Configurando um Caso de Uso Baseado em Velocidade Geográfica no Oracle Adaptive Risk Management
Introdução
Este tutorial mostra como configurar um caso de uso baseado em velocidade geográfica no Oracle Adaptive Risk Management (OARM).
A regra de velocidade geográfica permite autenticar um usuário com base na distância e no intervalo de tempo entre o local atual e o local do qual você fez login pela última vez. Você pode aproveitar essas informações como critérios para conceder acesso ao recurso protegido.
A velocidade geográfica geralmente é calculada como o máximo de milhas por hora. Isso permite determinar a rapidez com que um usuário pode viajar de um local para outro para se conectar com sucesso dentro de uma duração de tempo específica.
Um pré-requisito para implementar o caso de uso de velocidade geográfica é que ele tenha os dados de localização geográfica. O recurso de localização geográfica permite identificar a localização física do usuário. Isso geralmente é determinado pela obtenção do endereço IP do dispositivo que está sendo usado por um usuário para tentar fazer login. Esses dados são então usados para calcular a distância entre duas tentativas de log-in consecutivas.
Este tutorial considera um cenário em que o Administrador usa a regra pronta para uso Desafio com base na Velocidade Máxima do Dispositivo para detectar esse tipo de atividade fraudulenta do usuário, acionar um alerta e desafiar o usuário de se conectar com sucesso. Isso é feito em conjunto com os dados de localização geográfica. O Administrador pode monitorar alertas, ações, regras e outras informações relacionadas ao usuário por meio do painel de controle Sessão do Usuário.
Objetivos
Neste tutorial, você executará as seguintes tarefas:
- Configure a velocidade geográfica usando a regra pronta Desafio com base na Velocidade Máxima do Dispositivo.
- Ative o suporte ao cabeçalho X-Forwarded-For.
- Teste a regra de Velocidade Máxima do Dispositivo.
- Monitorar a sessão do usuário.
- Valide o trabalho da regra Velocidade Máxima do Dispositivo.
Pré-requisitos
Antes de iniciar este tutorial, você deve seguir:
- Uma instância do Oracle Advanced Authentication (OAA) e do OARM em execução. Para obter instruções sobre como instalar o OAA e o OARM, consulte Administrando o Oracle Advanced Authentication e o Oracle Adaptive Risk Management.
- Siga o tutorial Integrar o Oracle Access Management com o Oracle Advanced Authentication.
- Revise o caso de uso Configurando um Caso de Uso Baseado em Velocidade Geográfica.
- Carregue os dados de localização geográfica no servidor OARM. Para obter instruções sobre como pré-implantar os dados de localização geográfica, consulte Carregando Dados de Localização Geográfica.
Configurar um Caso de Uso de Velocidade Geográfica no OARM
-
Acesse a console de Administração do OARM. Você será redirecionado à página de log-in do OAM porque a console é protegida pelo OAM OAuth. Especifique suas credenciais e log-in.
-
Clique no menu de hambúrguer de Navegação do Aplicativo no canto superior esquerdo e clique em Adaptive Risk Management. O painel Atividade do Usuário é exibido.
-
No bloco Autenticação do Usuário, clique no link Regras. A página de exibição das regras de Atividade do Usuário é exibida.
-
No painel de pesquisa, digite o texto relevante para filtrar todas as regras disponíveis prontas para uso para configurar o IP arriscado, por exemplo,
velocity
. O desafio com base na regra Velocidade Máxima do Dispositivo aparece que você precisa configurar para esse caso de uso. -
Clique no ícone Editar na regra Desafio com base na Velocidade Máxima do Dispositivo.
Observação: A regra pronta para uso Desafio baseado na Velocidade Máxima do Dispositivo tem uma condição associada que avalia a velocidade máxima do dispositivo no tempo especificado.
-
Verifique se as listas Selecionar Ação e Selecionar Alerta são preenchidas previamente com as opções Desafio e Velocidade Máxima do Dispositivo, respectivamente.
Observação: Você pode configurar a ação e o alerta de acordo com seu requisito.
-
Verifique se os campos Último log-in em (Segundos) e Milhas por Hora são preenchidos previamente com 72000 e 600, respectivamente.
Observação: Você pode configurar os campos anteriores de acordo com seu requisito.
-
Adicione os endereços IP que você deseja ignorar para a regra Velocidade Máxima do Dispositivo. Para a conveniência do Administrador, o grupo Ignorar Grupo IP é fornecido pronto para uso.
Observação: Este parâmetro permite especificar uma lista de IPs a serem ignorados. Se o IP do usuário for dessa lista, essa condição sempre será avaliada como falsa. Por exemplo, um funcionário que trabalha em um aplicativo de Finanças e alterna com frequência entre VPN, então você gostaria de adicionar esse endereço IP no Ignorar Grupo IP. Se o IP do usuário não estiver nessa lista ou se a lista for nula ou vazia, a condição avaliará a velocidade do usuário ou do dispositivo do último log-in e será avaliada como verdadeira se a velocidade exceder o valor configurado.
-
Em Ignorar Grupo IP, com a opção Ignorar Grupo IP selecionada na lista, clique no link Editar Grupo IP Ignorar para adicionar os endereços IP a serem ignorados para essa regra.
-
Clique em Salvar e Continuar. A página Editar Ignorar Grupo IP é exibida.
-
Execute as seguintes etapas para configurar a lista de endereços IP que você deseja que a regra ignore:
- Clique em Adicionar IPs.
- No campo Valor, informe o endereço IP. Para demonstração, considere o endereço IP,
192.0.2.254
. - Clique em Adicionar. A figura a seguir exibe o endereço IP adicionado ao Ignorar Grupo IP.
- Repita as etapas 11a a 11c para adicionar a lista de endereços IP a serem ignorados no grupo.
-
Clique em Salvar para salvar o grupo. Você será redirecionado para a página Editar regra.
-
Clique em Salvar para salvar a regra. Você será redirecionado para a página de regras de Atividade do Usuário.
Agora, durante o fluxo de autenticação quando essa regra é executada, a condição associada à regra pronta para uso Velocidade Máxima do Dispositivo é avaliada. Se essa condição for avaliada como Verdadeira, a regra será acionada. Por sua vez, é apresentado ao usuário o desafio com base nos fatores configurados.
Ativar Suporte a Cabeçalho X-Forwarded-For
O Cabeçalho X-Forwarded-For Header é uma versão padrão de fato usada para identificar o endereço IP original quando um cliente se conecta a um servidor Web por meio de um proxy HTTP ou de um balanceador de carga.
Nesta seção, você validará se o suporte ao cabeçalho X-Forwarded-For está ativado.
-
Faça uma solicitação GET usando o seguinte URL:
Get: https://129.153.185.7/policy/config/property/v1?propertyName=vcrypt.tracker.ip.detectProxiedIP
-
Na resposta, confirme se o "valor": "verdadeiro" é exibido.
[ { "name": "vcrypt.tracker.ip.detectProxiedIP", "value": "true" } ]
-
Se a resposta não for verdadeira, faça uma solicitação PUT usando o seguinte URL para ativar o suporte ao cabeçalho X-Forwarded-For.
Put: https://129.153.185.7/policy/config/property/v1?propertyName=vcrypt.tracker.ip.detectProxiedIP
-
Na resposta, confirme se o "valor": "verdadeiro" é exibido.
[ { "name": "vcrypt.tracker.ip.detectProxiedIP", "value": "true" } ]
Testar a Regra de Velocidade Máxima do Dispositivo
Nesta seção, você acessa o aplicativo protegido, faz login no OARM e testa como a regra Velocidade Máxima do Dispositivo funciona.
-
Inicie um browser e acesse o aplicativo protegido, por exemplo,
http://oam.example.com:7777/mybank
. Como este aplicativo está protegido, você deverá ser redirecionado para a página de login do OAM. Faça log-in como o novo usuáriouser2
/<password>
. Este usuário faz login em Tamil Nadu, Índia. -
Se a autenticação for bem-sucedida, você deverá ser redirecionado para a página do aplicativo protegido, por exemplo,
/mybank
.
Monitorar a Sessão do Usuário
-
Inicie um novo navegador.
-
Acesse a console de Administração do OARM. Você será redirecionado para a página de log-in do OAM, pois a console é protegida pelo OAM OAuth. Especifique suas credenciais e log-in.
-
Clique no menu de hambúrguer de Navegação do Aplicativo no canto superior esquerdo e clique em Monitorar Sessões do Usuário. O painel de controle Sessões do Usuário é exibido.
-
Clique no botão de alternância Incluir Sessões Bem-sucedidas para exibir a lista de log-ins bem-sucedidos. Você notará que o log-in em user2 foi bem-sucedido.
-
Clique no link em ID da Sessão para este usuário, por exemplo, 50018. A página Sessões do Usuário - 50018 é exibida.
-
No painel Informações da Localização, exiba as informações de endereço IP, País e Estado do usuário.
Validar o Trabalho da Regra de Velocidade Máxima do Dispositivo
Nesta seção, você validará se a regra Velocidade Máxima do Dispositivo está funcionando com precisão. Para estabelecer a precisão, faça login no mesmo aplicativo bancário com um endereço IP diferente usando o mesmo usuário e dispositivo.
-
Inicie um browser e acesse o aplicativo protegido, por exemplo,
http://oam.example.com:7777/mybank
. Faça login como o mesmo usuáriouser2
/<password>
, mas em um endereço IP diferente. Neste exemplo, o endereço IP que está sendo usado é Tóquio (Japão). -
Se o log-in for bem-sucedido, você será redirecionado para o ponto final do OAA, por exemplo:
https://oaa.example.com/oaa/authnui
. OAA transmite internamente esta solicitação ao OARM, que aciona a regra Velocidade Máxima do Dispositivo definida comoChallenge
e a página de desafio é apresentada para o usuário. -
Você será redirecionado para a página E-mail na qual será solicitado a Informar OTP do dispositivo de e-mail registrado. No campo Informar OTP, digite o código de acesso único enviado por e-mail aos usuários e clique em Verificar.
-
Se a autenticação for bem-sucedida, você deverá ser redirecionado para a página do aplicativo protegido, por exemplo,
/mybank
. -
Abra uma nova guia do browser e faça log-in na console Administração do OARM. Especifique suas credenciais e log-in.
-
Clique no menu de hambúrguer de Navegação do Aplicativo no canto superior esquerdo e clique em Monitorar Sessões do Usuário. O painel de controle Sessões do Usuário é exibido.
-
Clique no botão de alternância Incluir Sessões Bem-sucedidas para exibir a lista de log-ins bem-sucedidos. Você notará os detalhes de login do user2 no mesmo dispositivo, mas um endereço IP diferente.
-
Clique no link em ID da Sessão para este usuário, por exemplo, 50019. A página Sessões do Usuário - 50019 é exibida.
-
No painel Autenticação do Usuário, clique em Alertas para exibir a mensagem acionada pelo Alerta para o Administrador. Isso descreve que o usuário que fez login do Japão apresentou um desafio e um alerta foi emitido para o Administrador.
Saiba Mais
- Administrando o Oracle Advanced Authentication e o Oracle Adaptive Risk Management
- Referência da Ajuda do Oracle Fusion Middleware para a Console de Administração do Oracle Advanced Authentication
Feedback
Para fornecer feedback sobre este tutorial, entre em contato com idm_user_assistance_ww_grp@oracle.com
Agradecimentos
- Autor - Devanshi Mohan
Mais Recursos de Aprendizagem
Explore outros laboratórios em docs.oracle.com/learn ou acesse mais conteúdo de aprendizado gratuito no canal YouTube do Oracle Learning. Além disso, visite education.oracle.com/learning-explorer para se tornar um Oracle Learning Explorer.
Para obter a documentação do produto, visite o Oracle Help Center.
Configuring a Geo-Velocity Based Use Case in Oracle Adaptive Risk Management
F55498-02
March 2022
Copyright © 2022, Oracle and/or its affiliates.