Contrat d'API de risque tiers
Lorsque la demande d'évaluation de l'application émanant de l'utilisateur parvient à IBM® Verify, le composant interne du cadre de politique d'accès évalue l'objet de politique d'accès associé à l'application. Ensuite, il génère une charge utile destinée à l'intégration avec des services tiers via des webhooks en temps réel.
Modèle de demande de webhooks de stratégie d'accès
Le cadre de politique d'accès lit la enabled valeur du nœud de configuration. Si la valeur est false, le traitement de la règle est ignoré et l'intégration tierce n'est PAS déclenchée. Sinon, la règle de politique d'accès est traitée, puis le nœud de configuration est traité.
En fonction du evaluationOutboundAttributes défini dans le noeud de configuration, le composant Verify interne envoie les données suivantes à la tierce partie via les webhooks. De cette façon, il peut obtenir le risque, ou les valeurs d'attribut prises en charge par le moteur de risque.
Exemple de modèle de données, que Verify envoie à la tierce partie (via l'API interne des webhooks) :
{
"sessionContext": {
...
},
"attributeContext" :{
...
},
"policyContext" :{
...
},
"adaptiveContext" : {
...
},
"customAttributes" : {
"customAttributeId1" : ["value"],
..
},
authnMethods : [...]
}Détails de l'infrastructure de stratégie d'accès pour les demande de webhooks| Elément | Descriptif |
|---|---|
| Type de contenu | Objet JSON représentant le modèle de demande. |
sessionContext |
Les attributs de sujet de l'utilisateur disponibles dans Verify. |
attributeContext |
Les attributs de contexte de l'utilisateur disponibles à l'intérieur de Verify. |
policyContext |
Les attributs de l'objet de stratégie d'accès disponibles dans Verify. |
adaptiveContext |
Les attributs de session adaptatifs de l'utilisateur disponibles dans Verify. |
customAttributes |
Tableau des identifiants des attributs personnalisés et liste des valeurs. Ils correspondent aux attributs personnalisés disponibles pour le Verify locataire. Les attributs personnalisés transmis au tiers sont dérivés de la liste des customAttributes identifiants spécifiés dans le cadre de la configuration de l'intégration avec ce tiers. |
authnMethods |
Facteurs d'authentification connus Verify définis dans l'objet de stratégie d'accès en cours d'évaluation. |
Webhooks pour les modèles de réponse de stratégie d'accès
Lors de l'évaluation de l'objet de stratégie d'accès, après que le composant Verify interne a envoyé le contenu de données à la tierce partie via les webhooks, il reçoit la réponse de l'intégration tierce. La réponse inclut la version, les attributs pris en charge, les paires clé-valeur et le résultat.
Modèle de données de réponse, que Verify reçoit de l'intégration tierce :
{
"version" :"some version",
"result": {
"action" : "any one of the Verify access policy actions.",
"message" : "Reason why this decision was returned.",
"authnMethods" : ["List of Verify authentication factors which the third party requires the user to complete. It must be the same, or a subset of the authnMethods sent to the third party via webhooks in the request."],
"redirectURI" : "Verify relative or absolute URL to redirect the browser when additional information is required."
},
"attributes": {
"attrName1" : "value",
"attrNameN" : "value",
},
}
Détails de la réponse de stratégie d'accès de webhooks| Elément | Descriptif |
|---|---|
| Type de contenu | Objet JSON représentant le modèle de réponse. |
| Code d'état HTTP | Voir Code d'état HTTP. |
version |
Facultatif - Représente la version de réponse d'intégration tierce. |
result |
Facultatif - Représente le résultat d'intégration tierce. La tierce partie peut renvoyer une réponse sans bloc de résultats et peut renvoyer uniquement les attributes pris en charge. Si l'objet de résultat est présent, il doit contenir la zone decision. |
result.decision |
Obligatoire - Représente la décision d'intégration tierce et sa valeur peut contenir l'une des actions de stratégie d'accès ISV. Valeurs admises : ACTION_DENY, ACTION_ALLOW,
ACTION_MFA_ALWAYS, ACTION_MFA_PER_SESSION, ACTION_DENY_OVERRIDE, ACTION_MFA_OVERRIDE,
ACTION_ALLOW_OVERRIDE, ACTION_DENY_AND_REDIRECT, ACTION_REDIRECT and
ACTION_CONTINUE. |
result.message |
Facultatif - Représente le motif/message d'intégration tierce qui explique pourquoi action a été renvoyé. |
result.authnMethods |
Facultatif - ["Liste des facteurs d'authentification ISV que l'utilisateur doit exécuter pour la tierce partie. Doit être identique, ou un sous-ensemble des méthodes authnMethods envoyées à la tierce partie via des webhooks dans la demande."] |
result.redirectURI |
Facultatif - Représente le noeud final vers lequel le navigateur doit être redirigé dans le cas de ACTION_REDIRECT/ACTION_DENY_AND_REDIRECT ou d'un flux d'erreur rémédiable. Le paramètre de la chaîne de requête envoyé au navigateur à la suite d'une réponse de redirection a un Target. Le client doit être redirigé vers Target une fois l'interaction requise avec le navigateur client terminée. |
attributes |
Facultatif – Représente les attributs (table de hachage) pris en charge par l'intégration tierce. |