documentos emitidos pelo governo.

Detecção de Vida: Tecnologia usada durante varreduras biométricas faciais para garantir que o usuário esteja fisicamente presente e não use uma foto, vídeo ou máscara para falsificar o sistema. Isso envolve prompts como inclinar a cabeça ou piscar.

Inscrição em Linha: Um processo de inscrição que pode ser obrigatório por um administrador e ocorre diretamente no fluxo de acesso. Normalmente, os usuários autorizados são obrigados a concluí-lo antes de poder acessar os aplicativos.

Processo do Identity Assurance

O processo envolve duas personas principais:

  • Administradores: Configure provedores de Verificação de Identidade e configure políticas do Identity Assurance que definam quando e com que frequência os usuários devem verificar sua identidade.
  • Usuários: Inscreva-se no serviço verificando sua identidade com um ID emitido pelo governo e inscrevendo sua biometria facial no IAM. Posteriormente, eles concluem verificações biométricas faciais periódicas, conforme definido pelo administrador.

Workflow de Administradores

  1. Um administrador da Example Inc. primeiro estabelece um relacionamento comercial com um provedor de verificação de identidade de terceiros suportado.
  2. Na Console do OCI, o administrador navega até o Domínio de Identidades, configura o provedor de verificação de identidades de terceiros usando credenciais como ID e segredo do cliente e o ativa.
  3. Em seguida, o administrador cria uma política do Identity Assurance e adiciona uma regra que especifica quais grupos de usuários são afetados.
  4. Na regra, o administrador habilita a biometria facial e define a frequência para verificações periódicas (por exemplo, a cada 7 a 14 dias) e rematrícula (por exemplo, a cada 6 a 12 meses).

Recomendamos combinar Verificação de Identidade e Biometria para maior garantia de identidade. No entanto, cada recurso é opcional e pode ser usado separadamente. Os administradores têm a flexibilidade de configurar o Identity Assurance com Verificação de Identidade e Biometria Facial, ou apenas com Biometria Facial de acordo com as necessidades específicas de sua organização. Quando a verificação de identidade e a biometria facial estiverem habilitadas para inscrição em linha, o processo IDV será solicitado primeiro, seguido pela verificação biométrica.

A garantia de identidade acontece após a autenticação e pode ser usada para verificação de identidade, mesmo que você esteja federado com um provedor de identidade externo de terceiros, como o Azure.

Os administradores também têm a opção de especificar a inscrição como uma opção em linha obrigatória ou um recurso que os usuários podem ignorar e definir configurações, como frequência de verificação.

Workflow do Usuário Final

  1. Inscrição Inicial: Um funcionário, John, é solicitado a se inscrever em linha após a autenticação (se a política do Identity Assurance estiver configurada para inscrição em linha) ou em Meu perfil. Este é um processo único.
    1. Verificação de Identidade: Um código QR aparece na tela do computador de John. Ele faz a varredura com seu smartphone para iniciar o processo de verificação de identidade com o provedor de verificação de identidade de terceiros configurado, por exemplo. Ele tira uma selfie ao vivo e depois escaneia seu documento de identidade emitido pelo governo. O provedor de verificação de identidade de terceiros configurado valida a autenticidade do documento e confirma se a selfie corresponde à foto no documento.
    2. Inscrição Biométrica: John é redirecionado de volta ao navegador da Web de seu computador. Ele é solicitado a posicionar seu rosto em um quadro e completar prompts aleatórios de vivacidade, o que envolve alinhar seu nariz com pontos aleatórios. O sistema captura os dados faciais, cria um modelo biométrico e os armazena com segurança para concluir a inscrição.
  2. Verificação em Andamento: Duas semanas depois, quando John acessa um aplicativo, ele se conecta com suas credenciais padrão. Imediatamente depois, o Identity Assurance inicia um desafio biométrico facial. Ele posiciona seu rosto, completa um instante de vida e o sistema valida sua identidade contra o modelo armazenado, concedendo-lhe acesso.

Caso de Uso: Exemplo de como a Example Inc aproveita o IDV e o Identity Assurance

Este caso de uso usa a Daon para destacar como a Example Inc aproveita o fornecedor de verificação de identidade Daon para o Identity Assurance. Um administrador configura o IAM para integração com o provedor de verificação de identidade e cria políticas do Identity Assurance para verificação periódica de usuários. Um funcionário da Example Inc. verifica a identidade com um ID emitido pelo governo, se inscreve em biometria facial e é reverenciado por meio de verificações periódicas de identidade.

Configuração de Administração

  1. Um administrador da Example Inc. navega até o domínio de identidades e configura um provedor de verificação de identidades, Daon.
  2. O administrador informa as credenciais fornecidas pelo fornecedor (id do cliente, segredo do cliente, URL de descoberta), mapeia as Reivindicações suportadas com atributos de domínio de identidades e seleciona Criar. O provedor de verificação de Identidade é criado. Em seguida, o administrador ativa o provedor de verificação de identidade.
  3. O administrador cria uma política do Identity Assurance e cria uma regra. Na regra, o administrador define os pré-requisitos no campo de condições, com a chave de acesso como o primeiro fator de autenticação e o Oracle Mobile Authenticator (OMA) como o segundo fator e seleciona os grupos de usuários que são avaliados pela regra.
  4. Em seguida, o administrador do Example Inc. ativa a biometria facial, programa verificações biométricas faciais em intervalos aleatórios entre 7 e 14 dias e frequência de rematrícula entre 6 e 12 meses.
  5. O administrador ativa a verificação de identidade e seleciona o provedor criado na etapa 2.
  6. Após a definição, a política será aplicada em todo o domínio de identidades para os usuários que atenderem às condições especificadas na regra.

Inscrição do Usuário

  1. Um funcionário, John, recebe um email informando-o sobre o novo requisito. Ele se inscreve com seu primeiro e segundo fator e é solicitado a se inscrever com Biometria. Se não for solicitado que você se inscreva em biometria durante o sign-in, o usuário acessará Meu Perfil de Login e selecionará Inscrever com biometria.
  2. O usuário revisa e aceita os termos e condições.

  3. Verificação de identidade

    1. Um código QR aparece na tela do computador. John faz a varredura com seu smartphone, que inicia a verificação de identidade com Daon. Dependendo da configuração da Daon, John pode ser solicitado a fazer download do aplicativo Daon ou de um aplicativo fornecido pela Example Inc. para concluir a verificação de identidade.
    2. John tira uma selfie ao vivo. Daon verifica a selfie do usuário quanto à vivacidade.
    3. Ele então escaneia sua identidade emitida pelo governo usando seu telefone. Daon valida a autenticidade do documento e confirma que a selfie corresponde à foto no documento.
    4. Uma mensagem de sucesso indica que sua identidade foi verificada.

  4. Inscrição em Biometria Facial

    1. John é redirecionado de volta para o navegador do seu computador.
    2. O navegador solicita acesso à sua webcam. Ele é solicitado a posicionar o rosto em um quadro e completar os prompts aleatórios de vida, como inclinar a cabeça do usuário para cima, para a direita e para a esquerda. Essas etapas protegem contra ataques de falsificação e repetição.
    3. O sistema captura seus dados faciais, cria um modelo biométrico e os armazena com segurança. Sua inscrição está concluída.

Garantia de Identidade

  1. Após a inscrição, a verificação biométrica facial periódica ocorre perfeitamente em segundo plano. Por exemplo, duas semanas depois, ao acessar um aplicativo empresarial, John conclui o acesso à chave de acesso padrão seguido pelo Oracle Mobile Authenticator (OMA) como segundo fator.
  2. Imediatamente depois, o Identity Assurance inicia um desafio de verificação biométrica facial. John posiciona seu rosto dentro do quadro, completa um prompt de vida aleatório e o sistema valida sua identidade contra o modelo biométrico armazenado com segurança.
  3. John recebe acesso ao aplicativo. O evento de verificação é registrado para fins de auditoria.