Documentation Oracle Cloud Infrastructure

Gestion de la vérification continue du personnel (bêta)

Important

Pre-General Availability: 2023-10-14

Cette documentation est fournie dans la Version préliminaire de Disponibilité Générale ("Pre-GA") et uniquement à des fins de démonstration et d'usage à titre préliminaire de la version finale. Celle-ci n'est pas toujours spécifique du matériel informatique sur lequel vous utilisez ce logiciel. Oracle Corporation et ses affiliés déclinent toute responsabilité et excluent toute garantie expresse ou implicite quant au contenu de cette documentation. Oracle Corporation et ses affiliés ne sauraient en aucun cas être tenus pour responsables des pertes subies, des coûts occasionnés ou des dommages causés par l'utilisation de cette documentation.

Cette documentation ne constitue en aucun cas un engagement d'Oracle à fournir des composants, du code, des fonctionnalités ou des services. Cette documentation ainsi que la Version préliminaire de Disponibilité Générale ("Pre-GA") des programmes et services Oracle sont susceptibles d'être modifiées à tout moment et ne doivent pas être retenues comme une base d'une quelconque décision d'achat. Le développement, la publication et la mise à disposition des caractéristiques ou fonctionnalités pour la Version préliminaire de Disponibilité Générale ("Pre-GA") des programmes et services Oracle relèvent de la seule discrétion d'Oracle. Toutes les dates de publication et autres prévisions d'événements futurs sont susceptibles de modification. Vous ne devez pas compter sur la disponibilité future de programmes ou services Oracle à venir pour la souscription d'une licence ou d'un contrat de services avec Oracle.

Reportez-vous aux Mentions légales Oracle.

Introduction (bêta)

La vérification d'identité (IDV) est un processus qui valide l'identité réelle d'une personne en comparant ses attributs faciaux physiques aux documents d'identification émis par le gouvernement, tels que les passeports et les permis de conduire. Cela fournit un niveau élevé d'assurance que l'utilisateur est qui il prétend être.

La vérification continue du personnel (CWV) s'appuie sur un contrat ou accord à exécution indéterminée en validant périodiquement l'identité d'un utilisateur à l'aide de données biométriques faciales après son inscription initiale. Cela garantit que la personne qui accède aux applications ou aux ressources est la personne qui est censée accéder à l'application ou à la ressource (et non à quelqu'un qui a pris possession des informations d'identification), ce qui renforce la sécurité de votre organisation contre les imposteurs et les accès non autorisés.

Ce service s'intègre à des fournisseurs tiers de vérification d'identité (ou de vérification d'identité) pour effectuer la vérification initiale de document et d'identité. Une fois l'identité d'un utilisateur vérifiée, ses données biométriques faciales sont inscrites auprès du service natif d'Oracle pour les vérifications continues. Actuellement, Oracle prend en charge Daon.

Concepts (bêta)

Vérification d'identité (IDV) : processus ponctuel de vérification de l'identité d'un utilisateur en mettant en correspondance un selfie actif avec un document d'identité émis par le gouvernement. Cette opération s'effectue via un fournisseur tiers.

Biométrie faciale : processus de capture des caractéristiques faciales uniques d'un utilisateur pour créer un modèle biométrique sécurisé. Ce modèle est utilisé pour l'inscription initiale et les vérifications ultérieures. La biométrie faciale dans IAM est une fonctionnalité native d'OCI.

Vérification continue du personnel (CWV) : posture de sécurité continue dans laquelle l'identité d'un utilisateur est régulièrement vérifiée à l'aide de données biométriques faciales pour s'assurer que l'utilisateur autorisé est toujours celui qui exploite le compte.

Fournisseur de vérification d'identité : service tiers (par exemple, Daon) intégré à OCI IAM pour gérer la vérification initiale de l'identité en vérifiant les documents émis par le gouvernement.

Détection de la nouveauté : technologie utilisée lors des analyses biométriques faciales pour s'assurer que l'utilisateur est physiquement présent et qu'il n'utilise pas de photo, de vidéo ou de masque pour usurper le système. Cela implique des invites comme incliner la tête ou clignoter.

Inscription en ligne : processus d'inscription mandaté par un administrateur et exécuté directement dans le flux de connexion. Les utilisateurs sont généralement tenus de le terminer avant de pouvoir accéder aux applications.

Processus continu de vérification du personnel

Le processus implique deux personnalités clés :

  • Administrateurs : configurez des fournisseurs de vérification d'identité et des stratégies de vérification continue du personnel qui définissent quand et à quelle fréquence les utilisateurs doivent vérifier leur identité.
  • Utilisateurs : s'inscrire au service en vérifiant leur identité avec une pièce d'identité émise par le gouvernement et leur visage. Par la suite, ils effectuent des contrôles biométriques faciaux périodiques tels que définis par l'administrateur.

Workflow des administrateurs (bêta)

  1. Un administrateur d'Exemple Inc. établit d'abord une relation commerciale avec un fournisseur de vérification d'identité pris en charge, tel que Daon.
  2. Dans la console OCI, l'administrateur accède au domaine d'identité, configure Daon en tant que fournisseur de vérification d'identité à l'aide d'informations d'identification telles que l'ID client et la clé secrète, et l'active.
  3. L'administrateur crée ensuite une stratégie de vérification continue du personnel et ajoute une règle indiquant les groupes d'utilisateurs concernés.
  4. Dans la règle, l'administrateur active la biométrie faciale et définit la fréquence des vérifications périodiques (par exemple, tous les 7 à 14 jours) et des réinscriptions (par exemple, tous les 6 à 12 mois).

Oracle recommande de combiner la vérification d'identité et la biométrie pour améliorer l'assurance des identités. Cependant, chaque fonctionnalité est facultative et peut être utilisée séparément. Les administrateurs ont la possibilité de configurer la vérification continue du personnel avec la vérification de l'identité et la biométrie faciale, ou avec la biométrie faciale seule en fonction des besoins spécifiques de leur organisation. Lorsque la vérification de l'identité et la biométrie faciale sont activées pour l'inscription en ligne, le processus IDV est d'abord invité, suivi de la vérification biométrique.

Les administrateurs ont également la possibilité de spécifier l'inscription en tant qu'option en ligne obligatoire ou fonctionnalité que les utilisateurs peuvent ignorer et définir des paramètres tels que la fréquence de vérification.

Workflow de l'utilisateur final (bêta)

  1. Inscription initiale : un employé, John, est invité à s'inscrire en ligne après authentification (si la stratégie de vérification continue du personnel est configurée pour l'inscription en ligne) ou à partir de Mon profil. Il s'agit d'un processus ponctuel.
    1. Vérification de l'identité : un code QR apparaît sur l'écran de l'ordinateur de John. Il le scanne avec son smartphone pour initier le processus de vérification d'identité avec Daon. Il prend un selfie en direct, puis scanne sa pièce d'identité émise par le gouvernement. Daon valide l'authenticité du document et confirme que le selfie correspond à la photo dans le document.
    2. Inscription biométrique : John est redirigé vers le navigateur Web de son ordinateur. Il est invité à positionner son visage dans un cadre et des invites de vie aléatoires complètes, telles que l'inclinaison de sa tête. Le système capture ses données faciales, crée un modèle biométrique et les stocke en toute sécurité pour terminer son inscription.
  2. Vérification continue : Deux semaines plus tard, lorsque John accède à une demande, il se connecte avec ses identifiants standard. Immédiatement après, CWV initie un défi biométrique facial. Il positionne son visage, complète une invite de vivacité, et le système valide son identité par rapport au modèle stocké, lui accordant l'accès.

Cas d'utilisation : Exemple d'utilisation d'IDV et de CWV par Example Inc (bêta)

Ce cas d'utilisation montre comment Example Inc utilise le fournisseur de vérification d'identité Daon pour la vérification continue du personnel (CWV). Un administrateur configure IAM pour qu'il s'intègre au fournisseur de vérification d'identité et crée des stratégies de vérification continue du personnel pour la vérification périodique des utilisateurs. Employee of Example Inc. vérifie l'identité à l'aide d'une pièce d'identité émise par le gouvernement, s'inscrit à la biométrie faciale et est vérifiée à nouveau par le biais de contrôles d'identité périodiques.

Configuration administrateur (bêta)

  1. Un administrateur d'Exemple Inc. accède au domaine d'identité et configure un fournisseur de vérification d'identité, Daon.
  2. L'administrateur saisit les informations d'identification fournies par le fournisseur (ID client, clé secrète client, URL de repérage), met en correspondance les demandes prises en charge avec des attributs de domaine d'identité, puis sélectionne Créer. Le fournisseur de vérification d'identité est créé. L'administrateur active ensuite le fournisseur de vérification d'identité.
  3. L'administrateur crée une stratégie de vérification continue du personnel et une règle. Dans la règle, l'administrateur définit les prérequis dans le champ Conditions, avec la clé de passe comme premier facteur d'authentification et Oracle Mobile Authenticator (OMA) comme deuxième facteur, puis sélectionne les groupes d'utilisateurs évalués par la règle.
  4. L'administrateur d'Exemple Inc. active ensuite la biométrie faciale, planifie les contrôles biométriques faciaux à intervalles aléatoires entre 7 et 14 jours, et la fréquence de réinscription entre 6 et 12 mois.
  5. L'administrateur active la vérification d'identité et sélectionne le fournisseur créé à l'étape 2.
  6. Une fois définie, la stratégie est appliquée dans l'ensemble du domaine d'identité pour les utilisateurs qui satisfont aux conditions spécifiées dans la règle.

Inscription utilisateur (bêta)

  1. Un employé, John, reçoit un courriel l'informant de la nouvelle exigence. Il se connecte avec son facteur principal et son deuxième facteur et est invité à s'inscrire à la biométrie. Si vous n'êtes pas invité à vous inscrire à la biométrie lors de la connexion, l'utilisateur se connecte à Mon profil de connexion et sélectionne S'inscrire à la biométrie.
  2. L'utilisateur vérifie et accepte les conditions générales.

  3. Vérification d'identité

    1. Un code QR apparaît sur l'écran de son ordinateur. John le scanne avec son smartphone, qui initie la vérification d'identité avec Daon. Selon la configuration de Daon, John peut être invité à télécharger l'application Daon ou une application fournie par Example Inc. pour terminer la vérification d'identité.
    2. John prend un selfie. Daon vérifie le selfie de l'utilisateur pour la vivacité.
    3. Il scanne ensuite sa pièce d'identité émise par le gouvernement à l'aide de son téléphone. Daon valide l'authenticité du document et confirme que le selfie correspond à la photo dans le document.
    4. Un message de succès indique que son identité a été vérifiée.

  4. Inscription biométrique faciale

    1. John est redirigé vers le navigateur Web de son ordinateur.
    2. Le navigateur demande l'accès à sa webcam. Il est invité à positionner son visage dans un cadre et à compléter les invites de vivacité randomisées, telles que basculer la tête de l'utilisateur vers le haut, vers la droite et vers la gauche. Ces étapes protègent contre les attaques d'usurpation et de réexécution.
    3. Le système capture ses données faciales, crée un modèle biométrique et les stocke en toute sécurité. Son inscription est maintenant terminée.

Vérification continue du personnel (bêta)

  1. Une fois inscrit, la vérification biométrique faciale périodique se produit de manière transparente en arrière-plan. Par exemple, deux semaines plus tard, lors de l'accès à une application d'entreprise, John termine la connexion par clé de passe standard suivie d'Oracle Mobile Authenticator (OMA) comme deuxième facteur.
  2. Immédiatement après, CWV lance un défi de vérification biométrique faciale. John positionne son visage dans le cadre, complète une invite de vivacité randomisée, et le système valide son identité par rapport au modèle biométrique stocké de manière sécurisée.
  3. John a accès à l'application. L'événement de vérification est consigné à des fins d'audit.