Интеграция внешнего идентификатора Microsoft Entra с Arkose Labs и HUMAN Security для защиты от мошенничества

Применяется: зеленый круг с символом белой галочки, указывающим, что следующее содержимое применяется к внешним клиентам. Внешние клиенты (дополнительные сведения)

Microsoft Entra External ID поддерживает интеграцию с сторонними поставщиками защиты от мошенничества, такими как Arkose Labs и HUMAN, чтобы предотвратить поддельные регистрации учетных записей и атаки ботов. Эти поставщики предлагают комплексные решения по защите от мошенничества, которые позволяют организациям обнаруживать и блокировать автоматизированные атаки, такие как регистрации на основе ботов, во время процесса регистрации пользователей.

Интегрируя Arkose Labs, HUMAN или оба с Microsoft Entra External ID, вы можете использовать их расширенные возможности оценки рисков, чтобы гарантировать, что только законные пользователи создают учетные записи.

В этой статье объясняется, как интегрировать поставщиков защиты от мошенничества с внешним идентификатором Microsoft Entra.

Arkose Labs и HUMAN Security доступны как нативные интеграции для защиты регистрации через Магазин безопасности. Корпорация Майкрософт разработала и развернула эти интеграции в партнерстве с каждым поставщиком для поддержки обнаружения ботов и предотвращения поддельных учетных записей во время регистрации пользователей.

Интеграция с системой безопасности разрабатывается для каждого отдельного случая в рамках прямого партнерства с командой инженеров Microsoft. Если вы являетесь поставщиком возможностей интеграции с внешним идентификатором Microsoft Entra, обратитесь к своему представителю по разработке партнеров Майкрософт.

Как работает Arkose Labs

Когда пользователь пытается зарегистрироваться, служба Arkose Labs оценивает запрос и определяет, может ли это быть мошенническим. Если запрос помечен как подозрительный, пользователь сталкивается с проблемой (например, CAPTCHA), чтобы убедиться, что они люди. Если пользователь успешно завершит задачу, он может продолжить процесс регистрации. После включения этой функции вы сможете просматривать метрики задач Arkose на панели мониторинга Arkose Labs. Кроме того, вы можете точно настроить политики рисков, координируя поддержку Arkose Labs.

Интеграцию можно выполнить как в Центре администрирования Microsoft Entra, так и в API Microsoft Graph. В этой статье приведены инструкции для Центра администрирования Microsoft Entra.

Предпосылки

Настройка Arkose Labs в Центре администрирования Microsoft Entra

Чтобы интегрировать Arkose Labs с внешним идентификатором Microsoft Entra, вы можете использовать мастер хранилища безопасности в Центре администрирования Microsoft Entra для создания политики поставщика защиты от мошенничества.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор расширения проверки подлинности или администратор приложений.

  2. Если у вас есть доступ к нескольким арендаторам, используйте значок настроек в верхнем меню, чтобы переключиться на внешнего арендатора из меню Каталоги + подписки.

  3. Перейдите к Главная>Магазин безопасности>Защита регистрации, чтобы запустить мастер.

    Снимок экрана: страница защиты регистрации.

  4. Введите имя политики, например ArkosePolicy.

  5. Выберите сценарии для применения политики защиты от мошенничества и нажмите кнопку "Далее".

    Снимок экрана: настройка политики защиты.

  6. В разделе "Выбор поставщика защиты от мошенничества" для шага регистрации выберите Arkose Labs в качестве поставщика и нажмите кнопку "Далее".

    Снимок экрана: выбор поставщика защиты от мошенничества Arkose Labs.

  7. Создайте учетную запись Arkose. Если у вас еще нет учетной записи, создайте и приобретите ее в Магазине безопасности. Затем вернитесь сюда, чтобы завершить настройку.

    Снимок экрана: настройка поставщика Arkose Labs.

  8. На шаге Конфигурация Arkose Labs для защиты подписки выберите существующую конфигурацию или Создайте новую конфигурацию, и введите значения конфигурации, полученные от Arkose Labs.

    • Открытый ключ: введите открытый ключ (формат GUID).
    • Закрытый ключ: введите закрытый ключ (формат GUID).
    • Поддомен клиента: введите только префикс поддомена (например, client-api), а не полный домен.
    • Проверьте поддомен: введите только префикс поддомена (например, "verify-api"), а не полный домен.
  9. Выберите Далее, чтобы перейти к следующему шагу.

  10. Выберите приложение, которое вы хотите защитить с помощью защиты от мошенничества Arkose Labs. Вы можете выбрать одно или несколько приложений, зарегистрированных во внешнем клиенте.

    Снимок экрана: выбор приложения для защиты.

  11. Просмотрите конфигурацию и выберите "Создать политику ", чтобы создать политику защиты от мошенничества.

    Снимок экрана: создание политики для Arkose Labs.

  12. После успешного создания политики нажмите кнопку "Готово ", чтобы завершить работу мастера.

После создания политики она применяется к выбранным приложениям. Когда пользователь пытается зарегистрироваться, служба Arkose Labs оценивает запрос и определяет, может ли это быть мошенническим. Если запрос помечен как подозрительный, пользователь сталкивается с проблемой (например, CAPTCHA), чтобы убедиться, что они люди. Если пользователь успешно завершит задачу, он может продолжить процесс регистрации.

Изменение конфигурации Arkose Labs в Центре администрирования Microsoft Entra

  1. Перейдите к главной>Магазину безопасности>Sign-up protection, чтобы просмотреть список конфигураций.
  2. Выберите параметр "Изменить конфигурации поставщика" , чтобы изменить политику Arkose Labs. Если вы хотите изменить политику защиты от мошенничества, щелкните значок карандаша.
  3. В разделе "Настройка Arkose Labs для защиты регистрации" выберите конфигурацию, которую вы хотите изменить, и нажмите кнопку "Далее".
  4. Выберите приложение, которое вы хотите защитить с помощью защиты от мошенничества Arkose Labs или удалите существующие. Вы можете выбрать одно или несколько приложений, зарегистрированных во внешнем клиенте. После выбора приложения нажмите кнопку "Далее".
  5. Нажмите кнопку "Готово", чтобы завершить работу мастера.

Настройка Arkose Labs с помощью API Microsoft Graph

Настройте защиту от мошенничества Arkose Labs с помощью API Microsoft Graph. Этот подход полезен, если вы хотите автоматизировать конфигурацию или использовать API в Центре администрирования Microsoft Entra.

Шаг 1. Вход в тенант

Чтобы настроить защиту от мошенничества Arkose Labs, необходимо войти в внешний клиент и предоставить согласие на необходимые разрешения.

  1. Запустите средство Microsoft Graph Explorer.

  2. Войдите в внешний клиент: https://developer.microsoft.com/en-us/graph/graph-explorer?tenant=<your-tenant-name.onmicrosoft.com>

  3. Выберите профиль и выберите "Согласие на разрешения".

  4. Согласие на следующее обязательное разрешение.

    • RiskPreventionProviders.ReadWrite.All

Шаг 2. Регистрация Arkose Labs в качестве поставщика защиты от мошенничества

Чтобы зарегистрировать Arkose Labs в качестве поставщика защиты от мошенничества, вы создадите политику fraudProtectionProvider в вашем внешнем арендаторе. Эта политика содержит значения конфигурации Arkose, полученные из Arkose Labs.

  1. В обозревателе Microsoft Graph выберите метод POST и введите следующий URL-адрес:

    https://graph.microsoft.com/beta/identity/riskPrevention/fraudProtectionProviders
    
  2. В разделе Текст запроса введите следующий JSON-нагрузку, заменив заполнители значениями конфигурации Arkose:

    {
        "@odata.type": "#microsoft.graph.arkoseFraudProtectionProvider",
        "displayName": "<your-arkose-configuration-name>",
        "publicKey": "<your-arkose-public-key>",
        "privateKey": "<your-arkose-private-key>",
        "clientSubDomain": "<your-client-api>",
        "verifySubDomain": "<your-verify-api>"
    }
    
  3. Выберите "Выполнить запрос", чтобы создать поставщика защиты от мошенничества.

  4. Если запрос выполнен успешно, возвращается ответ 201 Created . id Скопируйте значение из ответа на следующий шаг.

На этом шаге вы связываете поставщика защиты от мошенничества Arkose с вашим приложением, создав новый компонент authenticationEventListener, который активирует запрос на проверку Arkose во время потока регистрации. Убедитесь, что у вас есть идентификатор приложения для приложения, в котором требуется включить защиту от мошенничества. Замените <your-app-id> идентификатором приложения и замените <id-from-previous-step> его идентификатором поставщика Arkose на предыдущем шаге.

  1. В обозревателе Microsoft Graph выберите метод POST и введите следующий URL-адрес:

    https://graph.microsoft.com/beta/identity/authenticationEventListeners
    
  2. В разделе Тело запроса введите следующие JSON-данные:

    { 
      "@odata.type": "#microsoft.graph.onFraudProtectionLoadStartListener", 
      "conditions": { 
        "applications": { 
          "includeApplications": [ 
            { 
              "appId": "<your-app-id>" 
            } 
          ] 
        } 
      }, 
      "handler": { 
        "@odata.type": "#microsoft.graph.onFraudProtectionLoadStartExternalUsersAuthHandler", 
        "signUp": { 
          "@odata.type": "#microsoft.graph.fraudProtectionProviderConfiguration", 
          "fraudProtectionProvider": { 
            "@odata.type": "#microsoft.graph.arkoseFraudProtectionProvider", 
            "id": "<id-from-previous-step>" 
          } 
        } 
      } 
    }
    
  3. Выберите "Выполнить запрос".

  4. Если запрос выполнен успешно, возвращается ответ 201 Created . Проверьте поток регистрации в вашем приложении, чтобы убедиться, что задача Arkose появляется при обнаружении подозрительной регистрации.

Советы по устранению неполадок

Проблема Возможные причины Резолюция
Задача не появляется. Прослушиватель событий не связан с приложением. Проверьте идентификатор приложения и конфигурацию прослушивателя.
Пользователи заблокированы при проверке. Строгие пороговые значения Arkose. Работа с Arkose для настройки поведения вызовов.

Как работает безопасность HUMAN

Когда пользователь инициирует процесс регистрации, важно предотвратить создание мошеннических учетных записей автоматическими ботами и злоумышленниками. Чтобы устранить эту проблему, Entra External ID поддерживает интеграцию с сторонними поставщиками обнаружения мошенничества, такими как HUMAN Security. Эта интеграция позволяет анализировать попытки регистрации в режиме реального времени, используя расширенные алгоритмы обнаружения HUMAN Security для выявления и блокировки подозрительных действий до завершения создания учетной записи. Решение изначально интегрировано с инфраструктурой удостоверений Майкрософт, что позволяет упростить развертывание и управление. Реализуя этот подход, организации могут получать доступ к подробным данным и практическим аналитическим сведениям для отслеживания потоков регистрации, точной настройки порогов обнаружения и упреждающего реагирования на возникающие угрозы, тем самым сохраняя целостность своей пользовательской базы.

Предпосылки

Эти значения можно найти в консоли администрирования HUMAN Security на странице параметров приложения . Если вы не уверены в каком-либо значении, обратитесь в службу безопасности HUMAN для получения помощи.

Настройка безопасности HUMAN в Центре администрирования Microsoft Entra

Чтобы интегрировать HUMAN Security с внешним идентификатором Microsoft Entra, можно использовать мастер хранилища безопасности в Центре администрирования Microsoft Entra для создания политики поставщика защиты от мошенничества.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор расширения проверки подлинности или администратор приложений.

  2. Если у вас есть доступ к нескольким арендаторам, используйте значок настроек в верхнем меню, чтобы переключиться на внешнего арендатора из меню Каталоги + подписки.

  3. Перейдите к Главная>Магазин безопасности>Защита регистрации, чтобы запустить мастер.

    Снимок экрана: страница защиты регистрации.

  4. Введите имя политики, например HUMANPolicy.

  5. Выберите сценарии для применения политики защиты от мошенничества и нажмите кнопку "Далее".

    Снимок экрана: настройка политики защиты.

  6. В разделе "Выбор поставщика защиты от мошенничества" для шага регистрации выберите HUMAN Security в качестве поставщика и нажмите кнопку "Далее".

    Снимок экрана, показывающий выбор поставщика защиты от мошенничества HUMAN Security.

  7. Создайте учетную запись безопасности HUMAN. Если у вас еще нет учетной записи, создайте и приобретите ее в Магазине безопасности. Затем вернитесь сюда, чтобы завершить настройку.

    Скриншот, показывающий настройку поставщика защиты от мошенничества HUMAN Security.

  8. На шаге Настройка HUMAN Security для защиты регистрации выберите опцию "Создать новую конфигурацию" и введите значения конфигурации, полученные от HUMAN Security.

    • Идентификатор приложения: введите идентификатор приложения из human security.
    • Маркер сервера: введите маркер сервера из HUMAN Security, который можно найти в консоли администрирования HUMAN Security.
  9. Или выберите существующую конфигурацию, если вы уже настроили ее и нажмите кнопку "Далее".

  10. Выберите приложение, которое вы хотите защитить с помощью защиты от мошенничества HUMAN Security. Вы можете выбрать одно или несколько приложений, зарегистрированных во внешнем клиенте.

    Снимок экрана: выбор приложения для защиты.

  11. Просмотрите конфигурацию и выберите "Создать политику ", чтобы создать политику защиты от мошенничества.

  12. После успешного создания политики нажмите кнопку "Готово ", чтобы завершить работу мастера.

После создания политики она применяется к выбранным приложениям. Когда пользователь пытается зарегистрироваться, HUMAN Security оценивает запрос в режиме реального времени, чтобы определить, может ли это быть мошенническим. Если запрос помечен как подозрительный, соответствующие меры принимаются для блокировки попытки регистрации, тем самым предотвращая регистрацию поддельных учетных записей.

Изменение конфигурации безопасности HUMAN в Центре администрирования Microsoft Entra

  1. Перейдите к главной>Магазину безопасности>Sign-up protection, чтобы просмотреть список конфигураций.
  2. Выберите параметр "Изменить конфигурации поставщика" , чтобы изменить политику безопасности HUMAN. Если вы хотите изменить политику защиты от мошенничества, щелкните значок карандаша.
  3. На шаге Настройка HUMAN Security для защиты при регистрации выберите конфигурацию, которую вы хотите изменить, и выберите Далее.
  4. Выберите приложение, которое вы хотите защитить с помощью защиты от мошенничества в области безопасности ЧЕЛОВЕКА или удалить существующие. Вы можете выбрать одно или несколько приложений, зарегистрированных во внешнем клиенте. После выбора приложения нажмите кнопку "Далее".
  5. Нажмите кнопку "Готово", чтобы завершить работу мастера.

Настройка безопасности HUMAN с помощью API Microsoft Graph

Настройте защиту от мошенничества HUMAN Security с помощью API Microsoft Graph. Этот подход полезен, если вы хотите автоматизировать конфигурацию или использовать API в Центре администрирования Microsoft Entra.

Шаг 1. Вход в тенант

Чтобы настроить защиту от мошенничества HUMAN Security, необходимо войти в внешний сервис и предоставить согласие на необходимые разрешения.

  1. Запустите средство Microsoft Graph Explorer.

  2. Войдите в внешний клиент: https://developer.microsoft.com/en-us/graph/graph-explorer?tenant=<your-tenant-name.onmicrosoft.com>

  3. Выберите профиль и выберите "Согласие на разрешения".

  4. Согласие на следующее обязательное разрешение.

    • RiskPreventionProviders.ReadWrite.All

Шаг 2. Регистрация human Security в качестве поставщика защиты от мошенничества

Чтобы зарегистрировать HUMAN Security в качестве поставщика защиты от мошенничества, вы создаете политику fraudProtectionProvider во внешнем клиенте. Эта политика содержит значения конфигурации HUMAN Security, полученные при настройке учетной записи безопасности HUMAN.

  1. В обозревателе Microsoft Graph выберите метод POST и введите следующий URL-адрес:

    https://graph.microsoft.com/beta/identity/riskPrevention/fraudProtectionProviders
    
  2. В разделе «Тело запроса» введите следующую нагрузку JSON, заменив заполнители значениями вашей конфигурации HUMAN.

    {
        "@odata.type": "#microsoft.graph.HUMANFraudProtectionProvider",
        "displayName": "<your-human-configuration-name>",
        "appId": "<your-human-appid>",  
        "serverToken": "<your-human-server-token>",
    }
    

Это displayName отображаемое имя для данной конфигурации безопасности HUMAN, например, "HUMAN Config 1". Идентификатор appId приложения из HUMAN Security и serverToken является маркером сервера из HUMAN Security, который можно найти в консоли администрирования HUMAN Security. Если вы не уверены в каком-либо значении, обратитесь в службу безопасности HUMAN для получения помощи.

  1. Выберите "Выполнить запрос", чтобы создать поставщика защиты от мошенничества.
  2. Если запрос выполнен успешно, возвращается ответ 201 Created . id Скопируйте значение из ответа на следующий шаг.

На этом шаге вы связываете поставщика защиты от мошенничества HUMAN Security с приложением, создав нового прослушивателя событий аутентификации для использования защиты от мошенничества HUMAN Security во время регистрации. Убедитесь, что у вас есть идентификатор приложения для приложения, в котором требуется включить защиту от мошенничества. Замените <your-app-id> идентификатором приложения и замените <id-from-previous-step> его идентификатором поставщика безопасности HUMAN на предыдущем шаге.

  1. В обозревателе Microsoft Graph выберите метод POST и введите следующий URL-адрес:

    https://graph.microsoft.com/beta/identity/authenticationEventListeners
    
  2. В разделе Тело запроса введите следующие JSON-данные:

    { 
      "@odata.type": "#microsoft.graph.onFraudProtectionLoadStartListener", 
      "conditions": { 
        "applications": { 
          "includeApplications": [ 
            { 
              "appId": "<your-app-id>" 
            } 
          ] 
        } 
      }, 
      "handler": { 
        "@odata.type": "#microsoft.graph.onFraudProtectionLoadStartExternalUsersAuthHandler", 
        "signUp": { 
          "@odata.type": "#microsoft.graph.fraudProtectionProviderConfiguration", 
          "fraudProtectionProvider": { 
            "@odata.type": "#microsoft.graph.HUMANFraudProtectionProvider", 
            "id": "<id-from-previous-step>" 
          } 
        } 
      } 
    }
    
  3. Выберите "Выполнить запрос".

  4. Если запрос выполнен успешно, возвращается ответ 201 Created . Проверьте поток регистрации в вашем приложении, чтобы убедиться, что вызов HUMAN появляется, когда обнаруживается подозрительная регистрация.