Oracle Cloud Infrastructure - Dokumentation

Kontinuierliche Personalüberprüfung verwalten (Beta)

Wichtig

Pre-General Availability: 2023-10-14

Diese Dokumentation ist als Entwurf (vor allgemeiner Verfügbarkeit des Produkts) zu betrachten. Sie dient ausschließlich zu Präsentationszwecken und zur vorläufigen Verwendung. Diese Dokumentation bezieht sich nicht notwendigerweise auf die Hardware, auf der Sie die Software einsetzen. Bitte beachten Sie, dass Oracle und seine verbundenen Unternehmen für diese Dokumentation keinerlei Gewährleistung übernehmen und keine Verantwortung für Verluste, Kosten oder Schäden übernehmen, die auf die Nutzung dieser Dokumentation zurückzuführen sind.

Diese Dokumentation stellt keine Verpflichtung seitens Oracle zur Bereitstellung von Materialien, Code, Funktionalität oder Services dar. Diese Dokumentation sowie die Oracle-Programme und -Services, die sich im Entwurfs- bzw. Entwicklungsstadium befinden, können jederzeit und ohne vorherige Ankündigung geändert werden und dürfen nicht als Grundlage einer Kaufentscheidung herangezogen werden. Entwicklung, Freigabe und der Zeitplan von Funktionen oder Funktionalität der Oracle-Programme und -Services, die sich noch in der Entwicklung befinden, liegen im alleinigen Ermessen von Oracle. Alle Releasedaten oder andere Vorhersagen zukünftiger Ereignisse können sich ändern. Die zukünftige Verfügbarkeit zukünftiger Oracle-Programme oder -Services darf nicht als Grundlage für den Abschluss eines Lizenz- oder Servicevertrags mit Oracle herangezogen werden.

Siehe Oracle Legal Notices.

Einführung (Beta)

Identity Verification (IDV) ist ein Prozess, der die reale Identität einer Person validiert, indem ihre physischen Gesichtsattribute mit amtlichen Ausweisdokumenten, wie Pässen und Führerscheinen, verglichen werden. Dies bietet ein hohes Maß an Sicherheit, dass der Benutzer derjenige ist, der er vorgibt zu sein.

Die kontinuierliche Personalverifizierung (Continuous Workforce Verification, CWV) baut auf dem IDV auf, indem die Identität eines Benutzers nach der ersten Anmeldung regelmäßig mit Gesichtsbiometrie erneut validiert wird. Dadurch wird sichergestellt, dass die Person, die auf Anwendungen oder Ressourcen zugreift, die Person ist, die auf die Anwendung oder Ressource zugreifen soll (und nicht die Person, die zufällig die Zugangsdaten erhalten hat), wodurch die Sicherheitslage Ihres Unternehmens gegen Betrüger und unbefugten Zugriff gestärkt wird.

Dieser Service lässt sich in Drittanbieter zur Identitätsprüfung (oder Identitätsprüfung) integrieren, um die erste Dokument- und Identitätsprüfung durchzuführen. Sobald die Identität eines Benutzers verifiziert wurde, werden seine biometrischen Daten im Gesicht beim nativen Service von Oracle für laufende Verifizierungsprüfungen registriert. Derzeit unterstützt Oracle Daon.

Konzepte (Beta)

Identity Verification (IDV): Der einmalige Prozess zum Nachweis der Identität eines Benutzers, indem ein Live-Selfie mit einem von der Regierung ausgestellten Ausweisdokument abgeglichen wird. Dies erfolgt über einen Drittanbieter.

Gesichtsbiometrie: Der Prozess zum Erfassen der einzigartigen Gesichtsmerkmale eines Benutzers, um eine sichere biometrische Vorlage zu erstellen. Diese Vorlage wird für die Erstanmeldung und nachfolgende Verifizierungsprüfungen verwendet. Gesichtsbiometrie in IAM ist eine OCI-native Funktion.

Kontinuierliche Personalverifizierung (Continuous Workforce Verification, CWV): Eine fortlaufende Sicherheitslage, bei der die Identität eines Benutzers regelmäßig mithilfe von Gesichtsbiometrie geprüft wird, um sicherzustellen, dass der autorisierte Benutzer immer noch derjenige ist, der den Account betreibt.

Identity Verification Provider: Ein Drittanbieter-Service (z.B. Daon), der in OCI IAM integriert ist, um die anfängliche Identitätsprüfung durch Verifizierung von von Behörden ausgestellten Dokumenten abzuwickeln.

Liveliness Detection: Technologie, die bei biometrischen Gesichtsscans verwendet wird, um sicherzustellen, dass der Benutzer physisch präsent ist und kein Foto, Video oder keine Maske verwendet, um das System zu manipulieren. Dies beinhaltet Prompts wie das Kippen des Kopfes oder das Blinzeln.

Inlineanmeldung: Ein Anmeldungsprozess, der von einem Administrator angefordert wird und direkt im Anmeldeablauf stattfindet. Benutzer müssen es normalerweise abschließen, bevor sie auf Anwendungen zugreifen können.

Kontinuierlicher Personalprüfungsprozess

Der Prozess umfasst zwei Schlüsselpersonen:

  • Administratoren: Konfigurieren Sie Identity Verification-Provider, und richten Sie Continuous Workforce Verification-Policys ein, die definieren, wann und wie oft Benutzer ihre Identität überprüfen müssen.
  • Benutzer: Melden Sie sich beim Service an, indem Sie ihre Identität mit einem von der Regierung ausgestellten Ausweis und ihrem Gesicht überprüfen. Anschließend werden periodische biometrische Gesichtsprüfungen durchgeführt, wie vom Administrator festgelegt.

Administratorworkflow (Beta)

  1. Ein Administrator von Example Inc. stellt zunächst eine Geschäftsbeziehung mit einem unterstützten Identitätsverifizierungsprovider wie Daon her.
  2. In der OCI-Konsole navigiert der Administrator zur Identitätsdomain, konfiguriert Daon als Identitätsverifizierungsprovider mit Zugangsdaten wie Client-ID und Secret und aktiviert sie.
  3. Der Administrator erstellt dann eine fortlaufende Personalverifizierungs-Policy und fügt eine Regel hinzu, die angibt, welche Benutzergruppen betroffen sind.
  4. Innerhalb der Regel aktiviert der Administrator die Gesichtsbiometrie und legt die Häufigkeit für regelmäßige Prüfungen (z.B. alle 7 bis 14 Tage) und die erneute Anmeldung (z.B. alle 6 bis 12 Monate) fest.

Oracle empfiehlt die Kombination von Identity Verification und Biometrics für eine verbesserte Identitätssicherung. Jede Funktion ist jedoch optional und kann separat verwendet werden. Administratoren haben die Flexibilität, Continuous Workforce Verification mit Identity Verification und Facial Biometrics oder mit Facial Biometrics allein entsprechend den spezifischen Anforderungen ihrer Organisation zu konfigurieren. Wenn sowohl die Identitätsprüfung als auch die Gesichtsbiometrie für die Inline-Anmeldung aktiviert sind, wird der IDV-Prozess zuerst angefordert, gefolgt von der biometrischen Verifizierung.

Administratoren haben auch die Möglichkeit, die Anmeldung als obligatorische Inline-Option oder als Funktion anzugeben, die Benutzer überspringen und Einstellungen definieren können, wie z.B. die Überprüfungshäufigkeit.

Endbenutzerworkflow (Beta)

  1. Anfängliche Anmeldung: Ein Mitarbeiter, John, wird nach der Authentifizierung (wenn die Richtlinie zur kontinuierlichen Personalüberprüfung für die Inline-Anmeldung konfiguriert ist) oder über "Mein Profil" zur Inline-Anmeldung aufgefordert. Dies ist ein einmaliger Prozess.
    1. Identitätsprüfung: Ein QR-Code erscheint auf Johns Computerbildschirm. Er scannt es mit seinem Smartphone, um den Identitätsüberprüfungsprozess mit Daon einzuleiten. Er nimmt ein Live-Selfie und scannt seinen von der Regierung ausgestellten Ausweis. Daon bestätigt die Echtheit des Dokuments und bestätigt, dass das Selfie mit dem Foto im Dokument übereinstimmt.
    2. Biometrische Anmeldung: John wird zurück zum Webbrowser seines Computers geleitet. Er wird aufgefordert, sein Gesicht in einem Rahmen zu positionieren und willkürliche Aufforderungen zur Lebendigkeit zu erfüllen, wie z. B. das Kippen des Kopfes. Das System erfasst seine Gesichtsdaten, erstellt eine biometrische Vorlage und speichert sie sicher, um die Anmeldung abzuschließen.
  2. Laufende Verifizierung: Zwei Wochen später, wenn John auf eine Anwendung zugreift, meldet er sich mit seinen Standardzugangsdaten an. Unmittelbar danach löst die CWV eine biometrische Herausforderung im Gesicht aus. Er positioniert sein Gesicht, vervollständigt eine Aufforderung zur Lebendigkeit, und das System validiert seine Identität anhand der gespeicherten Vorlage und gewährt ihm Zugriff.

Anwendungsfall: Beispiel für die Nutzung von IDV und CWV (Beta) durch Example Inc

In diesem Anwendungsfall wird hervorgehoben, wie Example Inc den Identitätsverifizierungsanbieter Daon für die kontinuierliche Personalverifizierung (CWV) nutzt. Ein Administrator konfiguriert IAM für die Integration mit dem Identitätsverifizierungsprovider und erstellt kontinuierliche Personalverifizierungs-Policys für die regelmäßige Verifizierung von Benutzern. Mitarbeiter von Example Inc. überprüft die Identität mit einem amtlichen Ausweis, meldet sich bei der Gesichtsbiometrie an und wird durch regelmäßige Identitätsprüfungen erneut verifiziert.

Admin-Konfiguration (Beta)

  1. Ein Administrator von Example Inc. navigiert zur Identitätsdomain und konfiguriert einen Identitätsverifizierungsprovider, Daon.
  2. Der Administrator gibt die vom Anbieter bereitgestellten Zugangsdaten (Client-ID, Client Secret, Discovery-URL) ein, ordnet die unterstützten Claims Identitätsdomainattributen zu und wählt dann Erstellen aus. Der Identitätsverifizierungsprovider wird erstellt. Der Administrator aktiviert dann den Identitätsverifizierungsprovider.
  3. Der Administrator erstellt eine kontinuierliche Personalverifizierungs-Policy und erstellt eine Regel. In der Regel legt der Administrator die Voraussetzungen im Feld "Bedingungen" mit Passkey als erstem Authentifizierungsfaktor und Oracle Mobile Authenticator (OMA) als zweitem Faktor fest und wählt die Benutzergruppen aus, die von der Regel ausgewertet werden.
  4. Der Administrator von Example Inc. aktiviert dann die Gesichtsbiometrie, plant biometrische Gesichtsprüfungen in zufälligen Intervallen zwischen 7 und 14 Tagen und die Häufigkeit der erneuten Anmeldung zwischen 6 und 12 Monaten.
  5. Der Administrator aktiviert die Identitätsprüfung und wählt den im 2. Schritt erstellten Provider aus.
  6. Nachdem die Policy definiert wurde, wird sie für die Benutzer in der Identitätsdomain durchgesetzt, die den in der Regel angegebenen Bedingungen entsprechen.

Benutzeranmeldung (Beta)

  1. Ein Mitarbeiter, John, erhält eine E-Mail, in der er über die neue Anforderung informiert wird. Er meldet sich mit seinem primären und zweiten Faktor an und wird aufgefordert, sich bei Biometrie anzumelden. Wenn der Benutzer während der Anmeldung nicht aufgefordert wird, sich für Biometrie anzumelden, meldet er sich bei "Mein Anmeldeprofil" an und wählt "Mit Biometrie anmelden".
  2. Der Benutzer akzeptiert die Vertragsbedingungen.

  3. Verifizierung der Identität

    1. Ein QR-Code erscheint auf seinem Computerbildschirm. John scannt es mit seinem Smartphone, das die Identitätsprüfung mit Daon initiiert. Je nach Daon-Konfiguration wird John möglicherweise aufgefordert, die Daon-App oder eine von Example Inc. bereitgestellte App herunterzuladen, um die Identitätsprüfung abzuschließen.
    2. John nimmt ein Live Selfie. Daon überprüft das Selfie des Benutzers auf Lebendigkeit.
    3. Er scannt dann seinen von der Regierung ausgestellten Ausweis mit seinem Telefon. Daon bestätigt die Echtheit des Dokuments und bestätigt, dass das Selfie mit dem Foto im Dokument übereinstimmt.
    4. Eine Erfolgsmeldung gibt an, dass seine Identität verifiziert wurde.

  4. Gesichtsbiometrie Anmeldung

    1. John wird zurück zum Webbrowser seines Computers geleitet.
    2. Der Browser fordert Zugriff auf seine Webcam an. Er wird aufgefordert, sein Gesicht in einem Rahmen zu positionieren und die randomisierten Eingabeaufforderungen zur Lebendigkeit abzuschließen, wie das Kippen des Kopfes des Benutzers nach oben, nach rechts und links. Diese Schritte schützen vor Spoofing- und Replay-Angriffen.
    3. Das System erfasst seine Gesichtsdaten, erstellt eine biometrische Vorlage und speichert sie sicher. Die Anmeldung ist nun abgeschlossen.

Kontinuierliche Personalüberprüfung (Beta)

  1. Nach der Anmeldung erfolgt die regelmäßige biometrische Überprüfung des Gesichts nahtlos im Hintergrund. Beispiel: Zwei Wochen später schließt John beim Zugriff auf eine Unternehmensanwendung die Standard-Passkey-Anmeldung ab, gefolgt von Oracle Mobile Authenticator (OMA) als zweitem Faktor.
  2. Unmittelbar danach initiiert die CWV eine Herausforderung zur biometrischen Überprüfung des Gesichts. John positioniert sein Gesicht innerhalb des Rahmens, vervollständigt eine randomisierte Lebendigkeitsprompt, und das System validiert seine Identität anhand der sicher gespeicherten biometrischen Vorlage.
  3. John wird der Zugriff auf die Anwendung gewährt. Das Verifizierungsereignis wird zu Auditingzwecken protokolliert.