在 Oracle Adaptive Risk Management 中設定以地理位置為基礎的使用案例

簡介

本教學課程示範如何在 Oracle Adaptive Risk Management (OARM) 中設定以地理速度為基礎的使用案例。

地理速度規則可讓您根據目前位置與您上次登入位置之間的距離和間隔，來驗證使用者。您可以使用此資訊作為授予受保護資源存取權的條件。

地理速度通常是以每小時最大英里數來計算。這可讓您判斷使用者可以從一個位置移至另一個位置，在特定的時間期間內成功登入的速度。

實作地理速度使用案例的先決條件是具備地理位置資料。地理位置功能可讓您識別使用者的實體位置。通常會透過取得使用者嘗試登入時使用的裝置 IP 位址來決定。接著，此資料會用來計算兩個連續登入嘗試之間的距離。

此教學課程會考量管理員使用根據裝置最高速度的挑戰立即可用規則來偵測這類詐騙使用者活動類型、觸發警示，以及挑戰使用者順利登入的狀況。這與地理位置資料一起完成。管理員可以透過使用者階段作業儀表板來監督警示、動作、規則以及其他使用者相關資訊。

目標

在此教學課程中，您將執行下列作業：

1. 使用以裝置最高速度立即可用的規則設定地理速度。
2. 開啟 X-Forwarded- 支援標頭 。
3. 測試裝置速度上限規則。
4. 監控使用者階段作業。
5. 驗證裝置最大速度規則的工作。

必要條件

開始此自學課程之前，您必須遵循以下步驟：

• 執行中的 Oracle Advanced Authentication (OAA) 和 OARM 執行處理。如需如何安裝 OAA 與 OARM 的指示，請參閱Administering Oracle Advanced Authentication and Oracle Adaptive Risk Management。
• 依照整合 Oracle Access Management 與 Oracle 進階認證教學課程進行。
• 請檢閱使用案例設定地理位置型使用案例。
• 在 OARM 伺服器中載入地理位置資料。如需如何內建地理位置資料的指示，請參閱載入地理位置資料。

在 OARM 中設定地理位置使用案例

1. 登入 OARM 管理主控台。主控台受 OAM OAuth 保護，因此您會被重導至 OAM 登入頁面。指定您的證明資料和登入。

2. 按一下左上方的「應用程式導覽漢堡」功能表，然後按一下調適型 Risk Management。即會出現「使用者活動」儀表板。

3. 從「使用者認證」磚塊中，按一下規則連結。即會出現「使用者活動」規則顯示頁面。

4. 在搜尋窗格中，輸入相關文字以篩選所有立即可用的規則，以設定有風險的 IP，例如 velocity。依據裝置最高速度的挑戰規則顯示您需要設定此使用案例。

5. 按一下編輯圖示，對照以裝置最大速度為基礎的挑戰規則。

   注意：根據裝置最高速度的挑戰立即可用規則具有相關條件，可評估指定時間內裝置的最大速度。

6. 請驗證選取動作和選取警示清單分別以挑戰和裝置最大速度選項預先填入。

   備註：您可以根據需求設定動作與警示。

7. 確認上次登入時間 (秒) 和每小時英里欄位分別預先填入 72000 和 600。

   注意：您可以根據需求設定先前的欄位。

8. 新增要忽略的裝置最大速度規則 IP 位址。為方便管理員使用，系統內建 Ignore IP Group 群組。

   注意：此參數可讓您指定要忽略的 IP 清單。如果使用者的 IP 來自該清單，則此條件一律會評估為 false。例如，在財務應用程式上工作並頻繁切換 VPN 的員工，您應該在忽略 IP 群組中新增此 IP 位址。如果使用者的 IP 不在該清單中，或是清單為空值或空的，則條件會從最後登入評估使用者或裝置的速度，如果速度超過設定值，則評估為 true。

9. 在忽略 IP 群組下，在清單中選取忽略 IP 群組選項時，按一下編輯忽略 IP 群組連結以新增要忽略此規則的 IP 位址。

10. 按一下儲存並繼續。隨即顯示「編輯忽略 IP 群組」頁面。

11. 執行下列步驟可以設定要讓規則忽略的 IP 位址清單：

    • 按一下新增 IP。
    • 在值欄位中輸入 IP 位址。如需示範，請考慮 IP 位址 192.0.2.254。
    • 按一下新增 (Add) 。下圖顯示新增至忽略 IP 群組的 IP 位址。
    • 重複步驟 11a 到 11c，新增要在群組中忽略的 IP 位址清單。

12. 按一下儲存以儲存群組。系統會將您重新導向至「編輯規則」頁面。

13. 按一下儲存以儲存規則。系統會將您重新導向至「使用者活動規則」頁面。

現在，在執行認證流程期間，會評估與裝置最大速度立即可用規則相關聯的條件。如果將此條件評估為真，則會觸發規則。接著，系統會根據設定的因素來呈現使用者的挑戰。

啟用 X-Forwarded-For Header Support

X-Forwarded-For Header 是 de-facto 標準版本，當從屬端透過 HTTP 代理主機或負載平衡器連線至 Web 伺服器時，用來識別原始 IP 位址。

您可以在此區段中驗證是否啟用 X-Forwarded - 支援標頭。

1. 使用下列 URL 提出 GET 要求：

   Get:
   https://129.153.185.7/policy/config/property/v1?propertyName=vcrypt.tracker.ip.detectProxiedIP
   

2. 在回應中，確認「值」：」true「 顯示。

   [
      {
        "name": "vcrypt.tracker.ip.detectProxiedIP",
        "value": "true"
      }
   ]
   

3. 如果回應不是 true，請使用下列 URL 提出 PUT 要求，以啟用 X-Forwarded-For 標頭支援。

   Put:
   https://129.153.185.7/policy/config/property/v1?propertyName=vcrypt.tracker.ip.detectProxiedIP
   

4. 在回應中，確認「值」：」true「 顯示。

   [
      {
        "name": "vcrypt.tracker.ip.detectProxiedIP",
        "value": "true"
      }
   ]
   

測試裝置速度上限規則

您可以在此區段中存取受保護的應用程式，登入 OARM 並測試「裝置最高速度」規則的運作方式。

1. 啟動瀏覽器並存取受保護的應用程式，例如 http://oam.example.com:7777/mybank。此應用程式受到保護，應重新導向至 OAM 登入頁面。以新使用者 user2/<password> 的身分登入。此使用者從印度 Tamil Nadu 登入。

   

   oamlogin.PNG 圖解說明

2. 如果認證成功，您應該重新導向至受保護的應用程式頁面，例如 /mybank。

   

   mybank.PNG 圖解說明

監控使用者階段作業

1. 啟動新瀏覽器。

2. 登入 OARM 管理主控台。主控台受 OAM OAuth 保護，因此您會被重導至 OAM 登入頁面。指定您的證明資料和登入。

3. 按一下左上方的「應用程式導覽」漢堡功能表，然後按一下監督使用者階段作業。使用者階段作業儀表板便會顯示。

4. 按一下包含成功的階段作業切換按鈕即可顯示成功登入清單。您會收到 user2 登入成功。

   

   useression.PNG 圖解說明

5. 按一下此使用者之階段作業 ID 底下的連結，例如 50018。使用者階段作業 - 50018 頁面便會顯示。

6. 在位置資訊窗格中，檢視使用者的 IP 位址、國家及州資訊。

   

   sessiondetail.PNG 圖解說明

驗證裝置最大速度規則的工作

在本節中，您將驗證「裝置最大速度」規則是否正確運作。若要確立準確性，請使用相同的使用者和裝置，以不同的 IP 位址登入相同的銀行應用程式。

1. 啟動瀏覽器並存取受保護的應用程式，例如 http://oam.example.com:7777/mybank。以相同使用者 user2/<password> 的身分登入，但來自不同的 IP 位址。在此範例中，使用的 IP 位址為東京 (日本)。

2. 如果登入成功，系統會將您重新導向至 OAA 端點，例如：https://oaa.example.com/oaa/authnui。內部 OAA 將此要求傳送給 OARM，這會觸發設為 Challenge 的裝置最大速度規則，並為使用者顯示挑戰頁面。

   

   allengechoice.PNG 圖解說明

3. 系統會將您重新導向至電子郵件頁面，您會在其中從已註冊的電子郵件裝置輸入 OTP。在輸入 OTP 欄位中，輸入以電子郵件傳送至使用者電子郵件地址的一次性密碼，然後按一下驗證。

   

   emailotp.PNG 圖解說明

4. 如果認證成功，您應該重新導向至受保護的應用程式頁面，例如 /mybank。

   

   mybank.PNG 圖解說明

5. 開啟新的瀏覽器頁籤，然後登入「OARM 管理」主控台。指定您的證明資料和登入。

6. 按一下左上方的「應用程式導覽」漢堡功能表，然後按一下監督使用者階段作業。使用者階段作業儀表板便會顯示。

7. 按一下包含成功的階段作業切換按鈕即可顯示成功登入清單。您會發現來自相同裝置的 user2 登入詳細資訊，但會有不同的 IP 位址。

   

   usersession2.PNG 圖解說明

8. 按一下此使用者之階段作業 ID 底下的連結，例如 50019。使用者階段作業 - 50019 頁面便會顯示。

9. 在使用者認證窗格中，按一下警示以檢視「管理員」警示所觸發的訊息。這概述從日本登入的使用者有挑戰，並為管理員發出警示。

   

   usersession2detail.PNG 圖解說明

深入瞭解

• 管理 Oracle Advanced Authentication and Oracle Adaptive Risk Management
• Oracle Advanced Authentication Admin Console 的 Oracle Fusion Middleware 說明參考

意見

若要對此教學課程提供意見，請聯絡 idm_user_assistance_ww_grp@oracle.com

致謝

• 作者 - Devanshi Mohan

其他學習資源

探索 docs.oracle.com/learn 上的其他實驗室，或前往 Oracle Learning YouTube 通道存取更多免費學習內容。此外，請造訪 education.oracle.com/learning-explorer 以成為 Oracle Learning Explorer。

如需產品文件，請瀏覽 Oracle Help Center。

---

標題與版權資訊

Configuring a Geo-Velocity Based Use Case in Oracle Adaptive Risk Management

F55502-02

March 2022

Copyright © 2022, Oracle and/or its affiliates.