在 Oracle Adaptive Risk Management 中配置基于地理位置的使用案例

简介

本教程演示如何在 Oracle 自适应 Risk Management (OARM) 中配置基于地理速度的用例。

地理速度规则允许您根据当前位置与上次登录位置之间的距离和时间间隔来验证用户。您可以将此信息作为授予对受保护资源的访问权限的标准。

地理速度通常按每小时最大英里数计算。这样，您可以确定用户从一个位置到另一个位置在特定持续时间内成功登录的速度。

实施地理速度使用案例的先决条件是拥有地理位置数据。使用地理位置功能可以标识用户的物理位置。这通常通过获取用户尝试登录所使用的设备的 IP 地址来确定。然后，使用此数据计算连续两次登录尝试之间的距离。

此教程考虑以下方案：管理员使用基于设备最大速度的质询现成规则来检测此类欺诈用户活动、触发预警并质询用户无法成功登录。这与地理位置数据结合使用。管理员可以通过用户会话仪表盘监视预警、操作、规则和其他用户相关信息。

目标

在本教程中，您将执行以下任务：

1. 使用基于设备最大速度的质询现成规则配置地理速度。
2. 启用 X-Forwarded-For 标头支持。
3. 测试设备最大速度规则。
4. 监视用户会话。
5. 验证设备最大速率规则的工作。

先决条件

开始本教程之前，您必须遵循以下内容：

• 运行的 Oracle Advanced Authentication (OAA) 和 OARM 实例。有关如何安装 OAA 和 OARM 的说明，请参见Administering Oracle Advanced Authentication and Oracle Adaptive Risk Management。
• 按照教程将 Oracle Access Management 与 Oracle Advanced Authentication 集成。
• 查看用例Configuring a Geo-Velocity Based Use Case。
• 在 OARM 服务器中加载地理位置数据。有关如何植入地理位置数据的说明，请参阅加载地理位置数据。

在 OARM 中配置 Geo-Velocity 使用案例

1. 登录 OARM Administration 控制台。您将重定向到 OAM 登录页，因为控制台受 OAM OAuth 保护。指定身份证明并登录。

2. 单击左上方的 "Application Navigation Hamburger"（应用程序导航汉堡）菜单，然后单击 Adaptive Risk Management（自适应 Risk Management）。此时将显示“用户活动”仪表盘。

3. 在“用户验证”磁贴中，单击规则链接。此时将显示“用户活动规则”显示页面。

4. 在搜索窗格中，输入相关文本以筛选现成可用的所有规则以配置有风险的 IP，例如 velocity。此时将显示需要为此用例配置的基于设备最大速度的质询规则。

5. 单击基于设备最大速率的质询规则的编辑图标。

   注：基于设备最大速度的质询现成规则具有关联的条件，用于评估指定时间内设备的最大速度。

6. 验证选择操作和选择警报列表是否分别使用质询和设备最大速率选项预先填充。

   注：您可以根据需要配置操作和预警。

7. 验证上次登录时间（秒）和每小时英里数字段分别使用 72000 和 600 预填充。

   注：您可以根据需要配置前面的字段。

8. 为设备最大速率速率规则添加要忽略的 IP 地址。为方便管理员使用，提供了现成的 Ignore IP Group 组。

   注：此参数允许您指定要忽略的 IP 列表。如果用户的 IP 来自该列表，则此条件的计算结果始终为 false。例如，在财务应用程序上工作并在 VPN 之间频繁切换的员工，您希望在忽略 IP 组中添加此 IP 地址。如果用户的 IP 不在该列表中或者列表为空，则条件将评估用户或设备在上次登录时的速度，如果速度超过配置的值，则计算结果为 true。

9. 在忽略 IP 组下，在列表中选中了忽略 IP 组选项，单击编辑忽略 IP 组链接可为此规则添加要忽略的 IP 地址。

10. 单击保存并继续。此时将显示 "Edit Ignore IP Group"（编辑忽略 IP 组）页面。

11. 执行以下步骤可配置您希望规则忽略的 IP 地址列表：

    • 单击添加 IP。
    • 在值字段中，输入 IP 地址。对于演示，请考虑 IP 地址 192.0.2.254。
    • 单击添加。下图显示了添加到忽略 IP 组的 IP 地址。
    • 重复步骤 11a 到 11c 以添加要在组中忽略的 IP 地址列表。

12. 单击保存以保存组。您将重定向到“编辑规则”页。

13. 单击保存以保存规则。您将重定向到“用户活动规则”页面。

现在，在执行此规则时的验证流期间，将评估与现成设备最大速度规则关联的条件。如果此条件的评估结果为真，则将触发规则。反过来，用户将根据配置的因素提出质询。

启用 X-Forwarded-For 标头支持

“X-For Header（X-For 标头）”是一个事实标准版本，用于在客户机通过 HTTP 代理或负载平衡器连接到 Web 服务器时标识原始 IP 地址。

在此部分中，您将验证是否启用了“X-Forwarded-For”标头支持。

1. 使用以下 URL 发出 GET 请求：

   Get:
   https://129.153.185.7/policy/config/property/v1?propertyName=vcrypt.tracker.ip.detectProxiedIP
   

2. 在响应中，确认显示 "value"： "true"。

   [
      {
        "name": "vcrypt.tracker.ip.detectProxiedIP",
        "value": "true"
      }
   ]
   

3. 如果响应不是 true，则使用以下 URL 发出 PUT 请求以启用 X-Forwarded-For 标头支持。

   Put:
   https://129.153.185.7/policy/config/property/v1?propertyName=vcrypt.tracker.ip.detectProxiedIP
   

4. 在响应中，确认显示 "value"： "true"。

   [
      {
        "name": "vcrypt.tracker.ip.detectProxiedIP",
        "value": "true"
      }
   ]
   

测试设备最大速度规则

在此部分中，您将访问受保护的应用程序，登录到 OARM 并测试设备最大速率规则的工作方式。

1. 启动浏览器并访问受保护的应用程序，例如 http://oam.example.com:7777/mybank。由于此应用程序受到保护，您应重定向到 OAM 登录页。以新用户 user2/<password> 身份登录。此用户从 Tamil Nadu 登录。

   

   插图 oamlogin.PNG 的说明

2. 如果验证成功，则应重定向到受保护的应用程序页面，例如 /mybank。

   

   插图 mybank.PNG 的说明

监视用户会话

1. 启动新浏览器。

2. 登录 OARM Administration 控制台。您将重定向到 OAM 登录页，因为控制台受 OAM OAuth 保护。指定身份证明并登录。

3. 单击左上方的“应用程序导航汉堡”菜单，然后单击监视用户会话。此时将显示 User Sessions（用户会话）仪表盘。

4. 单击包括成功会话切换按钮可显示成功登录的列表。您会注意到 user2 登录成功。

   

   插图 useression.PNG 的说明

5. 单击此用户的会话 ID 下的链接，例如 50018。此时将显示 User Sessions - 50018 页面。

6. 在位置信息窗格中，查看用户的 IP 地址、国家（地区）和省（州）信息。

   

   插图 sessiondetail.PNG 的说明

验证设备最大速率规则的工作

在此部分中，您将验证设备最大速率规则是否正常工作。要建立准确性，请使用同一用户和设备使用不同的 IP 地址登录到同一银行应用程序。

1. 启动浏览器并访问受保护的应用程序，例如 http://oam.example.com:7777/mybank。以同一用户 user2/<password> 的身份登录，但使用不同的 IP 地址登录。在此示例中，使用的 IP 地址为东京（日本）。

2. 如果登录成功，您将重定向到 OAA 端点，例如：https://oaa.example.com/oaa/authnui。内部 OAA 将此请求传递给 OARM，这将触发设置为 Challenge 的设备最大速度规则，并为用户显示质询页。

   

   插图 allenchoice.PNG 的说明

3. 您将重定向到电子邮件页，在其中要求您从注册的电子邮件设备输入 OTP。在输入 OTP 字段中，输入通过电子邮件发送给用户电子邮件地址的一次性验证码，然后单击验证。

   

   插图 emailotp.PNG 的说明

4. 如果验证成功，则应重定向到受保护的应用程序页面，例如 /mybank。

   

   插图 mybank.PNG 的说明

5. 打开新的浏览器选项卡并登录到 OARM 管理控制台。指定身份证明并登录。

6. 单击左上方的“应用程序导航汉堡”菜单，然后单击监视用户会话。此时将显示 User Sessions（用户会话）仪表盘。

7. 单击包括成功会话切换按钮可显示成功登录的列表。您将注意到来自同一设备的 user2 登录详细信息，但有一个不同的 IP 地址。

   

   图例 usersession2.PNG 的说明

8. 单击此用户的会话 ID 下的链接，例如 50019。此时将显示 User Sessions - 50019 页面。

9. 在用户验证窗格中，单击预警以查看由管理员预警触发的消息。这概述了从日本登录的用户遇到了挑战，并已向管理员发出警报。

   

   插图 usersession2detail.PNG 的说明

了解更多

• 管理 Oracle 高级身份验证和 Oracle 自适应 Risk Management
• Oracle Advanced Authentication Admin Console 的 Oracle Fusion Middleware 帮助参考

反馈

要提供有关本教程的反馈，请联系 idm_user_assistance_ww_grp@oracle.com

致谢

• 作者 - 德文希·莫汉

更多学习资源

浏览 docs.oracle.com/learn 上的其他实验室，或者在 Oracle Learning YouTube 频道上访问更多免费学习内容。此外，请访问 education.oracle.com/learning-explorer 以成为 Oracle 学习资源管理器。

有关产品文档，请访问 Oracle 帮助中心。

---

标题和版权信息

Configuring a Geo-Velocity Based Use Case in Oracle Adaptive Risk Management

F55503-02

March 2022

Copyright © 2022, Oracle and/or its affiliates.