Cómo configurar Vonage Protection Suite para Okta

Introducción

Cuando un usuario necesita verificar su identidad en Okta, Okta genera una contraseña de un solo uso (OTP). Sin embargo, Okta no envía la OTP directamente. En su lugar, se basa en proveedores externos para entregar las OTPs a los usuarios. El sitio Vonage Protection Suite para Okta sirve a este propósito mediante la entrega de un conector plug-and-play gestionado para la entrega de OTP de voz y SMS. Se integra directamente en tu motor de identidad Okta a través de Telephony Inline Hooks y entrega OTP a través de Vonage Verify mediante SMS o llamadas de voz. El conector se basa en Vonage Cloud Runtime (VCR).

Plataformas Okta compatibles

Vonage Protection Suite para Okta se integra a través de Telephony Inline Hook de Okta, que está disponible en Okta Workforce Identity Cloud, incluyendo tanto Okta Identity Engine (OIE) como el legado Classic Engine. Auth0 (Okta Customer Identity Cloud) no es compatible con esta versión. Auth0 utiliza un modelo de extensibilidad diferente (acciones/proveedores de credenciales personalizados) en lugar de Telephony Inline Hook, y requiere una integración independiente.

Modelo de inteligencia contra el fraude en dos niveles

En Vonage Protection Suite para Okta utiliza un modelo de inteligencia contra el fraude de dos capas:

  • Identity Insights Verificación previa de los Numbers (opcional): Comprueba los números con las bases de datos de las operadoras (validez, operadora) y bloquea el fraude antes de que se inicie el envío de la OTP. Se trata de una capa de inteligencia pasiva, ya que no requiere ninguna acción por parte del usuario final.
  • Defensor de Fraude de Capa 2 durante OTP: Protección de bombeo SMS, permisos geográficos, controles de velocidad y limitación de caudal.

En esta guía, conectarás tu inquilino de Okta a Vonage Verify mediante la función Vonage Protection Suite para OktaGarantizar que las OTP se envían por SMS o voz.

Flujo de conectores

El siguiente diagrama muestra cómo se ubica el conector entre Okta y Vonage Verify:

Vonage Protection Suite for Okta Flow Diagram

Requisitos previos

Antes de empezar, asegúrate de tener lo siguiente:

  • Un tenant activo de Okta con Okta Identity Engine (OIE).
  • Autenticador de teléfono habilitado en Okta (Okta Admin Console > Seguridad > Autenticadores > Configuración > Teléfono).
  • Acceso de administrador a Okta Admin Console para configurar los Inline Hooks y Event Hooks.
  • Una Account API de Vonage (puede inscribirse gratuitamente) junto con una clave de API (puede encontrar estas credenciales en su Configuración de la API dentro de Vonage Dashboard).
  • Acceso a la Panel de Vonage.
  • Una suscripción a Vonage Cloud Runtime Advanced. Si no tienes una, comunícate con tu Asociado de éxito del cliente (CSA) de Vonage para activarla.

Implementar el conector en Vonage Cloud Runtime

  1. Entrar en Vonage Cloud Runtime y haga clic en el botón Vonage Protection Suite para Okta baldosa.
  2. En el menú de la derecha, seleccione la opción Clave API contra la que desea desplegar el conector. Si su Account solo tiene una clave API, este paso se omitirá automáticamente.
  3. Haga clic en Desplegar una nueva instancia.
Deploy the Connector on Vonage Cloud Runtime
  1. En Tipo de configuración del conector, seleccione Estándar y haga clic en Continúe en.
Set up your project deployment
  1. Rellene los parámetros:
    • Región: Región donde se alojará su entidad.
    • Nombre de la instancia: Nombre único para su instancia.
    • Número de Vonage (opcional): Este número sirve como identificador del remitente del SMS y debe estar en formato E.164, formado sólo por dígitos (un número internacional sin el signo "+"). Si no se configura este número, se utilizará en su lugar el Nombre de marca especificado a continuación. Ten en cuenta que este valor no se aplica a las llamadas de voz, ya que el número de la persona que llama es seleccionado al azar por Vonage Verify.
    • Marca (Obligatorio): El cuerpo del mensaje OTP utilizará esta marca en SMS. Este valor se ignora para las llamadas de voz. En su lugar, el número de la persona que llama es seleccionado al azar por Vonage Verify como adecuado para la región de destino.
    • Retorno de llamada de voz (obligatorio): Cuando está activada, el conector intentará automáticamente realizar una llamada de voz si falla el envío de SMS.
Set up your project parameters part 1
Set up your project parameters part 2
  1. Haga clic en Continúe en para desplegar la instancia.

Configurar el conector

Iniciar la aplicación Admin

Tras desplegar la instancia, inicie la aplicación de administración del conector. Le permite configurar las políticas de seguridad y generar tokens de autenticación. Para ello, siga los pasos que se indican a continuación:

  1. Seleccione la instancia creada anteriormente y haga clic en el botón Lanzamiento botón.
Launch the Admin App
  1. Autentícate con las credenciales de Vonage haciendo clic en el botón Verificar identidad con Vonage botón.

Revisar la pestaña Cuadro de mandos

Después de iniciar la aplicación de administración del conector, se le redirigirá a la sección Cuadro de mandos ficha. Proporciona visibilidad en tiempo real de la entrega de OTPs y de la actividad de autenticación.

Review the Dashboard

En Cuadro de mandos presenta los siguientes datos:

  • Sección de contadores presenta las siguientes métricas:
    • Total SMS: El número total de intentos de entrega de SMS (tanto exitosos como fallidos).
    • Éxito del SMS: Recuento de envíos de SMS completados con éxito.
    • SMS bloqueados: Número de envíos de SMS bloqueados por Identity Insights o Fraud Defender.
    • Voz total: El total de intentos de entrega de voz (tanto exitosos como fallidos).
    • Éxito vocal: El número total de entregas de voz que se han completado con éxito.
    • Voz bloqueada: Número de envíos de voz bloqueados.
  • Actividad reciente de OTP muestra los 10 intentos de entrega de OTP más recientes para todos los tokens:
    • Marca de tiempo: Cuándo se realizó el intento de entrega.
    • Destino: El número de teléfono enmascarado.
    • Canal: SMS/VOZ.
    • Estado: SUCCESS, FAILED, o FLAGGGED (ámbar, para flag-and-deliver).
    • Descripción: Haga clic en el icono del ojo para ver el motivo completo del fallo o del marcado.
    • Latencia: Duración de la entrega en milisegundos.
    • Ficha: El identificador abreviado del token.
  • Autentificación reciente muestra los 10 eventos de autenticación más recientes obtenidos de Okta:
    • Marca de tiempo: Indica cuándo se publicó el evento
    • Ficha: El identificador abreviado del token.
    • Evento: El tipo de evento Okta (por ejemplo, user.authentication.auth_via_mfa).
    • Factor: El factor de autenticación utilizado (por ejemplo, SMS_FACTOR, CONVERSION).
    • Resultado: ÉXITO, FRACASO o DESCONOCIDO.
    • Usuario: El ID de actor de Okta.
    • Solicitar: El ID asociado a la solicitud de autenticación.
  • Lista de fichas: El panel muestra todos los tokens creados junto con su estado actual:
    • Activo: El token es actualmente válido y está siendo utilizado.
    • Período de gracia: Un token más nuevo ha ocupado el lugar de éste, y ambos tokens funcionan simultáneamente durante un periodo de transición de 24 horas.
    • Caducado: El token ha superado su fecha de caducidad.
    • Revocada: El token ha sido desactivado manualmente y ya no es utilizable.
  • Girar una ficha crea un nuevo token que posee las mismas demandas de seguridad que el original. El token original entra en un periodo de gracia de 24 horas en el que ambos tokens son aceptables. Utilice la rotación de tokens para actualizar periódicamente las credenciales del ciclo sin experimentar ninguna interrupción del servicio.
  • Revocar una ficha lo desactiva al instante. Esta acción debe tomarse si un token ha sido comprometido o ya no es necesario. El efecto de la revocación es inmediato y no puede deshacerse.

Ficha Generar token

A continuación, vaya a la página Crear token donde podrás configurar las políticas de seguridad y generar un token. Este token sirve para autenticar las comunicaciones entre Okta y el conector. Además, codifica las políticas de seguridad que son aplicables a cada entrega de OTP que se realice utilizando ese token.

Generate the Token

Nivel 1: Identity Insights Verificación de números previa a la OTP (opcional)

El modelo de seguridad de dos capas del conector comienza con la verificación opcional de números Identity Insights Pre-OTP.

Identidad es una API de Vonage que te brinda acceso en tiempo real a las bases de datos de operadores móviles. Te ayuda a evaluar el nivel de riesgo de un número de teléfono. En el conector, actúa como una herramienta de comprobación antes de enviar una OTP. El conector utiliza los resultados de estas comprobaciones, que puedes configurar a tu gusto.

Nota: Cada comprobación que active se factura por solicitud, mientras que las comprobaciones de Formato de Números y Validez son gratuitas. Tenga en cuenta que la búsqueda del operador original y la búsqueda del operador actual cobran tasas por solicitud. Encontrará información detallada sobre precios en la página Página de precios de Vonage.

  1. Para activar el Identidad ajuste el conmutador a EN.
  2. Seleccione los controles que desea aplicar:
    • Formato y validez de los números (gratis): Confirma si el número es un número de móvil válido y marca automáticamente los números VoIP y virtuales.
    • Búsqueda del transportista original (se cobra por solicitud): Identifica la red y el tipo de línea asignados cuando se emitió este número por primera vez. Útil para filtrar números registrados como VoIP desde el principio. No detectará un número móvil portado posteriormente a VoIP.
      • Filtro de tipo de red: Numbers on unselected network types will be flagged.
    • Búsqueda del transportista actual (se cobra por solicitud): Identifica la red y el tipo de línea activa que da servicio actualmente a este número, incluidos los cambios por portabilidad.
  3. Filtros geográficos y de canal: Estos filtros restringen la entrega de OTP en función de las características geográficas o de red del número de teléfono.
    • Lista de países autorizados: Indique los códigos de país ISO 3166-1 alfa-2 (por ejemplo, US, GB, DE). Sólo se permitirán los Numbers asociados a estos países. Déjelo vacío para permitir todos los países.
  4. Elija qué acción realizar si se marca un número de destino durante las comprobaciones de verificación:
    • Bloquear OTP: La OTP no ha sido entregada. Puede ver el motivo del fallo en el Ficha Panel > Actividad reciente de OTP > Descripción.
    • Abanderar y entregar: La OTP se entrega pero se marca en ámbar en el panel de control para una revisión posterior. Utilícelo cuando desee visibilidad sin bloquear usuarios potencialmente legítimos. Puede ver el estado en el Ficha Panel > Actividad reciente de OTP > Estado.
    • Sólo registro: Se registra el resultado de la comprobación, pero no se realiza ninguna otra acción. No se adjunta ningún indicador. Útil durante el despliegue inicial para conocer la tasa de bloqueo antes de comprometerse con una política de bloqueo o bloqueo. La OTP se enviará como de costumbre. No habrá información visible en el Cuadro de mandos ficha.

Capa 2: Defensor del fraude durante la OTP

Cuando un número pasa con éxito las verificaciones de nivel 1 (o si Identity Insights está desactivado), la OTP se envía a Vonage Verify para su entrega. En esta etapa, Fraud Defender toma el control como una capa adicional de protección.

Defensor del Fraude protege contra el bombeo de SMS, el tráfico inflado artificialmente (AIT) y los ataques de ráfagas de tráfico. No es necesario realizar ninguna acción para activar esta función. Se aplica automáticamente a todo el tráfico OTP procesado a través de Vonage Verify.

Selección de niveles

En el panel de configuración del conector, Fraud Defender Advanced aparece como Incluido, y está disponible sin costo adicional para todo el tráfico de Verify. Si necesitas Fraud Defender Premium, comunícate con tu administrador de cuenta de Vonage para habilitarlo.

Importante: Las protecciones avanzadas como AIT Protection y SMS Burst Protection no se activan automáticamente. Requieren activación y configuración por separado en el panel de Vonage. Para configurarlas, sigue los pasos Guía de incorporación de Fraud Defender.

Límite de tarifa

Establece un número máximo de solicitudes OTP por número de teléfono dentro de una ventana de 10 minutos. El valor predeterminado es 5 solicitudes. Esto protege contra solicitudes repetidas de OTP dirigidas al mismo número. Esta funcionalidad se puede desactivar si no es necesaria.

Entrega

Marca: El nombre de marca que se muestra a los destinatarios en el mensaje OTP. Anula el nombre de marca global configurado en el servidor.
Retorno de SMS a voz: Reintentos automáticos mediante llamada de voz si falla la entrega de SMS. Esta funcionalidad puede desactivarse si no es necesaria.

Expiración de la ficha

Seleccione el periodo de validez del token que va a generar: 24 horas, 7 días, 30 días, 90 días (por defecto) o Nunca. Los periodos de expiración más cortos mejoran la seguridad pero requieren una rotación más frecuente. El token incorpora su red de país actual, y la configuración del número de teléfono.

Registrar los detalles del token generado

Una vez que se hayan configurado las políticas de seguridad y se haya generado el token, asegúrese de registrar los detalles del token generado. Los detalles del token no se volverán a mostrar, y esta información es esencial para la configuración de Okta en el paso Configurar Okta:

  • Telefonía Webhook URL
  • URL del evento Webhook
  • Nombre de la cabecera Auth
  • Ficha secreta

Configurar Okta

Después de desplegar el conector y generar el token, es hora de configurar Telephony Inline Hook y Event Hook en Okta Admin Console con las URL de webhook y el token.

Configurar el gancho en línea de telefonía

Ahora, siga los siguientes pasos para configurar el gancho en línea de telefonía:

  1. Inicie sesión en su Okta Admin Console.
  2. Vaya a Flujo de trabajo > Ganchos en línea. Haga clic en el botón Añadir gancho en líneay seleccione Telefonía.
Configure the Telephony Inline Hook
  1. Rellena los datos del gancho:
  • Nombre: Ingresa un nombre (por ejemplo, "Vonage OTP").
  • URL: Pegue la URL de Telephony Webhook de los detalles de token generados.
  • Campo de autenticación: Pegue el Auth Header Name de los detalles del token generado.
  • Secreto de autenticación: Pegue el Token Secret de los detalles del token generado.
  1. Haga clic en Guardar.

Configurar el gancho de eventos

A continuación, siga los siguientes pasos para configurar el Gancho de Eventos:

  1. Vaya a Flujo de trabajo > Ganchos de eventos.
Configure the Event Hook
  1. Haga clic en el botón Crear evento Gancho.
  2. Rellena los datos del gancho:
  • Nombre: Introduce un nombre (por ejemplo, "Eventos de Vonage").
  • URL: Pegue la URL del evento Webhook de los detalles del token generado.
  • Campo de autenticación: Pegue el Auth Header Name de los detalles del token generado.
  • Secreto de autenticación: Pegue el Token Secret de los detalles del token generado.
  1. En Solicitudes define las solicitudes que Okta enviará al endpoint. Suscribirse al Autenticación del usuario mediante MFA evento.
  2. Haga clic en Guardar y continuar.

Verificar la conectividad

Ahora, es el momento de verificar que la conexión entre Okta y el conector está activa. Para ello, debemos confirmar que ambos hooks muestran el estado Active & Verified en Okta Admin Console:

  1. Haga clic en el botón Verify de la pantalla Verify Endpoint Ownership (Verificar la propiedad del punto final) que aparece justo después de crear el Gancho de Evento.
Verify Connectivity

Probar la integración

Puede probar la integración utilizando la herramienta de vista previa incorporada de Okta siguiendo los pasos:

  1. En Okta Admin Console, vaya a Seguridad > Autenticadores > Configuración > Teléfono para asegurarse de que la autenticación telefónica está activada en su Okta.
  2. Ejecute la prueba de previsualización:
    • Vaya a Flujo de trabajo > Ganchos en línea.
    • Busque el gancho en línea de telefonía que ha creado y haga clic en Acciones > Vista previa.
    • En Configurar la solicitud de gancho en línea:
      • Introduzca la información de un usuario de prueba: data.userProfile (un usuario que tiene un teléfono como autenticador válido).
      • Seleccione requestType (inscripción MFA, verificación MFA, desbloqueo de Account o restablecimiento de Password).
    • Haga clic en Generar solicitud para construir la carga útil JSON.
    • Haga clic en Editar para modificar la solicitud si es necesario.
    • Sustituya el número de teléfono predeterminado (9876543210) por un número de móvil real en formato E.164 (por ejemplo, +447700900000).
    • Haga clic en Ver respuesta para activar el gancho. Una respuesta exitosa mostrará el estado: ÉXITO con la duración de la entrega.

Importante: Si la conexión entre Okta y Vonage falla, Okta no generará una OTP. Revisa los registros del conector y verifica si la URL del webhook y el token son correctos.

Solución de problemas

Comprobaciones rápidas

Antes de trazar el flujo completo, Verifique lo siguiente:

Credenciales: Confirme que la URL del Telephony Webhook, la URL del Event Webhook, el Auth Header Name y el Token Secret en Okta coinciden exactamente con los valores de los detalles de generación del token.

Estado del gancho: En la consola de administración de Okta, vaya a Flujo de trabajo > Ganchos en línea y confirme que el estado del gancho es Activo y Verificado.

Cuadro de mandos: Comprueba la actividad reciente de OTP en la pestaña Panel del conector. Busca eventos FAILED o FLAGGED y haz clic en el icono de descripción para ver los detalles del error.

Identidad: Si se bloquean las OTP, comprueba si Identity Insights está marcando el número de destino. Considere la posibilidad de ajustar el Cuando número está marcado acción a Bloquear > Marcar y entregar o Sólo registrar para pruebas.

Autenticador telefónico: Confirme que la autenticación telefónica está habilitada en Okta: Okta Admin Console > Seguridad > Autenticadores > Configuración > Teléfono.

Rastrear el problema paso a paso

Si algo no funciona como se esperaba, sigue el problema a través de las siguientes etapas:

  1. Okta envía la solicitud: Compruebe el Okta Admin Console > Informes > Registro del sistema para la llamada de gancho, la URL de destino y el estado de la solicitud.
  2. El conector procesa la solicitud: Consulte Vonage Cloud Runtime > Instancias > Tu instancia > Registros para la solicitud entrante, el resultado de Identity Insights y la llamada a la API Verify.
  3. OTP entregado: Consulte Panel de Vonage > Registros de mensajes para conocer el estado del mensaje, el canal, el ID del remitente, los códigos de error y cualquier bloqueo de Fraud Defender.
  4. Evento de autenticación recibido: Consulte Panel de administración del conector > Eventos de autenticación recientes para el evento recibido, el tipo de evento, el factor, el resultado y la coincidencia de token.
  5. Conversión registrada: Consulte Panel de Vonage > Verify Logs para el estado de conversión, la tasa de conversión y la falta de conversión.

Códigos de error del conector y subcódigos de Identity Insights

Para obtener una lista completa de los códigos de error del conector y los subcódigos de Identity Insights, consulte la página Guía del usuario de Vonage Protection Suite for Okta.

¿Necesita ayuda?

Si no puede resolver el problema utilizando la sección de resolución de problemas anterior, póngase en contacto con Centro de ayuda de Vonage. Cuando envíe una solicitud, incluya su Clave API (solo el ID de Account, no el secreto), el ID del evento Inline Hook del registro del sistema Okta y cualquier captura de pantalla o registro relevante para ayudar a una resolución más rápida.

Lecturas complementarias