Contrat d'API de risque tiers

Lorsque la demande d'évaluation de l'application émanant de l'utilisateur parvient à IBM® Verify, le composant interne du cadre de politique d'accès évalue l'objet de politique d'accès associé à l'application. Ensuite, il génère une charge utile destinée à l'intégration avec des services tiers via des webhooks en temps réel.

Modèle de demande de webhooks de stratégie d'accès

Le cadre de politique d'accès lit la enabled valeur du nœud de configuration. Si la valeur est false, le traitement de la règle est ignoré et l'intégration tierce n'est PAS déclenchée. Sinon, la règle de politique d'accès est traitée, puis le nœud de configuration est traité.

En fonction du evaluationOutboundAttributes défini dans le noeud de configuration, le composant Verify interne envoie les données suivantes à la tierce partie via les webhooks. De cette façon, il peut obtenir le risque, ou les valeurs d'attribut prises en charge par le moteur de risque.

Exemple de modèle de données, que Verify envoie à la tierce partie (via l'API interne des webhooks) :

{
    "sessionContext": {
       ...
    },
    "attributeContext" :{
       ...
    },
    "policyContext" :{
       ...
    },
    "adaptiveContext" : {
        ...
    },
    "customAttributes" :  { 
        "customAttributeId1" : ["value"], 
        .. 
    },
    authnMethods : [...] 
}
Détails de l'infrastructure de stratégie d'accès pour les demande de webhooks
Elément Descriptif
Type de contenu Objet JSON représentant le modèle de demande.
sessionContext Les attributs de sujet de l'utilisateur disponibles dans Verify.
attributeContext Les attributs de contexte de l'utilisateur disponibles à l'intérieur de Verify.
policyContext Les attributs de l'objet de stratégie d'accès disponibles dans Verify.
adaptiveContext Les attributs de session adaptatifs de l'utilisateur disponibles dans Verify.
customAttributes Tableau des identifiants des attributs personnalisés et liste des valeurs. Ils correspondent aux attributs personnalisés disponibles pour le Verify locataire. Les attributs personnalisés transmis au tiers sont dérivés de la liste des customAttributes identifiants spécifiés dans le cadre de la configuration de l'intégration avec ce tiers.
authnMethods Facteurs d'authentification connus Verify définis dans l'objet de stratégie d'accès en cours d'évaluation.

Webhooks pour les modèles de réponse de stratégie d'accès

Lors de l'évaluation de l'objet de stratégie d'accès, après que le composant Verify interne a envoyé le contenu de données à la tierce partie via les webhooks, il reçoit la réponse de l'intégration tierce. La réponse inclut la version, les attributs pris en charge, les paires clé-valeur et le résultat.

Modèle de données de réponse, que Verify reçoit de l'intégration tierce :

{
    "version" :"some version",
    "result": { 
        "action" : "any one of the Verify access policy actions.",
        "message" : "Reason why this decision was returned.",
        "authnMethods" : ["List of Verify authentication factors which the third party requires the user to complete. It must be the same, or a subset of the authnMethods sent to the third party via webhooks in the request."],
        "redirectURI" : "Verify relative or absolute URL to redirect the browser when additional information is required." 
    },
    "attributes": {
        "attrName1" : "value",
        "attrNameN" : "value",
    },
}
Détails de la réponse de stratégie d'accès de webhooks
Elément Descriptif
Type de contenu Objet JSON représentant le modèle de réponse.
Code d'état HTTP Voir Code d'état HTTP.
version Facultatif - Représente la version de réponse d'intégration tierce.
result Facultatif - Représente le résultat d'intégration tierce. La tierce partie peut renvoyer une réponse sans bloc de résultats et peut renvoyer uniquement les attributes pris en charge. Si l'objet de résultat est présent, il doit contenir la zone decision.
result.decision Obligatoire - Représente la décision d'intégration tierce et sa valeur peut contenir l'une des actions de stratégie d'accès ISV. Valeurs admises : ACTION_DENY, ACTION_ALLOW, ACTION_MFA_ALWAYS, ACTION_MFA_PER_SESSION, ACTION_DENY_OVERRIDE, ACTION_MFA_OVERRIDE, ACTION_ALLOW_OVERRIDE, ACTION_DENY_AND_REDIRECT, ACTION_REDIRECT and ACTION_CONTINUE.
result.message Facultatif - Représente le motif/message d'intégration tierce qui explique pourquoi action a été renvoyé.
result.authnMethods Facultatif - ["Liste des facteurs d'authentification ISV que l'utilisateur doit exécuter pour la tierce partie. Doit être identique, ou un sous-ensemble des méthodes authnMethods envoyées à la tierce partie via des webhooks dans la demande."]
result.redirectURI Facultatif - Représente le noeud final vers lequel le navigateur doit être redirigé dans le cas de ACTION_REDIRECT/ACTION_DENY_AND_REDIRECT ou d'un flux d'erreur rémédiable. Le paramètre de la chaîne de requête envoyé au navigateur à la suite d'une réponse de redirection a un Target. Le client doit être redirigé vers Target une fois l'interaction requise avec le navigateur client terminée.
attributes Facultatif – Représente les attributs (table de hachage) pris en charge par l'intégration tierce.