Risiko-API-Vertrag anderer Anbieter

Online bearbeiten

Wenn die Anwendungsauswertungsanforderung des Benutzers bei IBM® Verifyeingeht, wertet die interne Komponente im Zugriffsrichtlinienframework das Zugriffsrichtlinienobjekt aus, das der Anwendung zugeordnet ist. Anschließend wird eine Nutzlast für die Integration von Drittanbietern über die Echtzeit-Webhooks erstellt.

Anforderungsmodell für Webhooks für Zugriffsrichtlinien

Das Zugriffsrichtlinienframework liest den Wert enabled für den Konfigurationsknoten. Wenn der Wert falselautet, wird die Verarbeitung der Regel übersprungen und die Integration anderer Anbieter wird NICHT aufgerufen. Andernfalls wird die Zugriffsrichtlinienregel und der Konfigurationsknoten verarbeitet.

Basierend auf dem im Konfigurationsknoten definierten evaluationOutboundAttributes sendet die interne Verify-Komponente die folgenden Daten über die Webhooks an den Drittanbieter. Auf diese Weise kann das Risiko oder die unterstützten Attributwerte aus der Risikoengine abgerufen werden.

Ein Beispiel des Datenmodells, das Verify an den Drittanbieter sendet (über die interne Webhooks-API):

{
    "sessionContext": {
       ...
    },
    "attributeContext" :{
       ...
    },
    "policyContext" :{
       ...
    },
    "adaptiveContext" : {
        ...
    },
    "customAttributes" :  { 
        "customAttributeId1" : ["value"], 
        .. 
    },
    authnMethods : [...] 
}

Details zur Anforderung des Zugriffsrichtlinienframeworks für Webhooks


Element	Beschreibung
Nutzdatentyp	JSON-Objekt, das das Anforderungsmodell darstellt.
`sessionContext`	Die Benutzersubjektattribute, die in Verifyverfügbar sind.
`attributeContext`	Die Kontextattribute des Benutzers, die in Verifyverfügbar sind.
`policyContext`	Die Attribute des Zugriffsrichtlinienobjekts, die in Verifyverfügbar sind.
`adaptiveContext`	Die adaptiven Sitzungsattribute des Benutzers, die in Verifyverfügbar sind.
`customAttributes`	Die Zuordnung von benutzerdefinierten Attribut-IDs und Werteliste. Sie stellen die angepassten Attribute dar, die für den Verify -Tenant verfügbar sind. Die angepassten Attribute, die an den Drittanbieter gesendet werden, werden aus der Liste der `customAttributes` -IDs abgeleitet, die in der Integrationskonfiguration des Drittanbieters angegeben sind.
`authnMethods`	Überprüfen Sie bekannte Authentifizierungsfaktoren, die im Zugriffsrichtlinienobjekt definiert sind, das ausgewertet wird.

Webhooks für Antwortmodelle für Zugriffsrichtlinien

Während der Auswertung des Zugriffsrichtlinienobjekts empfängt die Verify-interne Komponente, nachdem sie die Datennutzdaten über die Webhooks an den Drittanbieter gesendet hat, die Antwort von der Integration des Drittanbieters. Die Antwort enthält Version, unterstützte Attribute, Schlüssel/Wert-Paare und das Ergebnis.

Das Antwortdatenmodell, das Verify von der Integration eines Drittanbieters empfängt:

{
    "version" :"some version",
    "result": { 
        "action" : "any one of the Verify access policy actions.",
        "message" : "Reason why this decision was returned.",
        "authnMethods" : ["List of Verify authentication factors which the third party requires the user to complete. It must be the same, or a subset of the authnMethods sent to the third party via webhooks in the request."],
        "redirectURI" : "Verify relative or absolute URL to redirect the browser when additional information is required." 
    },
    "attributes": {
        "attrName1" : "value",
        "attrNameN" : "value",
    },
}

Antwortdetails der Webhook-Zugriffsrichtlinie


Element	Beschreibung
Nutzdatentyp	JSON-Objekt, das das Antwortmodell darstellt.
HTTP-Statuscode	Siehe HTTP-Statuscode.
`version`	Optional - Stellt die Antwortversion der Integration eines Drittanbieters dar.
`result`	Optional - Stellt das Integrationsergebnis eines Drittanbieters dar. Der Drittanbieter kann eine Antwort ohne Ergebnisblock zurückgeben und nur die unterstützten `attributes` zurückgeben. Wenn das Ergebnisobjekt vorhanden ist, muss es das Feld `decision` enthalten.
`result.decision`	Obligatorisch - Stellt die Integrationsentscheidung eines anderen Anbieters dar und ihr Wert kann eine der ISV-Zugriffsrichtlinienaktionen enthalten. Die gültigen Werte sind `ACTION_DENY, ACTION_ALLOW, ACTION_MFA_ALWAYS, ACTION_MFA_PER_SESSION, ACTION_DENY_OVERRIDE, ACTION_MFA_OVERRIDE, ACTION_ALLOW_OVERRIDE, ACTION_DENY_AND_REDIRECT, ACTION_REDIRECT and ACTION_CONTINUE`.
`result.message`	Optional - Stellt den Grund/die Nachricht für die Integration eines Drittanbieters dar, aus dem bzw. der diese `action` zurückgegeben wurde.
`result.authnMethods`	Optional - ["Liste der ISV-Authentifizierungsfaktoren, die der Benutzer für den Drittanbieter ausführen muss. Sie muss identisch oder eine Untergruppe der authnMethods sein, die über Webhooks in der Anforderung an den Dritten gesendet werden."]
`result.redirectURI`	Optional - Stellt den Endpunkt dar, an den der Browser umgeleitet wird, wenn ein ACTION_REDIRECT/ACTION_DENY_AND_REDIRECT oder ein behebbarer Fehlerablauf auftritt. Der Abfragezeichenfolgeparameter, der als Ergebnis einer Umleitungsvariantenantwort an den Browser gesendet wird, hat eine Target. Der Client muss nach Abschluss der erforderlichen Interaktion mit dem Client-Browser an Target zurückgeleitet werden.
`attributes`	Optional-Stellt die Attribute (Hashzuordnung) dar, die von der Integration anderer Anbieter unterstützt werden