Contrat d'API de risque tiers

Modifier en ligne

Lorsque la demande d'évaluation d'application de l'utilisateur parvient à IBM® Verify, le composant interne de l'infrastructure de stratégie d'accès évalue l'objet de stratégie d'accès associé à l'application. Il crée ensuite une charge utile pour l'intégration de tiers par le biais de webhooks en temps réel.

Modèle de demande de webhooks de stratégie d'accès

L'infrastructure de stratégie d'accès lit la valeur enabled pour le noeud de configuration. Si la valeur est false, elle ignore le traitement de la règle et n'appelle PAS l'intégration tierce. Sinon, la règle de stratégie d'accès est traitée et le noeud de configuration est traité.

En fonction du evaluationOutboundAttributes défini dans le noeud de configuration, le composant Verify interne envoie les données suivantes à la tierce partie via les webhooks. De cette façon, il peut obtenir le risque, ou les valeurs d'attribut prises en charge par le moteur de risque.

Exemple de modèle de données, que Verify envoie à la tierce partie (via l'API interne des webhooks) :

{
    "sessionContext": {
       ...
    },
    "attributeContext" :{
       ...
    },
    "policyContext" :{
       ...
    },
    "adaptiveContext" : {
        ...
    },
    "customAttributes" :  { 
        "customAttributeId1" : ["value"], 
        .. 
    },
    authnMethods : [...] 
}

Détails de l'infrastructure de stratégie d'accès pour les demande de webhooks


Elément	Descriptif
Type de contenu	Objet JSON représentant le modèle de demande.
`sessionContext`	Attributs de sujet de l'utilisateur disponibles dans Verify.
`attributeContext`	Attributs de contexte de l'utilisateur disponibles dans Verify.
`policyContext`	Attributs d'objet de règle d'accès disponibles dans Verify.
`adaptiveContext`	Attributs de session adaptative de l'utilisateur disponibles dans Verify.
`customAttributes`	Mappe des ID d'attributs personnalisés et liste de valeurs. Ils représentent les attributs personnalisés disponibles pour le titulaire Verify . Les attributs personnalisés qui sont envoyés à un tiers sont dérivés de la liste des ID `customAttributes` qui sont spécifiés dans le cadre de la configuration d'intégration tiers.
`authnMethods`	Facteurs d'authentification connus Verify définis dans l'objet de stratégie d'accès en cours d'évaluation.

Webhooks pour les modèles de réponse de stratégie d'accès

Lors de l'évaluation de l'objet de stratégie d'accès, après que le composant Verify interne a envoyé le contenu de données à la tierce partie via les webhooks, il reçoit la réponse de l'intégration tierce. La réponse inclut la version, les attributs pris en charge, les paires clé-valeur et le résultat.

Modèle de données de réponse, que Verify reçoit de l'intégration tierce :

{
    "version" :"some version",
    "result": { 
        "action" : "any one of the Verify access policy actions.",
        "message" : "Reason why this decision was returned.",
        "authnMethods" : ["List of Verify authentication factors which the third party requires the user to complete. It must be the same, or a subset of the authnMethods sent to the third party via webhooks in the request."],
        "redirectURI" : "Verify relative or absolute URL to redirect the browser when additional information is required." 
    },
    "attributes": {
        "attrName1" : "value",
        "attrNameN" : "value",
    },
}

Détails de la réponse de stratégie d'accès de webhooks


Elément	Descriptif
Type de contenu	Objet JSON représentant le modèle de réponse.
Code d'état HTTP	Voir Code d'état HTTP.
`version`	Facultatif - Représente la version de réponse d'intégration tierce.
`result`	Facultatif - Représente le résultat d'intégration tierce. La tierce partie peut renvoyer une réponse sans bloc de résultats et peut renvoyer uniquement les `attributes` pris en charge. Si l'objet de résultat est présent, il doit contenir la zone `decision`.
`result.decision`	Obligatoire - Représente la décision d'intégration tierce et sa valeur peut contenir l'une des actions de stratégie d'accès ISV. Valeurs admises : `ACTION_DENY, ACTION_ALLOW, ACTION_MFA_ALWAYS, ACTION_MFA_PER_SESSION, ACTION_DENY_OVERRIDE, ACTION_MFA_OVERRIDE, ACTION_ALLOW_OVERRIDE, ACTION_DENY_AND_REDIRECT, ACTION_REDIRECT and ACTION_CONTINUE`.
`result.message`	Facultatif - Représente le motif/message d'intégration tierce qui explique pourquoi `action` a été renvoyé.
`result.authnMethods`	Facultatif - ["Liste des facteurs d'authentification ISV que l'utilisateur doit exécuter pour la tierce partie. Doit être identique, ou un sous-ensemble des méthodes authnMethods envoyées à la tierce partie via des webhooks dans la demande."]
`result.redirectURI`	Facultatif - Représente le noeud final vers lequel le navigateur doit être redirigé dans le cas de ACTION_REDIRECT/ACTION_DENY_AND_REDIRECT ou d'un flux d'erreur rémédiable. Le paramètre de chaîne de requête qui est envoyé au navigateur suite à une réponse de variante de redirection comporte un Target. Le client doit être redirigé vers Target une fois l'interaction requise avec le navigateur client terminée.
`attributes`	Facultatif-Représente les attributs (mappe de hachage) pris en charge par l'intégration tierce.