Documentation Oracle Cloud Infrastructure

Présentation des fournisseurs de risque

Les administrateurs de domaine d'identité et les administrateurs de sécurité recourent à des fournisseurs de risque de domaine d'identité pour configurer divers événements contextuels et de menace à analyser dans un domaine d'identité dans IAM. Un domaine d'identité peut également s'appuyer sur les scores de risque utilisateur de fournisseurs de risque tiers.

Fournisseur de risque par défaut

Un domaine d'identité inclut un fournisseur de risque par défaut avec la liste des événements contextuels et de menace pris en charge, comme un trop grand nombre de tentatives de connexion ou d'authentification à plusieurs facteurs infructueuses. Les administrateurs peuvent activer les événements d'intérêt, et spécifier la pondération ou la gravité de chacun d'entre eux. Le système utilise la pondération configurée pour calculer le score de risque de l'utilisateur.

Vous pouvez configurer les événements suivants pour un fournisseur de risque :
  • Accès à partir d'un appareil inconnu
  • Tentatives de connexion infructueuses trop nombreuses
  • Tentatives d'authentification à plusieurs facteurs infructueuses trop nombreuses
  • Accès à partir d'adresses IP suspectes
  • Accès à partir d'un emplacement inconnu
  • Voyage impossible entre différents emplacements
Par exemple, si une personne se connecte via un nouvel appareil inconnu, le système ne reconnaît pas l'appareil et déclenche l'événement Accès à partir d'un appareil de connexion inconnu.
Les administrateurs peuvent affecter une pondération aux événements qui correspondent à des plages de risques. La pondération s'entend comme suit pour chacun des risques :
  • Plage à faible risque (0-25)
  • Plage à risque moyen (26-75)
  • Plage à risque élevé (76-100)
Si l'administrateur considère qu'une connexion utilisateur à partir d'un appareil inconnu présente un risque faible, il définit la pondération de cet événement sur une valeur inférieure à 25. Si l'administrateur considère que ce même événement présente un risque moyen, l'administrateur définit la pondération de cet événement sur une valeur comprise entre 26 et 75. Tout jeu de valeurs supérieur à 75 pour l'événement est considéré comme un risque élevé. Si l'utilisateur déclenche plusieurs événements, le score de risque est une combinaison de deux pondérations et correspond au niveau de risque approprié. Les scores de risque de l'utilisateur sont évalués en continu et revus à la baisse en fonction des actions de résolution effectuées par l'utilisateur, telles que les connexions réussies et les réinitialisations de mot de passe.

Fournisseurs de risque tiers

Les administrateurs peuvent créer des fournisseurs de risque pour obtenir le score de risque d'un utilisateur auprès du moteur de risque tiers Symantec. Ce moteur de risque fournit des informations supplémentaires sur le comportement de l'utilisateur sur les systèmes hétérogènes avec lesquels IAM n'est pas directement impliqué.

Pour fournir le profil de risque consolidé de l'utilisateur à tout moment, IAM prend le niveau le plus élevé des scores de risque du fournisseur de risque IAM par défaut et des fournisseurs de risque tiers configurés, et qualifie l'utilisateur en tant qu'utilisateur à risque élevé, moyen ou faible. Par exemple, si le score de risque d'un utilisateur pour le fournisseur de risque par défaut est compris dans la plage Faible, mais qu'il est compris dans la plage Moyen pour un fournisseur de risque tiers, le niveau de risque consolidé de l'utilisateur est défini sur Moyen.

Les administrateurs peuvent utiliser le score de risque de domaine d'identité, le score de risque tiers ou le niveau de risque utilisateur consolidé en tant que conditions pouvant être employées avec des stratégies de connexion de domaine d'identité afin d'appliquer une action de résolution. Par exemple : autoriser ou refuser à l'utilisateur l'accès à un domaine d'identité et à ses applications et ressources protégées, ce qui oblige l'utilisateur à fournir un second facteur d'authentification auprès d'un domaine d'identité, etc.