Configurando um Caso de Uso de Atividade Personalizada no Oracle Adaptive Risk Management

Introdução

Este tutorial mostra como configurar um caso de uso de atividade personalizada no Oracle Adaptive Risk Management (OARM).

Além da atividade de Autenticação do Usuário pronta para uso, um cliente pode criar suas próprias atividades personalizadas e criar regras usando as informações coletadas. As regras são personalizadas de acordo com as necessidades do negócio. Essas regras podem ser de natureza transacional, monitorando vários aspectos da atividade do usuário nos quais a empresa está interessada. Alguns exemplos de atividades personalizadas são internet banking ou pagamento de contas em um aplicativo bancário. Você pode adicionar regras que usam as informações, como o valor envolvido no pagamento, informações do usuário, e assim por diante, para identificar uma transferência de dinheiro fraudulenta.

Este tutorial considera um cenário em que o Administrador monitora uma atividade personalizada que envolve um usuário fazendo compras on-line. Se a primeira transação de compra valer mais de US$ 500, o usuário poderá prosseguir com a transação. No entanto, se o usuário realizar uma segunda transação on-line dentro de 5 minutos da primeira compra e exceder US $ 500, o usuário será bloqueado. O Administrador pode monitorar alertas, ações, regras e outras informações relacionadas ao usuário por meio do painel Sessão do Usuário.

Objetivos

Neste tutorial, você executará as seguintes tarefas:

1. Configure uma atividade personalizada no OARM.
2. Teste a regra usando a API REST de Risco OAA.
3. Teste o comportamento da regra atualizando a condição.
4. Monitore a sessão do usuário.

Pré-requisitos

Antes de iniciar este tutorial, você deve seguir:

• Uma instância do OAA (Oracle Advanced Authentication) e do OARM em execução. Para obter instruções sobre como instalar o OAA e o OARM, consulte Administering Oracle Advanced Authentication and Oracle Adaptive Risk Management.
• Siga o tutorial Integrate Oracle Access Management with Oracle Advanced Authentication.
• Native Postman client v8.0.6 ou posterior instalado.
• Os arquivos JSON: Oracle_Adaptive_Risk_Management_Rest_API.postman_collection.json, Oracle_Advanced_Authentication_Example_Environment.postman_environment.json

Configurar uma Atividade Personalizada no OARM

Para configurar uma Atividade Personalizada para a Atividade do Cartão de Crédito, execute as seguintes etapas:

Criar Atividade Personalizada para Atividade do Cartão de Crédito

1. Faça login no console de Administração do OARM. Você é redirecionado para a página de log-in do OAM conforme a console é protegida pelo OAM OAuth. Especifique suas credenciais e login.

2. Clique no menu de hambúrguer de Navegação do Aplicativo no canto superior esquerdo.

3. Em Risk Management Adaptável, clique em Atividades Personalizadas. A página Atividades Personalizadas é exibida.

4. Clique em Criar Nova Atividade.

   

5. Na página Nova atividade personalizada, no 1. Descreva o painel Activity, insira o seguinte:

   • Informe um nome para esta Atividade: Especifique o nome da atividade personalizada. Por exemplo, Atividade de cartão de crédito.
   • Descrição: Especifique a descrição da atividade personalizada. Por exemplo, Atividade de cartão de crédito.
   • Clique em Próximo.

   

6. No 2. Especifique o painel Atores a serem monitorados e clique em Próximo.

   Observação: para esse caso de uso, nenhum ator é selecionado. Para obter mais informações sobre como especificar atores a serem monitorados, consulte Referência de Ajuda do Console de Administração do Oracle Advanced Authentication.

   

7. No 3. Forneça a seção Detalhes da Atividade a ser monitorada, clique em Adicionar Detalhes e especifique as seguintes informações:

   • Nome: Especifique um nome para o detalhe da atividade. Neste exemplo, preço do item é usado, pois esse caso de uso de atividade personalizada está associado ao preço do item que um cliente comprou.
   • Descrição: Especifique uma descrição para o detalhe da atividade, por exemplo, preço do item comprado.
   • Obrigatório: Use o botão de alternância para especificar que o elemento é obrigatório. Isso garante que, para cada transação que entra no OARM, as informações de preço sejam fornecidas.
   • Tipo de Dados: Especifique o tipo de dados do atributo como Numérico.
   • Criptografado: Use o botão de alternância para especificar se o elemento deve ser criptografado. A criptografia é usada somente para campos de dados de string; outros campos de dados não precisam ser criptografados. Neste exemplo, deixaremos sem criptografia.
   • Clique em Ok.

   

   À direita do preço do item, clique no ícone Mapa para fornecer os dados de origem da seguinte forma:

   • Dados de Origem: Os dados de origem se referem aos dados do cliente provenientes de um aplicativo protegido como parte de uma transação. Por exemplo, transaction.price.
   • Tipo de Mapeamento: Especifica uma maneira de conectar os dados de origem aos dados de destino e ao ator. Como exigimos um mapeamento um a um do elemento de dados de origem para o elemento de dados de destino, selecione Direto.

   

   • Clique em Ok.
   • Clique em Pronto.

8. Clique em Salvar e Continuar para confirmar a criação da Atividade Personalizada.

   

Criar um Grupo de Alerta

1. Clique no menu de hambúrguer de Navegação do Aplicativo no canto superior esquerdo e, em Adaptive Risk Management, clique em Gerenciar Grupos. Clique em Criar Novo Grupo.

2. Na página Novo Grupo, crie um novo grupo de Alertas da seguinte forma:

   • Nome do Grupo: Especifique um nome para o grupo, por exemplo, Item Comprado Excede o Limite.
   • Tipo de Grupo: Especifique o Tipo de Grupo como Alertas.
   • Descrição do Grupo: Especifique uma descrição para o grupo, por exemplo, Alerta se o preço de compra estiver acima de US$ 500.
   • Clique em Criar.

   

3. No painel Item Comprado Excede Limite, selecione Adicionar Alertas:

   

4. No painel Adicionar Valor, informe os seguintes valores e clique em Adicionar:

   • Tipo de Alerta: Especifique o tipo de alerta como Fraude.
   • Nível de Alerta: Especifique o nível de alerta como Alto.
   • Mensagem de Alerta: especifique a mensagem de alerta, pois O preço de compra excede o limite.

   

5. O Alerta agora é adicionado ao Grupo de Alertas:

   

6. Clique em Salvar.

Configurar regra de atividade de cartão de crédito

1. Clique no menu de hambúrguer de Navegação do Aplicativo no canto superior esquerdo e clique em Adaptive Risk Management para exibir a lista de atividades no painel.

   

2. No bloco Atividade do Cartão de Crédito, clique no link 0 Regras. A Página Atividade do Usuário é exibida.

3. Na página Atividade do Usuário, clique em Adicionar Nova Regra.

   

4. Na página Adicionar Nova Regra, especifique as seguintes informações:

   • Nome: Especifique um nome para a regra, por exemplo, Atividade do Cartão de Crédito.
   • Descrição: Especifique uma descrição para a regra, por exemplo, Verificar se o preço de compra está acima de US$ 500.
   • Status: Use o botão de alternância para ativar a regra.
   • Selecionar Ação: Selecione a ação que deseja associar à regra. Por exemplo, Bloquear neste caso de uso.
   • Selecionar Alerta: Selecione o alerta a ser acionado quando a regra for avaliada. Por exemplo, Item de compra excede o limite.

   

5. Na mesma janela, use o botão de alternância para Mostrar Condições Avançadas.

6. Na lista Condição de Pesquisa, selecione Verificar Contagem de Transações usando condições de filtro e clique em Adicionar Condição. A condição aparece abaixo. Insira as informações da seguinte forma:

   • Selecionar Transação a ser contada: Atividade do Cartão de Crédito
   • Condição Especificada para Contagem: Maior que Igual a
   • Valor da Verificação Especificado para contagem: 1
   • Status da Transação: Deixe em branco
   • Ignorar Transação Atual na contagem: Verdadeiro
   • para o mesmo usuário: Verdadeiro
   • Aplicar as verificações de filtro na Transação Atual: Verdadeiro
   • Duração: 5
   • Tipo de Duração: Rolagem
   • Unidade de Duração: Minutos

   

7. Clique em Salvar. A regra será exibida:

1. Na tela Atividade do Usuário, clique no botão Editar para o Bloco baseado na Regra de Atividade do Cartão de Crédito.

2. Na parte inferior da tela, clique em Adicionar Filtro e especifique as seguintes informações:

   • Atributo: preço do item
   • Comparador: Maior que
   • Valor: 500

   

   • Clique em Salvar.

3. Clique no menu de hambúrguer de Navegação do Aplicativo no canto superior esquerdo e, em Adaptive Risk Management, clique em Atividades Personalizadas.

4. Selecione o botão de alternância para ativar Verificar Regra de Atividade do Cartão de Crédito.

   

5. Clique no menu de hambúrguer de Navegação do Aplicativo no canto superior esquerdo e clique em Adaptive Risk Management para exibir a lista de atividades do usuário no painel. Agora você verá uma regra associada à atividade personalizada:

   

   Durante o fluxo de autenticação, quando essa regra é executada, a condição Verificar Contagem de Transações usando condições de filtro associada à regra é avaliada. Se esta condição for avaliada como Verdadeira, a regra será acionada Consequentemente, o usuário está bloqueado.

Testando a Regra de Atividade do Cartão de Crédito Usando a API REST de Risco OAA

Nesta seção, você testará a regra de atividade de cartão de crédito de verificação usando a API Rest de Risco OAA.

Instalar a Coleção Postman do OARM

Definir os Parâmetros de Ambiente no Postman

1. Abra o Postman e selecione Arquivo > Importar.

2. Na caixa de diálogo Importar, na guia Arquivo, selecione Fazer Upload de Arquivos. Escolha o Oracle_Advanced_Authentication_Example_Environment.postman_environment.json e clique em Abrir.

3. No menu à esquerda, clique em Ambientes.

4. Na lista de ambientes exibida, à direita do Ambiente de Exemplo do Oracle Advanced Authentication, clique nas reticências e, em seguida, em Duplicar.

   

5. Na Exemplo de Cópia do Ambiente do Oracle Advanced Authentication, que aparece acima do ambiente original, clique nas reticências e renomeie para Oracle Advanced Authentication Environment for REST APIs.

6. Atualize as variáveis de ambiente para o novo ambiente, informando os seguintes valores para Valor Inicial e Valor Atual. Quando concluir, clique em Salvar e, em seguida, em X na guia para fechá-la:

   • oaa-admin: o nome do host e a porta de administração do Oracle Advanced Authentication, por exemplo https://oaa.example.com.
   • oaa-policy: Nome do host e porta de política do Oracle Advanced Authentication, por exemplo, https://oaa.example.com.
   • oaa-runtime: Nome do host e porta de runtime do Oracle Advanced Authentication, por exemplo, https://oaa.example.com.
   • RELEASENAME: O RELEASENAME atribuído à configuração do Oracle Advanced Authentication, por exemplo, oaainstall. Este é o valor informado para common.deployment.name ao instalar o OAA.
   • oaapolicyapikey: O oaapolicyapikey para a configuração do Oracle Advanced Authentication, por exemplo, a5764d4ef6b71129f38a2d8ddc88b6060653d3c8. Este é o valor informado para install.global.policyapikey ao instalar o OAA.
   • oaaapikey: A oaaapikey para a configuração do Oracle Advanced Authentication, por exemplo, a5764d4ef6b71129f38a2d8ddc88b6060653d3c8. Este é o valor informado para install.global.uasapikey ao instalar o OAA.
   • KBA: O nome de usuário KBA para a configuração do Oracle Advanced Authentication, por exemplo, OAAINSTALL_OAA_KBA. Ele usa o valor <RELEASENAME>_OAA_KBA e faz distinção entre maiúsculas e minúsculas.
   • oaafactorapikey: O oaafactorapikey para a configuração do Oracle Advanced Authentication, por exemplo, a5764d4ef6b71129f38a2d8ddc88b6060653d3c8. Este é o valor informado para install.global.factorsapikey ao instalar o OAA.
   • oaa-risk: Nome do host e porta de risco do Oracle Advanced Authentication, por exemplo, https://oaa.example.com.
   • oaariskapikey: O oaaapikey para a configuração do Oracle Advanced Authentication, por exemplo, a5764d4ef6b71129f38a2d8ddc88b6060653d3c8. Este é o valor informado para install.global.riskapikey ao instalar o OAA.

   Observação: Se você não souber os URLs para oaa-admin, oaa-policy, oaa-runtime (spui) e oaa-risk, consulte Imprimindo Detalhes de Implantação.

   O ambiente terá uma aparência semelhante à seguinte:

   

7. Clique na lista drop-down Ambiente e selecione o ambiente atualizado na lista:

   

Importar a Coleção Postman

1. Para importar a coleção Postman da API REST do Oracle Adaptive Risk Management, na página principal Postman, selecione Arquivo > Importar.

2. Na caixa de diálogo Importar, na guia Arquivo, selecione Fazer Upload de Arquivos. Escolha o arquivo Oracle_Adaptive_Risk_Management_Rest_API.postman_collection.json e clique em Abrir e, em seguida, em Importar.

   Clique em Coleções no menu à esquerda. A coleção deve ser exibida da seguinte forma:

   

Testar a Regra de Atividade do Cartão de Crédito

Para executar esta atividade personalizada no runtime, você deve executar a API a seguir.

Recuperar o ID da Atividade do Usuário

Recupere o ID de Atividade do Usuário associado à Atividade do Cartão de Crédito:

1. Na guia Postman Coleções, navegue até API REST do Oracle Adaptive Risk Management > atividades de usuário.

2. Selecione Obtém atividades do usuário. Essa solicitação faz uma solicitação GET para o ponto final /policy/risk/v1/user-activities e recupera o ID de atividade do usuário associado à Atividade do Cartão de Crédito. Clique em Enviar:

   

3. Na resposta, confirme se o Status: 200 OK é exibido. No corpo da resposta, copie o valor da atividade do cartão de crédito para um arquivo de texto. Você precisará disso posteriormente durante a transação.

   

Criar uma Sessão para o Usuário

Crie uma sessão para os usuários da seguinte forma:

1. Na guia Postman Collections, navegue até Oracle Adaptive Risk Management REST API > session/v1 > (request id).

2. Selecione Criar nova sessão para a solicitação de autenticação do usuário. Essa solicitação faz uma solicitação POST para o ponto final risk-analyzer/session/v1. No corpo, edite as informações no corpo para corresponder ao usuário e ao ambiente. No exemplo abaixo, estamos solicitando a criação de uma sessão para testuser no grupo default. Para obter mais informações sobre como definir o restante dos parâmetros no corpo, clique no ícone de documentação destacado no canto superior direito da captura de tela abaixo:

   

3. No corpo da resposta, confirme se o Status: 200 OK é exibido. Copie o valor de requestID para um arquivo de texto. Você precisará desse valor posteriormente para criar uma transação.

   

Criar uma Transação para o Usuário

Crie uma transação para o usuário da seguinte forma:

1. Na guia Postman Collections, navegue até Oracle Adaptive Risk Management REST API > transaction/v1.

2. Selecione Criar novas transações. Essa solicitação faz uma solicitação POST para o ponto final /risk-analyzer/transaction/v1. No corpo, substitua o valor de requestID pelo valor copiado na etapa anterior e clique em Enviar:

   

   Observação: No texto do corpo anterior, você observará a "key": "transaction.price". Esse campo é definido no mapeamento criado na Etapa 7 de Criar Atividade Personalizada para Atividade de Cartão de Crédito. Aqui estamos definindo um valor de $700 que está acima do limite de $500 definido.

3. Na resposta, confirme se o Status: 200 OK é exibido. No corpo da resposta, copie o valor de transactionId, que é 5 em um arquivo de texto. Você precisará desse valor na próxima etapa em que executará a regra.

   

Processar a Regra

Processe a regra para a transação da seguinte forma:

1. Na guia Postman Collections, navegue até Oracle Adaptive Risk Management REST API > transaction/v1.

2. Selecione Regra do Processo. Essa solicitação faz uma solicitação PUT para o ponto final /risk-analyzer/risk/v1.

   Substitua os seguintes valores na chamada de API e clique em Enviar:

   • CheckpointList: Especifica o valor obtido para a atividade de cartão de crédito em Recuperar o ID da Atividade do Usuário, por exemplo: 1600.
   • transactionId: Especifica o valor da transação criada em Criar uma Transação para o Usuário **, por exemplo, **5.
   • requestID: Especifica o valor obtido em Create a Session for the User.

   

3. No corpo da resposta, resultado está em branco, o que significa Permitir e o usuário tem permissão para continuar com a transação na primeira tentativa.

   

   Observação: o usuário pode prosseguir com a transação na primeira tentativa, mesmo que o valor do preço seja US$ 700. Isso ocorre porque, de acordo com a condição associada à regra, Ignorar Transação Atual na Contagem está definido como Verdadeiro. Isso implica que a primeira vez que o usuário tenta uma transação com preço maior que US$ 500, o valor do preço é ignorado e o usuário tem permissão para continuar com a transação.

Atualizar a Sessão com Êxito

Observação: as etapas desta seção serão se você quiser marcar a sessão como Success. Dependendo do requisito de inscrição, é possível atualizar a sessão adequadamente. Para ver os valores possíveis, execute uma GET em relação a /policy/config/property/v1?propertyName=auth.status.enum.* na coleção Postman.

1. Atualize a sessão como Success. Na guia Postman Collections, navegue até Oracle Adaptive Risk Management REST API > session/v1 > (request id). Selecione Atualizar detalhes de uma sessão existente.

   Substitua os seguintes valores no Corpo da chamada de API e clique em Enviar:

   • authenticationStatus: Defina como 0 para indicar uma sessão bem-sucedida.
   • requestId: Especifica o valor obtido em Create a Session for the User.

   

2. No corpo da resposta, confirme se o Status: 200 OK é exibido.

   

Criar Outra Sessão para o Mesmo Usuário

1. Crie outra sessão para que o mesmo usuário execute a segunda transação em cinco minutos. Preencha os seguintes campos do corpo da resposta para o corpo da solicitação e clique em Enviar:

   • cookieType:4: No corpo original de resposta da sessão de criação, copie o valor de digitalCookie e cole-o no corpo da solicitação cookieType:4.
   • cookieType:1: No corpo original de resposta da sessão de criação, copie o valor de secureCookie e cole-o no corpo da solicitação cookieType:1.

   

2. No corpo da resposta, copie o valor de requestID em um arquivo de texto. Você precisará desse valor para criar uma transação.

   

Criar Outra Transação para o Usuário

1. Faça o seguinte para criar uma segunda transação para o usuário:

   • Substitua o requestID pelo valor copiado na etapa anterior.
   • Clique em Enviar.

   

2. No corpo da resposta, copie o valor de transactionId, que é 6 em um arquivo de texto. Você precisará desse valor na próxima etapa em que executará a regra.

   

Processar a Regra da Segunda Transação

1. Processe a regra da segunda transação substituindo os seguintes valores no corpo da solicitação da chamada de API e clique em Enviar:

   • transactionId: Especifica o valor do segundo ID de transação criado na etapa anterior, por exemplo, 6.
   • requestID: Especifica o valor obtido durante a criação da segunda sessão na Etapa 5.

   

2. No corpo da resposta, o valor do resultado é Bloquear. De acordo com a condição, se o valor do preço for maior que US$ 500 e a contagem de transações for maior que 1, o usuário deverá ser bloqueado. Observe que a mensagem de alerta é retornada do grupo de alertas associado:

   

Testar o Trabalho da Regra Atualizando a Condição

Nesta seção, você atualizará os critérios de condição para bloquear um usuário se ele tentar fazer uma transação maior que US$ 500 pela primeira vez. Nesse cenário, outro usuário, testuser2, executa a transação.

1. Inicie um browser e faça log-in no console de Administração do OARM. Especifique suas credenciais e login.

2. Clique no menu de hambúrguer de Navegação do Aplicativo no canto superior esquerdo e clique em Adaptive Risk Management. A página Atividades do Usuário Monitoradas é exibida.

3. No bloco Atividade do Cartão de Crédito, clique no link 1 Regra. A Página Atividade do Usuário é exibida.

   

4. Na página Atividade do Usuário, clique no ícone Editar em relação à regra.

   

5. Na seção Condições, atualize Ignorar Transação Atual na Contagem para Falso e clique em Salvar.

   

6. Na Coleção Postman, em Criar Sessão, crie outra sessão para um novo usuário, testuser2. Clique em Enviar:

   

7. No corpo da resposta, copie o valor de requestID para um arquivo de texto. Você precisará desse valor para criar uma transação.

   

8. Execute o seguinte em Criar transação para criar uma transação para o usuário:

   • Substitua o requestID pelo valor copiado na etapa anterior.
   • Clique em Enviar.

   

9. No corpo da resposta, copie o valor de transactionId, que é 7, para um arquivo de texto. Você precisará desse valor na próxima etapa em que executará a regra.

   

10. Processe a regra para esta transação substituindo os seguintes valores no corpo da solicitação da chamada de API Regra do Processo. Clique em Enviar.

    • transactionId: Especifica o valor do ID da transação criado na etapa 9 anterior, por exemplo, 7.
    • requestID: Especifica o valor obtido durante a criação da sessão na etapa anterior.

    

11. No corpo da resposta, valide o valor do resultado, que é Bloquear. O usuário não tem permissão para continuar com a transação na primeira tentativa, pois, de acordo com a condição, se o valor do preço for maior que US$ 500 na contagem de transações 1, o usuário deverá ser bloqueado.

    

Monitorar a Sessão do Usuário

1. Inicie um novo navegador.

2. Faça login no console de Administração do OARM. Você é redirecionado à página de log-in do OAM, pois a console é protegida pelo OAM OAuth. Especifique suas credenciais e login.

3. Clique no menu de hambúrguer de Navegação do Aplicativo na parte superior esquerda e clique em Monitorar Sessões do Usuário. O painel de controle Sessões do Usuário é exibido. Clique no botão de alternância Incluir Sessões Bem-Sucedidas para exibir a lista de log-ins bem-sucedidos e sem sucesso:

   

   Observe o seguinte:

   • Informações para testuser: a primeira transação do usuário foi bem-sucedida. Quando o usuário executa a segunda transação, o usuário foi bloqueado. Observe que o ID do Dispositivo, que é 85, é o mesmo nas duas transações. Isso ocorre porque você copiou digitalCookie e secureCookie durante a execução dessa transação. Isso permite que você monitore as informações do dispositivo do usuário.
   • Informações de testuser2 : A primeira transação do usuário foi bloqueada.

4. Clique no link em ID da Sessão para testuser2 criado na Tarefa 2, por exemplo, 90. A página Sessões de Usuário - 90 é exibida. Você verá que a ação é Block:

   

Saiba Mais

• Administrando o Oracle Advanced Authentication e o Oracle Adaptive Risk Management
• Referência de Ajuda do Oracle Fusion Middleware para a Console de Administração do Oracle Advanced Authentication

Feedback

Para fornecer feedback sobre este tutorial, entre em contato com idm_user_assistance_ww_grp@oracle.com

Agradecimentos

• Autores - Russ Hodgson

Mais Recursos de Aprendizagem

Explore outros laboratórios em docs.oracle.com/learn ou acesse mais conteúdo de aprendizado gratuito no canal do Oracle Learning YouTube. Além disso, acesse education.oracle.com/learning-explorer para se tornar um Oracle Learning Explorer.

Para obter a documentação do produto, visite o Oracle Help Center.

---

Título e Informações de Copyright

Configuring a Custom Activity Use Case in Oracle Adaptive Risk Management

F55515-02

Copyright ©2025, Oracle and/or its affiliates.