Comment configurer la suite de protection de Vonage pour Okta

Introduction

Lorsqu'un utilisateur doit vérifier son identité dans Okta, ce dernier génère un mot de passe à usage unique (OTP). Cependant, Okta n'envoie pas l'OTP directement. Il s'appuie sur des fournisseurs externes pour livrer les OTP aux utilisateurs. Les Vonage Protection Suite pour Okta répond à cet objectif en fournissant un connecteur géré et prêt à l'emploi pour la livraison d'OTP par SMS et par voix. Il s'intègre directement à votre moteur d'identité Okta via Telephony Inline Hooks et délivre des OTP par l'intermédiaire de Vonage Verify via des SMS ou des appels vocaux. Le connecteur est construit sur Vonage Cloud Runtime (VCR).

Plates-formes Okta prises en charge

La suite Vonage Protection pour Okta s'intègre via le Telephony Inline Hook d'Okta, qui est disponible dans Okta Workforce Identity Cloud, y compris le moteur d'identité Okta (OIE) et l'ancien moteur classique. Auth0 (Okta Customer Identity Cloud) n'est pas pris en charge dans cette version. Auth0 utilise un modèle d'extensibilité différent (Actions/fournisseurs d'informations d'identification personnalisés) plutôt que Telephony Inline Hook, et nécessite une intégration séparée.

Modèle de renseignement sur la fraude à deux niveaux

Les Vonage Protection Suite pour Okta utilise un modèle de renseignement sur la fraude à deux niveaux :

  • Identity Insights Pre-OTP Number Verification (optionnel): Examine le numéro par rapport aux bases de données du transporteur (validité, transporteur) et bloque la fraude avant que la livraison de l'OTP ne soit initiée. Il s'agit d'une couche d'intelligence passive qui ne nécessite aucune action de la part de l'utilisateur final.
  • Défendeur de fraude de niveau 2 pendant l'OTP: Protection contre le pompage par SMS, autorisations géographiques, contrôle de la vitesse et limitation du débit.

Dans ce guide, vous allez connecter votre locataire Okta à Verify de Vonage à l'aide de l'option Vonage Protection Suite pour OktaLes OTP sont délivrés par SMS ou par voie vocale.

Débit du connecteur

Le diagramme suivant montre comment le connecteur se situe entre Okta et Vonage Verify :

Vonage Protection Suite for Okta Flow Diagram

Conditions préalables

Avant de commencer, assurez-vous que vous disposez des éléments suivants :

  • Un locataire Okta actif avec Okta Identity Engine (OIE).
  • Authentificateur téléphonique activé dans Okta (Okta Admin Console > Sécurité > Authentificateurs > Configuration > Téléphone).
  • Accès administrateur à la console d'administration Okta pour configurer les Inline Hooks et les Event Hooks.
  • Un compte API Vonage (vous pouvez vous inscrire gratuitement) ainsi qu'une clé API (vous trouverez ces informations d'identification dans votre fichier Paramètres de l'API dans le tableau de bord de Vonage).
  • L'accès à la Tableau de bord Vonage.
  • Un abonnement à Vonage Cloud Runtime Advanced. Si vous n'en avez pas, contactez votre Customer Success Associate (CSA) de Vonage pour l'activer.

Déployer le connecteur sur Vonage Cloud Runtime

  1. Se connecter à Vonage Cloud Runtime et cliquez sur l'icône Vonage Protection Suite pour Okta tuile.
  2. Dans le menu de droite, sélectionnez l'option Clé API pour laquelle vous souhaitez déployer le connecteur. Si votre Account ne possède qu'une seule clé API, cette étape est automatiquement ignorée.
  3. Cliquez sur Déployer une nouvelle instance.
Deploy the Connector on Vonage Cloud Runtime
  1. Dans la section Type de configuration du connecteur, sélectionnez Standard et cliquez sur Continuer.
Set up your project deployment
  1. Remplir les paramètres :
    • Région: Région où votre entité sera hébergée.
    • Nom de l'instance : Nom unique de votre instance.
    • Numéro Vonage (optionnel): Ce numéro sert d'identifiant de l'expéditeur du SMS et doit être au format E.164, composé uniquement de chiffres (un numéro international sans le signe "+"). Si ce numéro n'est pas configuré, le nom de marque spécifié ci-dessous sera utilisé à la place. Notez que cette valeur ne s'applique pas aux appels vocaux, car le numéro de l'appelant est sélectionné au hasard par Vonage Verify.
    • Nom de la marque (obligatoire): Le corps du message OTP utilisera ce nom de marque dans le SMS. Cette valeur est ignorée pour les appels vocaux. Au lieu de cela, le numéro de l'appelant est sélectionné au hasard par Vonage Verify comme étant adapté à la région de destination.
    • Rappel des appels vocaux (obligatoire): Lorsque cette option est activée, le connecteur tente automatiquement de passer un appel vocal si l'envoi du SMS échoue.
Set up your project parameters part 1
Set up your project parameters part 2
  1. Cliquez sur Continuer pour déployer l'instance.

Configurer le connecteur

Lancer l'application Admin

Après avoir déployé l'instance, lancez l'Application d'administration du connecteur. Elle vous permet de configurer les politiques de sécurité et de générer des jetons d'authentification. Pour ce faire, suivez les étapes ci-dessous :

  1. Sélectionnez l'instance précédemment créée et cliquez sur le bouton Lancement bouton.
Launch the Admin App
  1. S'authentifier avec les informations d'identification de Vonage en cliquant sur le bouton Verify Identity with Vonage (Vérifier l'identité avec Vonage) bouton.

Examiner l'onglet du tableau de bord

Après avoir lancé l'application d'administration du connecteur, vous êtes redirigé vers la page Tableau de bord tab. Il offre une visibilité en temps réel de la livraison des OTP et de l'activité d'authentification.

Review the Dashboard

Les Tableau de bord présente les données suivantes :

  • Section des compteurs présente les mesures suivantes :
    • Total des SMS: Le nombre global de tentatives de remise de SMS (réussies et infructueuses).
    • Succès des SMS: Le nombre d'envois de SMS qui ont été effectués avec succès.
    • SMS bloqués: Le nombre de livraisons de SMS qui ont été bloquées par Identity Insights ou Fraud Defender.
    • Total Voice: Nombre total de tentatives de transmission de la voix (réussies ou non).
    • Succès vocal: Le nombre total de livraisons vocales qui ont été effectuées avec succès.
    • Voix bloquée: Le nombre de livraisons vocales qui ont été bloquées.
  • Activité récente d'OTP montre les 10 dernières tentatives de remise d'OTP pour tous les jetons :
    • Horodatage: Date de la tentative de livraison.
    • Destination: Le numéro de téléphone masqué.
    • Chaîne: SMS/VOICE.
    • Statut: SUCCESS, FAILED, ou FLAGGED (ambre, pour flag-and-deliver).
    • Description: Cliquez sur l'icône de l'œil pour voir la raison complète de l'échec ou du signalement.
    • Temps de latence: Durée de la livraison en millisecondes.
    • Jeton: L'identifiant abrégé du jeton.
  • Événements récents dans le domaine de l'authentification affiche les 10 derniers événements d'authentification obtenus auprès d'Okta :
    • Horodatage: Indique la date de publication de l'événement
    • Jeton: L'identifiant abrégé du jeton.
    • Événement: Le type d'événement Okta (par exemple, user.authentication.auth_via_mfa).
    • Facteur: Le facteur d'authentification utilisé (par exemple, SMS_FACTOR, CONVERSION).
    • Résultats: SUCCESS, FAILURE ou UNKNOWN.
    • Utilisateur: L'identifiant de l'acteur Okta.
    • Demande: L'ID associé à la demande d'authentification.
  • Liste des jetons: Le tableau de bord affiche tous les jetons créés ainsi que leur statut actuel :
    • Actif: Le jeton est actuellement valide et utilisé.
    • Délai de grâce: Un nouveau jeton a pris la place de celui-ci, et les deux jetons fonctionnent simultanément pendant une période de transition de 24 heures.
    • Expiré: Le jeton a dépassé sa date d'expiration.
    • Révoquée: Le jeton a été désactivé manuellement et n'est plus utilisable.
  • Rotation d'un jeton crée un nouveau jeton qui possède les mêmes revendications de sécurité que l'original. Le jeton original entre dans une période de grâce de 24 heures pendant laquelle les deux jetons sont acceptables. La rotation des jetons permet d'actualiser régulièrement les informations d'identification du cycle sans interruption de service.
  • Révoquer un jeton le désactive instantanément. Cette mesure doit être prise si un jeton a été compromis ou n'est plus nécessaire. L'effet de la révocation est immédiat et ne peut être annulé.

Onglet Générer un jeton

Maintenant, naviguez jusqu'à la page Créer un jeton où vous pouvez configurer les politiques de sécurité et générer un jeton. Ce jeton sert à authentifier les communications entre Okta et le connecteur. En outre, il encode les politiques de sécurité applicables à chaque livraison d'OTP effectuée à l'aide de ce jeton.

Generate the Token

Couche 1 : Identity Insights Vérification du numéro pré-OTP (facultatif)

Le modèle de sécurité à deux niveaux du connecteur commence par la vérification optionnelle du numéro pré-OTP d'Identity Insights.

Identité est une API de Vonage qui vous donne un accès en temps réel aux bases de données des opérateurs de téléphonie mobile. Elle vous aide à évaluer le niveau de risque d'un numéro de téléphone. Dans le connecteur, elle sert d'outil de filtrage avant l'envoi d'un OTP. Le connecteur utilise les résultats de ces vérifications, que vous pouvez configurer comme vous le souhaitez.

Remarque : Chaque vérification activée est facturée par demande, tandis que les vérifications du format du numéro et de la validité sont gratuites. N'oubliez pas que la recherche de l'opérateur d'origine et la recherche de l'opérateur actuel sont facturées par demande. Vous trouverez des informations tarifaires détaillées sur le site Page de tarification de Vonage.

  1. Pour activer la fonction Identité la fonction de basculement est réglée sur ON.
  2. Sélectionnez les contrôles que vous souhaitez appliquer :
    • Format et validité des nombres (gratuit): Confirme si le numéro est un numéro mobile valide et marque automatiquement les numéros VoIP et virtuels.
    • Recherche du transporteur d'origine (facturée par demande): Identifie le réseau et le type de ligne attribués lorsque ce numéro a été émis pour la première fois. Utile pour filtrer les numéros enregistrés comme VoIP dès le départ. Ne permet pas d'identifier un numéro mobile porté ultérieurement en VoIP.
      • Type de réseau Filtre: Les numéros sur des types de réseaux non sélectionnés seront signalés.
    • Recherche du transporteur actuel (facturée par demande): Identifie le réseau et le type de ligne en direct desservant actuellement ce numéro, y compris tout changement résultant d'un portage.
  3. Filtres géographiques et de canaux : Ces filtres limitent la délivrance de l'OTP en fonction des caractéristiques géographiques ou de réseau du numéro de téléphone.
    • Liste des pays autorisés: Indiquez les codes de pays ISO 3166-1 alpha-2 (par exemple, US, GB, DE). Seuls les numéros associés à ces pays seront autorisés. Laissez ce champ vide pour autoriser tous les pays.
  4. Choisissez l'action à entreprendre si un numéro de destination est signalé lors des contrôles de vérification :
    • Bloquer l'OTP: L'OTP n'a pas été délivré. Vous pouvez consulter le motif de l'échec dans la section Onglet Tableau de bord > Activité récente d'OTP > Description.
    • Drapeau et livraison: L'OTP est délivré, mais il est signalé par un drapeau orange dans le tableau de bord pour un examen plus approfondi. À utiliser lorsque vous souhaitez avoir une visibilité sans bloquer des utilisateurs potentiellement légitimes. Vous pouvez voir le statut dans le tableau de bord Onglet Tableau de bord > Activité récente d'OTP > Statut.
    • Journal seulement: Le résultat du contrôle est enregistré, mais aucune autre action n'est entreprise. Aucun signalement n'est apposé. Utile lors du déploiement initial pour comprendre votre taux de signalement avant de vous engager dans une politique de blocage ou de signalement. L'OTP sera envoyé comme d'habitude. Aucune information n'est visible dans la fenêtre Tableau de bord tabulation.

Couche 2 : Défense contre la fraude pendant l'OTP

Lorsqu'un numéro passe avec succès les contrôles de la couche 1 (ou si Identity Insights est désactivé), l'OTP est envoyé à Vonage Verify pour livraison. À ce stade, Fraud Defender prend le relais en tant que couche de protection supplémentaire.

Défenseur de la fraude protège contre le pompage de SMS, le trafic artificiellement gonflé (AIT) et les attaques par rafales de trafic. Aucune action n'est nécessaire pour activer cette fonction. Elle est automatiquement appliquée à tout le trafic OTP traité par Vonage Verify.

Sélection des niveaux

Dans le panneau de configuration du connecteur, Fraud Defender Advanced s'affiche comme suit Inclus, et est disponible sans frais supplémentaires pour tout le trafic Verify. Si vous avez besoin de Fraud Defender Premium, contactez votre Account Manager Vonage pour l'activer.

Important : Les protections avancées telles que la protection AIT et la protection contre les rafales de SMS ne sont pas activées automatiquement. Elles nécessitent une activation et une configuration séparées dans le tableau de bord de Vonage. Pour les configurer, suivez les instructions suivantes Guide d'intégration de Fraud Defender.

Limite du taux

Définissez un nombre maximum de demandes OTP par numéro de téléphone dans une fenêtre de 10 minutes. La valeur par défaut est de 5 demandes. Cela permet d'éviter les demandes OTP répétées visant le même numéro. Cette fonctionnalité peut être désactivée si elle n'est pas nécessaire.

Livraison

Nom de marque: Le nom de marque affiché aux destinataires dans le message OTP. Remplace le nom de marque global configuré sur le serveur.
SMS to Voice Fallback: Réessaie automatiquement par appel vocal si l'envoi du SMS échoue. Cette fonctionnalité peut être désactivée si elle n'est pas nécessaire.

Expiration du jeton

Sélectionnez la période de validité du jeton que vous allez générer : 24 heures, 7 jours, 30 jours, 90 jours (par défaut) ou Jamais. Des périodes d'expiration plus courtes améliorent la sécurité mais nécessitent une rotation plus fréquente. Le jeton intègre la configuration actuelle de votre réseau national et de votre numéro de téléphone.

Enregistrer les détails du jeton généré

Une fois que les politiques de sécurité ont été mises en place et que le jeton a été produit, veillez à enregistrer les détails du jeton généré. Les détails du jeton ne seront plus affichés, et ces informations sont essentielles pour la configuration d'Okta à l'étape Configurer Okta :

  • URL du crochet Web de la téléphonie
  • URL du Webhook de l'événement
  • Nom de l'en-tête Auth
  • Jeton secret

Configurer Okta

Après avoir déployé le connecteur et généré le jeton, il est temps de configurer Telephony Inline Hook et Event Hook dans la console d'administration Okta avec les URL de webhook et le jeton.

Configurer le crochet téléphonique en ligne

Maintenant, suivez les étapes ci-dessous pour configurer le crochet de téléphonie en ligne :

  1. Connectez-vous à votre console d'administration Okta.
  2. Naviguez jusqu'à Workflow > Inline Hooks. Cliquez sur le bouton Ajouter un crochet en ligne, puis sélectionnez Téléphonie.
Configure the Telephony Inline Hook
  1. Complétez les détails du crochet :
  • Nom: Entrez un nom (par exemple, "Vonage OTP").
  • URL: Collez l'URL du crochet Web de téléphonie à partir des détails du jeton généré.
  • Champ d'authentification: Collez le nom de l'en-tête d'authentification à partir des détails du jeton généré.
  • Secret d'authentification: Collez le secret du jeton à partir des détails du jeton généré.
  1. Cliquez sur Économiser.

Configuration du crochet d'événement

Ensuite, suivez les étapes ci-dessous pour configurer le crochet d'événement :

  1. Naviguez jusqu'à Workflow > Crochets d'événements.
Configure the Event Hook
  1. Cliquez sur le bouton Créer un crochet pour l'événement.
  2. Complétez les détails du crochet :
  • Nom: Entrez un nom (par exemple, "Vonage Events").
  • URL: Collez l'URL du Webhook de l'événement à partir des détails du jeton généré.
  • Champ d'authentification: Collez le nom de l'en-tête d'authentification à partir des détails du jeton généré.
  • Secret d'authentification: Collez le secret du jeton à partir des détails du jeton généré.
  1. Les Demandes définit les demandes qu'Okta enverra au point de terminaison. S'abonner au Authentification de l'utilisateur via MFA événement.
  2. Cliquez sur Sauvegarder et continuer.

Verify Connectivity (Vérifier la connectivité)

Maintenant, il est temps de vérifier que la connexion entre Okta et le connecteur est active. Pour ce faire, nous devons confirmer que les deux crochets affichent le statut Active & Verify dans Okta Admin Console :

  1. Cliquez sur le bouton Verify de la fenêtre Verify la propriété du point de terminaison qui apparaît juste après la création du crochet d'événement.
Verify Connectivity

Tester l'intégration

Vous pouvez tester l'intégration à l'aide de l'outil de prévisualisation intégré d'Okta en suivant les étapes suivantes :

  1. Dans la console d'administration Okta, naviguez vers Sécurité > Authentificateurs > Configuration > Téléphone pour vous assurer que l'authentification par téléphone est activée dans votre Okta.
  2. Exécutez le test de prévisualisation :
    • Naviguez jusqu'à Workflow > Inline Hooks.
    • Recherchez le crochet de téléphonie en ligne que vous avez créé et cliquez sur Actions > Aperçu.
    • En Configurer la demande de crochet en ligne:
      • Saisir les informations relatives à un utilisateur test : data.userProfile (un utilisateur dont le téléphone est un authentifiant valide).
      • Sélectionner requestType (inscription à l'AMF, vérification de l'AMF, déverrouillage du compte ou réinitialisation du mot de passe).
    • Cliquez sur Générer une demande pour construire la charge utile JSON.
    • Cliquez sur Editer pour modifier la demande si nécessaire.
    • Remplacer le numéro de téléphone par défaut (9876543210) par un véritable numéro de mobile au format E.164 (par exemple, +447700900000).
    • Cliquez sur Voir la réponse pour déclencher le crochet. Si la réponse est positive, le statut s'affichera : SUCCÈS avec la durée de la livraison.

Important : Si la connexion entre Okta et Vonage échoue, Okta ne générera pas d'OTP. Consultez les journaux du connecteur et vérifiez si l'URL du webhook et le jeton sont corrects.

Dépannage

Contrôles rapides

Avant de tracer le flux complet, vérifiez les points suivants :

Titres de compétences: Confirmez que l'URL du crochet Web de téléphonie, l'URL du crochet Web d'événement, le nom de l'en-tête d'authentification et le secret du jeton dans Okta correspondent exactement aux valeurs des détails de la génération du jeton.

Statut du crochet: Dans la console d'administration Okta, naviguez vers Workflow > Inline Hooks et confirmez que le statut du crochet est Actif et Vérifié.

Tableau de bord: Vérifiez l'activité récente d'OTP dans l'onglet Tableau de bord du connecteur. Recherchez les événements FAILD ou FLAGGED et cliquez sur l'icône de description pour obtenir les détails de l'erreur.

Identité: Si les OTP sont bloqués, vérifiez si Identity Insights signale le numéro de destination. Envisagez d'ajuster le Lorsque le nombre est signalé action à Bloquer > Marquer et délivrer ou Enregistrer uniquement pour test.

Authentificateur téléphonique: Confirmer que l'authentification par téléphone est activée dans Okta : Okta Admin Console > Sécurité > Authentificateurs > Configuration > Téléphone.

Retracer le problème étape par étape

Si quelque chose ne fonctionne pas comme prévu, il convient de suivre les étapes suivantes :

  1. Okta envoie la demande: Vérifier le Okta Admin Console > Rapports > Journal du système pour l'appel de crochet, l'URL cible et le statut de la demande.
  2. Le connecteur traite la demande: Vérifier Vonage Cloud Runtime > Instances > Votre instance > Journaux pour la demande entrante, le résultat d'Identity Insights et l'appel à l'API Verify.
  3. OTP délivré: Vérifier Tableau de bord de Vonage > Journaux des messages pour connaître l'état du message, le canal, l'ID de l'expéditeur, les codes d'erreur et les blocages éventuels du Fraud Defender.
  4. Événement d'authentification reçu: Vérifier Tableau de bord de l'administrateur du connecteur > Événements d'authentification récents pour l'événement reçu, le type d'événement, le facteur, le résultat et la correspondance des jetons.
  5. Conversion enregistrée: Vérifier Tableau de bord de Vonage > Verify Logs pour le statut converti, les frais de conversion et la conversion manquante.

Codes d'erreur du connecteur et sous-codes d'Identity Insights

Pour une liste complète des codes d'erreur des connecteurs et des sous-codes d'Identity Insights, voir le document Guide de l'utilisateur de Vonage Protection Suite for Okta.

Besoin d'aide ?

Si vous ne parvenez pas à résoudre le problème à l'aide de la section Dépannage ci-dessus, contactez Centre d'aide de Vonage. Lorsque vous soumettez une demande, incluez votre clé API (identifiant de compte uniquement, pas de secret), l'identifiant de l'événement Inline Hook du journal du système Okta, ainsi que toute capture d'écran ou tout journal pertinent pour aider à une résolution plus rapide.

Pour en savoir plus