Risiko-API-Vertrag anderer Anbieter

Online bearbeiten

IBM® VerifyWenn die Anfrage des Benutzers zur Anwendungsauswertung eingeht, wertet die interne Komponente innerhalb des Zugriffsrichtlinien-Frameworks das der Anwendung zugeordnete Zugriffsrichtlinienobjekt aus. Anschließend wird über die Echtzeit-Webhooks eine Datenübertragung zur Integration von Drittanbietern eingerichtet.

Anforderungsmodell für Webhooks für Zugriffsrichtlinien

Das Rahmenwerk für Zugriffsrichtlinien liest den enabled Wert für den Konfigurationsknoten. falseWenn der Wert lautet, wird die Verarbeitung der Regel übersprungen und die Integration des Drittanbieters NICHT aufgerufen. Andernfalls wird die Zugriffsrichtlinienregel verarbeitet und der Konfigurationsknoten verarbeitet.

Basierend auf dem im Konfigurationsknoten definierten evaluationOutboundAttributes sendet die interne Verify-Komponente die folgenden Daten über die Webhooks an den Drittanbieter. Auf diese Weise kann das Risiko oder die unterstützten Attributwerte aus der Risikoengine abgerufen werden.

Ein Beispiel des Datenmodells, das Verify an den Drittanbieter sendet (über die interne Webhooks-API):

{
    "sessionContext": {
       ...
    },
    "attributeContext" :{
       ...
    },
    "policyContext" :{
       ...
    },
    "adaptiveContext" : {
        ...
    },
    "customAttributes" :  { 
        "customAttributeId1" : ["value"], 
        .. 
    },
    authnMethods : [...] 
}

Details zur Anforderung des Zugriffsrichtlinienframeworks für Webhooks


Element	Beschreibung
Nutzdatentyp	JSON-Objekt, das das Anforderungsmodell darstellt.
`sessionContext`	Die Benutzerattribute, die innerhalb von Verify. verfügbar sind.
`attributeContext`	Die Kontextattribute des Benutzers, die innerhalb von Verify. verfügbar sind.
`policyContext`	VerifyDie Attribute des Zugriffsrichtlinienobjekts, die darin verfügbar sind.
`adaptiveContext`	Die adaptiven Sitzungsattribute des Benutzers, die innerhalb von Verify. verfügbar sind.
`customAttributes`	Die Zuordnung der IDs der benutzerdefinierten Attribute und die Liste der Werte. Sie stellen die benutzerdefinierten Attribute dar, die für den Verify Mandanten verfügbar sind. Die benutzerdefinierten Attribute, die an den Drittanbieter gesendet werden, werden aus der Liste der `customAttributes` IDs abgeleitet, die im Rahmen der Konfiguration der Drittanbieter-Integration angegeben wurden.
`authnMethods`	Überprüfen Sie bekannte Authentifizierungsfaktoren, die im Zugriffsrichtlinienobjekt definiert sind, das ausgewertet wird.

Webhooks für Antwortmodelle für Zugriffsrichtlinien

Während der Auswertung des Zugriffsrichtlinienobjekts empfängt die Verify-interne Komponente, nachdem sie die Datennutzdaten über die Webhooks an den Drittanbieter gesendet hat, die Antwort von der Integration des Drittanbieters. Die Antwort enthält Version, unterstützte Attribute, Schlüssel/Wert-Paare und das Ergebnis.

Das Antwortdatenmodell, das Verify von der Integration eines Drittanbieters empfängt:

{
    "version" :"some version",
    "result": { 
        "action" : "any one of the Verify access policy actions.",
        "message" : "Reason why this decision was returned.",
        "authnMethods" : ["List of Verify authentication factors which the third party requires the user to complete. It must be the same, or a subset of the authnMethods sent to the third party via webhooks in the request."],
        "redirectURI" : "Verify relative or absolute URL to redirect the browser when additional information is required." 
    },
    "attributes": {
        "attrName1" : "value",
        "attrNameN" : "value",
    },
}

Antwortdetails der Webhook-Zugriffsrichtlinie


Element	Beschreibung
Nutzdatentyp	JSON-Objekt, das das Antwortmodell darstellt.
HTTP-Statuscode	Siehe HTTP-Statuscode.
`version`	Optional - Stellt die Antwortversion der Integration eines Drittanbieters dar.
`result`	Optional - Stellt das Integrationsergebnis eines Drittanbieters dar. Der Drittanbieter kann eine Antwort ohne Ergebnisblock zurückgeben und nur die unterstützten `attributes` zurückgeben. Wenn das Ergebnisobjekt vorhanden ist, muss es das Feld `decision` enthalten.
`result.decision`	Obligatorisch - Stellt die Integrationsentscheidung eines anderen Anbieters dar und ihr Wert kann eine der ISV-Zugriffsrichtlinienaktionen enthalten. Die gültigen Werte sind `ACTION_DENY, ACTION_ALLOW, ACTION_MFA_ALWAYS, ACTION_MFA_PER_SESSION, ACTION_DENY_OVERRIDE, ACTION_MFA_OVERRIDE, ACTION_ALLOW_OVERRIDE, ACTION_DENY_AND_REDIRECT, ACTION_REDIRECT and ACTION_CONTINUE`.
`result.message`	Optional - Stellt den Grund/die Nachricht für die Integration eines Drittanbieters dar, aus dem bzw. der diese `action` zurückgegeben wurde.
`result.authnMethods`	Optional - ["Liste der ISV-Authentifizierungsfaktoren, die der Benutzer für den Drittanbieter ausführen muss. Sie muss identisch oder eine Untergruppe der authnMethods sein, die über Webhooks in der Anforderung an den Dritten gesendet werden."]
`result.redirectURI`	Optional - Stellt den Endpunkt dar, an den der Browser umgeleitet wird, wenn ein ACTION_REDIRECT/ACTION_DENY_AND_REDIRECT oder ein behebbarer Fehlerablauf auftritt. Der Query-String-Parameter, der infolge einer Antwort vom Typ „Redirect Variant“ an den Browser gesendet wird, enthält ein Target. Der Client muss nach Abschluss der erforderlichen Interaktion mit dem Client-Browser an Target zurückgeleitet werden.
`attributes`	Optional – Stellt die Attribute (Hash-Map) dar, die von der Integration des Drittanbieters unterstützt werden.