Oracle Cloud Infrastructureドキュメント

アイデンティティ保証の管理

Identity VerificationおよびFacial Biometricsを使用して、ユーザーがエンタープライズ・リソースにアクセスする前に自分が主張しているユーザーであることを確認します。

概要

アイデンティティ検証(IDV): ライブ・セルフィーを政府発行のID (パスポートや運転免許など)と照合して、ユーザーの実際のアイデンティティを検証するワンタイム・プロセス。IDVは、サポートされているサード・パーティのアイデンティティ検証プロバイダによって実行され、ユーザーが自分であると主張する高いレベルの保証を提供します。

Facial Biometrics: プロセスでは、ユーザーの一意の顔特性を取得して、セキュアな生体認証テンプレートを作成します。このテンプレートは、初期登録および後続の検証チェックに使用されます。OCI IAMのフェイシャル・バイオメトリクスは、OCIネイティブ機能です。

アイデンティティ保証: IDVと顔の生体認証を組み合せます。初期アイデンティティ検証(IDV)後、システムは顔の生体認証を使用してユーザーのアイデンティティを定期的に再検証します。これらのチェックにより、資格証明を使用しているユーザーが、資格証明を取得したユーザーではなく、登録済ユーザーであることが確認されます。このプロセスにより、偽装や不正アクセスのリスクが軽減され、組織のセキュリティ・ポスチャが強化されます。

このサービスは、最初のドキュメントおよびアイデンティティ・チェックを実行するために、サード・パーティのアイデンティティ検証(またはアイデンティティ・プルーフ)プロバイダと統合されます。ユーザーのアイデンティティが検証されると、そのユーザーの顔の生体認証データは、継続的な検証チェックのためにOracleのネイティブ・サービスに登録されます。
ノート

DaonやCLEARなどのサード・パーティの検証プロバイダがサポートされています。

概念

アイデンティティ検証プロバイダ: 政府発行ドキュメントを使用したIAMでの初期アイデンティティ検証では、DaonやCLEARなどのサードパーティ検証プロバイダをサポートしています。

Liveness Detection: ユーザーが物理的に存在し、写真、ビデオまたはマスクを使用してシステムをスプーフィングしていないことを確認するために、顔の生体認証スキャン中に使用されるテクノロジ。これには、頭部の傾きや点滅などのプロンプトが含まれます。

インライン登録: 管理者によって義務付けられ、サインイン・フロー内で直接行われる登録プロセスです。通常、必須ユーザーは、アプリケーションにアクセスする前に完了する必要があります。

アイデンティティ保証プロセス

このプロセスには、次の2つの主要なペルソナが含まれます。

  • 管理者:アイデンティティ検証プロバイダを構成し、ユーザーがアイデンティティを検証するタイミングと頻度を定義するアイデンティティ保証ポリシーを設定します。
  • ユーザー:政府発行のIDでアイデンティティを検証し、顔の生体認証をIAMに登録して、サービスに登録します。その後、管理者が定義した定期的な顔の生体認証チェックを完了します。

管理者ワークフロー

  1. Example Inc.の管理者は、最初に、サポートされているサード・パーティID検証プロバイダとの商用関係を確立します。
  2. OCIコンソールで、管理者はアイデンティティ・ドメインに移動し、クライアントIDやシークレットなどの資格証明を使用してサードパーティのアイデンティティ検証プロバイダを構成し、アクティブ化します。
  3. 次に、管理者はアイデンティティ・アシュアランス・ポリシーを作成し、影響を受けるユーザー・グループを指定するルールを追加します。
  4. ルール内で、管理者は顔の生体認証を有効にし、定期的なチェック(たとえば、7~14日ごと)および再登録(たとえば、6~12か月ごと)の頻度を設定します。

アイデンティティ保証を強化するために、アイデンティティ検証と生体認証を組み合せることをお薦めします。ただし、各機能はオプションであり、個別に使用できます。管理者は、アイデンティティ検証とフェイシャルバイオメトリクスを使用して、または組織の特定のニーズに応じてフェイシャルバイオメトリクスのみを使用して、アイデンティティ保証を柔軟に構成できます。インライン登録に対してアイデンティティ検証と顔の生体認証の両方が有効になっている場合、IDVプロセスが最初にプロンプトされ、次に生体認証が求められます。

アイデンティティ保証は認証後に行われ、Azureなどの外部サードパーティのアイデンティティ・プロバイダとフェデレートされている場合でも、アイデンティティ検証に使用できます。

管理者は、必須のインライン・オプションとして登録を指定したり、ユーザーがスキップして検証頻度などの設定を定義できる機能を指定することもできます。

エンドユーザー・ワークフロー

  1. 初期登録: 従業員Johnは、認証後(インライン登録用にアイデンティティ・アシュアランス・ポリシーが構成されている場合)、またはマイ・プロファイルからインライン登録するよう求められます。これは1回かぎりのプロセスです。
    1. アイデンティティ検証: QRコードがJohnのコンピュータ画面に表示されます。彼はスマートフォンでスキャンして、構成済のサード・パーティID検証プロバイダ(たとえば)でID検証プロセスを開始します。彼は自撮りをして、政府発行のIDをスキャンする。構成されたサード・パーティID検証プロバイダは、ドキュメントの信頼性を検証し、セルフィーがドキュメント内の写真と一致することを確認します。
    2. 生体認証登録: JohnはコンピュータのWebブラウザにリダイレクトされます。彼は顔をフレームに配置し、ランダムにされた活力のプロンプトを完成させ、鼻をランダムなドットに合わせるよう促されます。システムは顔データを取得し、生体認証テンプレートを作成し、登録を完了するために安全に保管します。
  2. 進行中の検証: 2週間後、Johnがアプリケーションにアクセスすると、標準の資格証明でサインインします。その後すぐに、アイデンティティ・アシュアランスは顔の生体認証の課題を開始します。彼は顔の位置を決め、活力のプロンプトを完了し、システムは保存されたテンプレートに対して自分のアイデンティティを検証し、アクセスを許可します。

ユースケース: Example IncがIDVとID保証を活用する方法の例

このユース・ケースでは、Daonを使用して、Example Incがアイデンティティ検証ベンダーDaon for Identity Assuranceをどのように活用しているかを強調します。管理者は、アイデンティティ検証プロバイダと統合するようにIAMを構成し、ユーザーの定期的な検証のためにアイデンティティ保証ポリシーを作成します。Example Inc.の従業員は、政府発行IDでアイデンティティを検証し、顔の生体認証に登録し、定期的なアイデンティティ・チェックによって再検証されます。

管理構成

  1. Example Inc.の管理者は、アイデンティティ・ドメインに移動し、アイデンティティ検証プロバイダDaonを構成します。
  2. 管理者は、ベンダーから提供された資格証明(クライアントID、クライアント・シークレット、検出URL)を入力し、サポートされている要求をアイデンティティ・ドメイン属性にマップしてから、「作成」を選択します。アイデンティティ検証プロバイダが作成されます。その後、管理者はアイデンティティ検証プロバイダをアクティブ化します。
  3. 管理者はアイデンティティ・アシュアランス・ポリシーを作成し、ルールを作成します。ルールでは、管理者は「条件」フィールドに前提条件を設定し、パスキーを最初の認証ファクタに、Oracle Mobile Authenticator (OMA)を2番目のファクタにし、ルールによって評価されるユーザー・グループを選択します。
  4. 次に、Example Inc.管理者は、顔の生体認証を有効にし、7 ~ 14日間のランダム化された間隔で顔の生体認証チェックをスケジュールし、6 ~ 12か月間の再登録頻度を設定します。
  5. 管理者はアイデンティティ検証を有効にし、ステップ2で作成したプロバイダを選択します。
  6. 定義後、ポリシーは、ルールで指定された条件を満たすユーザーのアイデンティティ・ドメイン全体に適用されます。

ユーザー登録

  1. 従業員Johnは、新しい要件を通知するEメールを受信します。彼はプライマリおよび第2要因でサイン・インし、生体認証に登録するよう促されます。サインイン時に生体認証への登録を求められなかった場合、ユーザーはマイ・ログイン・プロファイルにサインインし、生体認証に登録を選択します。
  2. ユーザーは、条件を確認し、同意します。

  3. アイデンティティ検証

    1. QRコードがコンピュータ画面に表示されます。Johnはスマートフォンでスキャンし、Daonでアイデンティティ検証を開始します。Daonの構成によっては、アイデンティティ検証を完了するために、DaonアプリケーションまたはExample Inc.が提供するアプリケーションのダウンロードを求められる場合があります。
    2. ジョンはセルフィーを生きている。Daonは、ユーザーのselfieが生きているかどうかを検証します。
    3. その後、電話で政府発行のIDをスキャンします。Daonは、ドキュメントの信頼性を検証し、selfieがドキュメント内の写真と一致することを確認します。
    4. 成功メッセージは、アイデンティティが検証されたことを示します。

  4. 顔認証登録

    1. Johnは、コンピュータのWebブラウザにリダイレクトされます。
    2. ブラウザは、Webカメラへのアクセスを要求します。彼は、顔をフレームに配置し、ユーザーの頭を上に傾ける、右に傾ける、左に傾けるなど、ランダム化されたライブプロンプトを完了するように求められます。これらのステップは、スプーフィングおよびリプレイ攻撃から保護します。
    3. システムは、彼の顔データをキャプチャし、生体認証テンプレートを作成し、それを安全に保管します。登録が完了しました。

アイデンティティ保証

  1. 登録後、定期的な顔の生体認証がバックグラウンドでシームレスに行われます。たとえば、2週間後にエンタープライズ・アプリケーションにアクセスすると、Johnは標準のパスキー・サインインを完了し、続いてOracle Mobile Authenticator (OMA)を2番目のファクタとして完了します。
  2. その後すぐに、アイデンティティ・アシュアランスは顔の生体認証のチャレンジを開始します。Johnは、フレーム内に顔を配置し、ランダム化されたLivenessプロンプトを完了し、システムは安全に保管された生体認証テンプレートに対して彼のアイデンティティを検証します。
  3. Johnには、アプリケーションへのアクセス権が付与されています。検証イベントは監査のために記録されます。