第三方风险 API 合同

在线编辑

IBM® Verify当用户的应用程序评估请求到达时,访问策略框架内部的组件会评估附加在该应用程序上的访问策略对象。 然后,它通过实时 webhook 生成用于第三方集成的有效载荷。

访问策略 Webhook 请求模型

访问策略框架会读取 config 节点的值 enabled 。 如果该值为 false,则跳过该规则的处理,并且不会调用第三方集成。 否则,将处理访问策略规则并处理配置节点。

根据配置节点中定义的 evaluationOutboundAttributes,内部 Verify 组件通过 Webhook 将以下数据发送给第三方。 这样就可以从其风险引擎获取风险或其受支持的属性值。

数据模型的样本,Verify 通过 Webhook 内部 API 将该样本发送给第三方:

{
    "sessionContext": {
       ...
    },
    "attributeContext" :{
       ...
    },
    "policyContext" :{
       ...
    },
    "adaptiveContext" : {
        ...
    },
    "customAttributes" :  { 
        "customAttributeId1" : ["value"], 
        .. 
    },
    authnMethods : [...] 
}
用于 Webhook 请求详细信息的访问策略框架
Element 描述
有效内容类型 表示请求模型的 JSON 对象。
sessionContext Verify在.内部可用的用户主体属性。
attributeContext Verify在. 内部可用的用户上下文属性。
policyContext Verify. 中可用的访问策略对象属性。
adaptiveContext Verify可在. 内部使用的用户自适应会话属性。
customAttributes 自定义属性 ID 及值列表。 它们代表了该 Verify 租户可用的自定义属性。 发送给第三方服务的自定义属性源自作为第三方集成配置一部分而指定的 ID 列表 customAttributes
authnMethods 在正在评估的访问策略对象中定义的 Verify 已知认证因子。

访问策略响应模型的 Webhook

在访问策略对象评估期间,Verify 内部组件通过 Webhook 将数据有效内容发送给第三方后,它将接收来自第三方集成的响应。 响应包含版本、受支持的属性、键值对和结果。

Verify 从第三方集成接收到的响应数据模型:

{
    "version" :"some version",
    "result": { 
        "action" : "any one of the Verify access policy actions.",
        "message" : "Reason why this decision was returned.",
        "authnMethods" : ["List of Verify authentication factors which the third party requires the user to complete. It must be the same, or a subset of the authnMethods sent to the third party via webhooks in the request."],
        "redirectURI" : "Verify relative or absolute URL to redirect the browser when additional information is required." 
    },
    "attributes": {
        "attrName1" : "value",
        "attrNameN" : "value",
    },
}
Webhook 访问策略响应详细信息
Element 描述
有效内容类型 表示响应模型的 JSON 对象。
HTTP 状态码 请参阅 HTTP 状态码
version 可选 - 表示第三方集成响应版本。
result 可选 - 表示第三方集成结果。 第三方可以返回不包含结果块的响应,并且只能返回受支持的 attributes。 如果结果对象已存在,那么它必须包含 decision 字段。
result.decision 必需 - 表示第三方集成决策,其值可以包含其中一个 ISV 访问策略操作。 有效值为 ACTION_DENY, ACTION_ALLOW, ACTION_MFA_ALWAYS, ACTION_MFA_PER_SESSION, ACTION_DENY_OVERRIDE, ACTION_MFA_OVERRIDE, ACTION_ALLOW_OVERRIDE, ACTION_DENY_AND_REDIRECT, ACTION_REDIRECT and ACTION_CONTINUE
result.message 可选 - 表示第三方集成原因/消息,说明返回此 action 的原因。
result.authnMethods 可选 - ["第三方要求用户完成的 ISV 认证因子的列表。 它必须相同,或者是通过请求中的 Webhook 发送给第三方的 authnMethods 的子集。"]
result.redirectURI 可选 - 表示在 ACTION_REDIRECT/ACTION_DENY_AND_REDIRECT 或可恢复错误流的情况下必须将浏览器重定向至的端点。 作为重定向变体响应结果发送至浏览器的查询字符串参数包含一个 Target. 完成与客户机浏览器的必需交互后,必须将客户机重定向回 Target
attributes 可选 - 表示第三方集成所支持的属性(哈希表)。