Actions で Akamai Supplemental Signals を使用する

Supplemental Signals は Enterprise のお客様向け機能であり、アタックプロテクションアドオンをリクエストする必要があります。詳細については、Auth0 Sales にお問い合わせください。

開始する前に

Actions で Akamai Supplemental Signals を使用するには、以下を行う必要があります。

Akamai で Supplemental Signals を使用するように設定したら、それらのシグナルで提供されるデータを Auth0 Actions で使用できます。

Action トリガーでサポートされるSupplemental Signals

トリガー	Supplemental Signalオブジェクト	イベントオブジェクト
Login	`akamaiBot` `akamaiUserRisk`	`event.authentication.riskAssessment.supplemental.akamai`
Pre-User Registration	`akamaiBot` `akamaiUserRisk`	`event.authentication.riskAssessment.supplemental.akamai`
Post-User Registration	`akamaiBot` `akamaiUserRisk`	`event.authentication.riskAssessment.supplemental.akamai`
Send Phone Message	なし	該当なし
Post-Challenge	`akamaiBot` `akamaiUserRisk`	`event.authentication.riskAssessment.supplemental.akamai`
Post-Change Password	`akamaiBot` `akamaiUserRisk`	`event.authentication.riskAssessment.supplemental.akamai`
Credentials Exchange	なし	該当なし

Supplemental Signal オブジェクトのスキーマ

akamaiBot オブジェクトと akamaiUserRisk オブジェクトには、認証フローのカスタマイズに使用できる複数のプロパティが含まれています。

akamaiBot

object

表示子属性

action

string

Akamai Bot Manager の結果のアクションです。例: Monitor

botCategory

string[]

Akamai Bot Manager の結果のボットカテゴリです。例: ["Web Search Engine Bots"]

botScore

number

Akamai Bot Manager の結果のボットスコアです。例: 90

botScoreResponseSegment

string

Akamai Bot Manager の結果のボットスコア応答セグメントです。例: aggressive

botnetId

string

Akamai Bot Manager の結果のボットネット ID です。例: googlebot

type

string

Akamai Bot Manager の結果のタイプです。例: Akamai-Categorized Bot

akamaiUserRisk

object

表示子属性

action

string

Akamai User Risk Assessment のアクションです。例: monitor

allow

number

Akamai User Risk Assessment の許可ステータスです。例: 0

emailDomain

string

ユーザーのメールドメインです。例: example.com

general

object

Akamai User Risk Assessment の一般リスクです。例: { aci: “0”, db: “Chrome 85”, di: “0fc91b5ec42f5a471c16a85e3e388ca57697c1a9”, do: “Mac OX X 10” }

ouid

string

ユーザーの OUID です。例: m534264

requestid

string

ユーザーのリクエスト ID です。例: 19e22e

risk

object

Akamai User Risk Assessment のリスクです。例: { ugp: “ie/M”, unp: “432/H” }

score

number

Akamai User Risk Assessment のスコアです。例: 0

status

number

Akamai User Risk Assessment のステータスです。例: 4

trust

object

Akamai User Risk Assessment の信頼情報です。例:

{ udbp: "Chrome85", udfp: "25ba44ec3b391ba4ce5fbbd2979635e254775werwe", udop: "Mac OS X 10", ugp: "FR", unp: "12322", utp: "weekday_3" }

username

string

ユーザーのユーザー名です。例: testuser@example.com

uuid

string

Akamai User Risk Assessment の UUID です。例: 86b37525-8047-4a3c-8d7a-23e99666da05

ユースケース

Akamai Account Protector の結果に基づいてセッションを失効させる

akamaiUserRisk.score プロパティに基づいてセッションを失効させる例を次に示します。

exports.onExecutePostLogin = async (event, api) => {
  const userRiskHeader = event.authentication?.riskAssessment?.supplemental?.akamai?.akamaiUserRisk;
  if (userRiskHeader?.score && userRiskHeader?.score >= 90) {
        console.log('User is deemed high risk.');
        //This will revoke session cookies to deny login.
        api.session.revoke('Session revoked, User risk score is greater than 90.');
    }
};

api.session.revoke メソッドを使用すると (api.access.deny メソッドとは異なり) 、ユーザーがアプリケーションを再読み込みした場合でも、認証リクエストとともに Akamai Supplemental Signals が送信され、post-login Action フローがトリガーされることを保証できます。

Akamai Bot Manager の結果に基づいて多要素認証 (MFA) を求める

akamaiBot.score プロパティに基づいて MFA を強制する例を次に示します。

MFA を強制する

この Action は 2 つの処理を実行します。

app metadata を更新する: score プロパティが指定した値を超えた場合、そのセッションで MFA が必要であることを記録します。
MFA を要求する: score プロパティが指定した値を超えた場合、またはそのセッションで MFA が必要であることを示す記録が app metadata にある場合は、MFA を強制します。

exports.onExecutePostLogin = async (event, api) => {
  const userRiskHeader = event.authentication?.riskAssessment?.supplemental?.akamai?.akamaiUserRisk;

  if (userRiskHeader?.score && userRiskHeader?.score >= 90) {
    console.log(`Setting app metadata for session id: ${event.session?.id}`);
    api.user.setAppMetadata(`mfa_required_${event.session?.id}`, true);
  }

  if (userRiskHeader?.score && userRiskHeader?.score >= 90 ||
      event.user.app_metadata[`mfa_required_${event.session?.id}`]) {
        console.log(`Requiring MFA FOR Session id: ${event.session?.id}`);
        api.multifactor.enable('any', {allowRememberBrowser: false});
  }
};

app metadata をクリーンアップする

この Action は、ユーザーが MFA を正常に完了した後、セッション固有の MFA 情報を app metadata から削除します。

exports.onExecutePostLogin = async (event, api) => {
  const mfaMethod = event.authentication?.methods.find((method) => {
    return method.name === 'mfa';
  });

  if (mfaMethod) {
    console.log(`Removing MFA requirement for session id: ${event.session?.id}`);
    api.user.setAppMetadata(`mfa_required_${event.session?.id}`, undefined);
  }
};

開始する前に

​Action トリガーでサポートされるSupplemental Signals

​Supplemental Signal オブジェクトのスキーマ

​ユースケース

​MFA を強制する

​app metadata をクリーンアップする

Action トリガーでサポートされるSupplemental Signals

Supplemental Signal オブジェクトのスキーマ

ユースケース

MFA を強制する

app metadata をクリーンアップする