Documentación de Oracle Cloud Infrastructure

Gestión de la verificación continua de personal (beta)

Importante

Pre-General Availability: 2023-10-14

Esta documentación se encuentra en estado previo a Disponibilidad General y tiene una finalidad exclusivamente demostrativa y preliminar. Puede que no sea específica del hardware en el que se esté utilizando el software. Ni Oracle Corporation ni sus filiales son responsables de ofrecer cualquier tipo de garantía sobre esta documentación y renuncian explícitamente a ello; además no se harán responsables de las pérdidas, los costos o los daños en los que se incurra como consecuencia del uso de esta documentación.

Esta documentación no constituye ningún compromiso por parte de Oracle de proporcionar ningún tipo de material, código, funcionalidad o servicio. Esta documentación, así como los programas y servicios identificados como Versión Previa a su Disponibilidad General de Oracle, están sujetos a cambio en cualquier momento y sin previo aviso y, por tanto, no deben tomarse en consideración como base para la adopción de decisiones de compra. El desarrollo, lanzamiento y plazo de disponibilidad de cualesquiera funciones o funcionalidades de los programas y servicios identificados como Versión Previa a su Disponibilidad General de Oracle quedan a la sola discreción de Oracle. Todas las fechas de lanzamiento y otras predicciones de eventos futuros están sujetas a cambio. La disponibilidad futura de cualquier programa o servicio futuro de Oracle no debe considerarse como base para la formalización de cualquier acuerdo de licencia o servicios con Oracle.

Consulte Oracle Legal Notices.

Introducción (beta)

La verificación de identidad (IDV) es un proceso que valida la identidad real de una persona mediante la comparación de sus atributos faciales físicos con documentos de identificación emitidos por el gobierno, como pasaportes y licencias de conducir. Esto proporciona un alto nivel de garantía de que el usuario es quien dice ser.

La Verificación continua de personal (CWV) se basa en IDV al revalidar periódicamente la identidad de un usuario mediante biometría facial después de la inscripción inicial. Esto garantiza que la persona que accede a las aplicaciones o los recursos sea la persona que se supone que debe acceder a la aplicación o el recurso (y no a alguien que obtuvo la posesión de las credenciales), lo que refuerza la postura de seguridad de su organización frente a los impostores y el acceso no autorizado.

Este servicio se integra con proveedores de verificación de identidad (o prueba de identidad) de terceros para realizar el documento inicial y la comprobación de identidad. Una vez que se verifica la identidad de un usuario, sus datos biométricos faciales se inscriben en el servicio nativo de Oracle para realizar comprobaciones de verificación continuas. Actualmente, Oracle admite Daon.

Conceptos (beta)

Verificación de identidad (IDV): proceso único de prueba de la identidad de un usuario mediante la confrontación de un selfie activo con un documento de ID emitido por el gobierno. Esto se realiza a través de un proveedor externo.

Biometría facial: proceso de captura de las características faciales únicas de un usuario para crear una plantilla biométrica segura. Esta plantilla se utiliza para la inscripción inicial y las comprobaciones de verificación posteriores. La biometría facial en IAM es una capacidad nativa de OCI.

Verificación continua de personal (CWV): una estrategia de seguridad continua en la que se comprueba periódicamente la identidad de un usuario mediante biometría facial para garantizar que el usuario autorizado siga siendo el que opera la cuenta.

Proveedor de verificación de identidad: servicio de terceros (por ejemplo, Daon) que está integrado en OCI IAM para gestionar la prueba de identidad inicial mediante la verificación de documentos emitidos por el gobierno.

Detección de vitalidad: tecnología utilizada durante las exploraciones biométricas faciales para garantizar que el usuario esté físicamente presente y no utilice una foto, video o máscara para falsificar el sistema. Esto implica indicaciones como inclinar la cabeza o parpadear.

Inscripción en línea: proceso de inscripción que es obligatorio para un administrador y que se produce directamente en el flujo de conexión. Normalmente, los usuarios deben completarlo antes de poder acceder a las aplicaciones.

Proceso de verificación continua de personal

El proceso involucra a dos personas clave:

  • Administradores: configure los proveedores de verificación de identidad y las políticas de verificación continua de personal que definen cuándo y con qué frecuencia los usuarios deben verificar su identidad.
  • Usuarios: inscríbase en el servicio verificando su identidad con un ID emitido por el gobierno y su rostro. Posteriormente, realizan comprobaciones biométricas faciales periódicas según lo definido por el administrador.

Flujo de trabajo de administradores (beta)

  1. Un administrador de Example Inc. establece primero una relación comercial con un proveedor de verificación de identidad compatible, como Daon.
  2. En la consola de OCI, el administrador navega al dominio de identidad, configura Daon como proveedor de verificación de identidad mediante credenciales como ID de cliente y secreto, y lo activa.
  3. A continuación, el administrador crea una política de verificación continua de personal y agrega una regla que especifica qué grupos de usuarios se ven afectados.
  4. Dentro de la regla, el administrador activa la biometría facial y define la frecuencia de las comprobaciones periódicas (por ejemplo, cada 7 a 14 días) y de la reinscripción (por ejemplo, cada 6 a 12 meses).

Oracle recomienda combinar la verificación de identidad y la biometría para mejorar la garantía de identidad. Sin embargo, cada capacidad es opcional y se puede utilizar por separado. Los administradores tienen la flexibilidad de configurar la verificación continua del personal con verificación de identidad y biometría facial, o solo con biometría facial según las necesidades específicas de su organización. Cuando tanto la verificación de identidad como la biometría facial están habilitadas para la inscripción en línea, el proceso IDV se solicitará primero, seguido de la verificación biométrica.

Los administradores también tienen la opción de especificar la inscripción como una opción en línea obligatoria o una función que los usuarios pueden omitir y definir parámetros como la frecuencia de verificación.

Flujo de trabajo de usuario final (beta)

  1. Inscripción inicial: se solicita a un empleado, John, que se inscriba en línea después de la autenticación (si la política de verificación continua de personal está configurada para la inscripción en línea) o desde Mi perfil. Es un proceso único.
    1. Verificación de identidad: aparece un código QR en la pantalla de la computadora de John. Lo escanea con su teléfono inteligente para iniciar el proceso de verificación de identidad con Daon. Se toma una selfie en vivo y luego escanea su identificación emitida por el gobierno. Daon valida la autenticidad del documento y confirma que el selfie coincide con la foto del documento.
    2. Inscripción biométrica: John es redirigido de nuevo al navegador web de su computadora. Se le pide que coloque su cara en un marco y complete mensajes de vida aleatorios, como inclinar la cabeza. El sistema captura sus datos faciales, crea una plantilla biométrica y los almacena de forma segura para completar su inscripción.
  2. Verificación en curso: Dos semanas después, cuando John accede a una aplicación, inicia sesión con sus credenciales estándar. Inmediatamente después, CWV inicia un desafío biométrico facial. Coloca su rostro, completa una petición de datos de vida, y el sistema valida su identidad contra la plantilla almacenada, otorgándole acceso.

Caso de uso: ejemplo de cómo Example Inc aprovecha IDV y CWV (beta)

Este caso de uso destaca cómo Example Inc aprovecha el proveedor de verificación de identidad Daon para la verificación continua del personal (CWV). Un administrador configura IAM para que se integre con el proveedor de verificación de identidad y crea políticas de verificación de personal continuas para la verificación periódica de usuarios. El empleado de Example Inc. verifica la identidad con un documento de identidad emitido por el gobierno, se inscribe en biometría facial y se vuelve a verificar mediante comprobaciones periódicas de identidad.

Configuración de administración (beta)

  1. Un administrador de Example Inc. navega al dominio de identidad y configura un proveedor de verificación de identidad, Daon.
  2. El administrador introduce las credenciales proporcionadas por el proveedor (ID de cliente, secreto de cliente, URL de detección), asigna las reclamaciones soportadas con atributos de dominio de identidad y, a continuación, selecciona Crear. Se crea el proveedor de verificación de identidad. Luego, el administrador activa el proveedor de verificación de identidad.
  3. El administrador crea una política de verificación de personal continua y una regla. En la regla, el administrador define los requisitos en el campo de condiciones, con la clave de paso como el primer factor de autenticación y Oracle Mobile Authenticator (OMA) como el segundo factor y selecciona los grupos de usuarios que evalúa la regla.
  4. A continuación, el administrador de Example Inc. activa la biometría facial, programa las comprobaciones biométricas faciales a intervalos aleatorios entre 7 y 14 días, y la frecuencia de reinscripción entre 6 y 12 meses.
  5. Administrator activa la verificación de identidad y selecciona el proveedor creado en el paso 2.
  6. Una vez definida, la política se aplica en el dominio de identidad para los usuarios que cumplen las condiciones especificadas en la regla.

Inscripción de usuario (beta)

  1. Un empleado, John, recibe un correo electrónico informándole del nuevo requisito. Se inicia con su factor primario y segundo y se le pide que se inscriba con biometría. Si no se le solicita que se inscriba en biometría durante el inicio de sesión, el usuario inicia sesión en Mi perfil de inicio de sesión y selecciona Inscribirse con biometría.
  2. El usuario revisa y acepta las condiciones.

  3. Verificación de Identidad

    1. Aparece un código QR en la pantalla de su computadora. John lo escanea con su teléfono inteligente, que inicia la verificación de identidad con Daon. Según la configuración de Daon, es posible que se le pida a John que descargue la aplicación Daon o una aplicación proporcionada por Example Inc. para completar la verificación de identidad.
    2. John se toma una selfie en vivo. Daon verifica el selfie del usuario para la vivacidad.
    3. Luego escanea su identificación emitida por el gobierno usando su teléfono. Daon valida la autenticidad del documento y confirma que el selfie coincide con la foto del documento.
    4. Un mensaje de éxito indica que se ha verificado su identidad.

  4. Inscripción en biometría facial

    1. John es redirigido de nuevo al navegador web de su computadora.
    2. El navegador solicita acceso a su webcam. Se le pide que coloque su cara en un marco y complete las indicaciones aleatorias de vivacidad, como inclinar la cabeza del usuario hacia arriba, a la derecha y a la izquierda. Estos pasos protegen contra ataques de falsificación y repetición.
    3. El sistema captura sus datos faciales, crea una plantilla biométrica y los almacena de forma segura. Su inscripción ya está completa.

Verificación continua de personal (beta)

  1. Una vez inscrito, la verificación biométrica facial periódica se produce sin problemas en el fondo. Por ejemplo, dos semanas después, al acceder a una aplicación empresarial, John completa la conexión de clave de paso estándar seguida de Oracle Mobile Authenticator (OMA) como segundo factor.
  2. Inmediatamente después, CWV inicia un desafío de verificación biométrica facial. John coloca su cara dentro del marco, completa una petición de datos aleatoria y el sistema valida su identidad contra la plantilla biométrica almacenada de forma segura.
  3. John tiene acceso a la aplicación. El evento de verificación se registra con fines de auditoría.