サード・パーティーのリスク・アセスメント統合

オンラインで編集

IBM® Verifyサードパーティのリスク評価ツールとの連携に向けた、のWebhook機能の活用方法やカスタマイズに関するガイドです。 サード・パーティー統合、サード・パーティー・リスク・アセスメント、または外部サード・パーティー・プロバイダーは同じものを指しており、本書全体で同じ意味で使用されています。

サード・パーティー・リスク・アセスメントの概要

サードパーティ・リスク管理では、Webhook機能を活用することで、リスク評価を外部に委託することができます Verify 。 サード・パーティー・プロバイダーから計算されたリスクは、アクセス・ポリシー・フレームワークにフィードバックされ、SAML または OIDC コンポーネントを介してユーザー・アプリケーションに返されます。

また、サード・パーティー・リスク・アセスメントでは、サード・パーティー統合でサポートされる属性を提供することもできます。 これらの属性をアクセス・ポリシー・オブジェクトでさらに使用して、ユーザーのアプリケーション・アクセスに関連するリスクを評価することができます。

この図は、エンドツーエンド・フローを示しています。

この図は、サードパーティ製連携機能に関連する、アプリケーション、アクセスポリシー、属性、およびWebhook間の連携の流れを示しています。

以下のフレームワークを設定することで、 Verify サードパーティのリスク評価を有効にできます:

アクセス・ポリシー
外部サード・パーティー・リスク・プロバイダー用の構成 API、アクセス・ポリシーの管理、およびランタイム・フローを提供します。 これは、リアルタイムWebhookの設定インスタンスに関連付けられている必要があります。
リアルタイムWebhook
VerifyVerify の内部コンポーネントが、パブリックインターネット経由でサードパーティのリスク統合プロバイダーにアクセスできるようにします。 Webhook により、外部サード・パーティー・リスク・プロバイダーに HTTPS クライアント接続ができるようにします。 構成では、以下のような側面が処理されます。
  • プロバイダーに接続する可能性があるパブリック・インターネット・ロケーション・アドレス。
  • 外部プロバイダー Web API へのセキュア認証および接続。
  • 要求と応答の変換およびマッピング。
  • Verify 内部ランタイム・コンポーネントが開始する可能性がある「API リソース」のセット。