Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Důležité
Od 3. února 2025 už není služba Dynamics 365 Fraud Protection k dispozici k nákupu. Podpora ochrany před podvody skončí 3. února 2026. Další informace najdete v článku Konec podpory pro Dynamics 365 Fraud Protection.
Externí volání umožňují ingestovat data z rozhraní API mimo Microsoft Dynamics 365 Fraud Protection a pak tato data používat k přijímání informovaných rozhodnutí v reálném čase. Například adresy třetích stran a služby ověření telefonu nebo vlastní modely bodování můžou poskytovat kritický vstup, který pomáhá určit úroveň rizika některých událostí. Pomocí externích volání se můžete připojit k libovolnému koncovému bodu rozhraní API, podle potřeby vytvořit požadavek na tento koncový bod z vašeho pravidla a pomocí odpovědi z tohoto koncového bodu provést rozhodnutí.
Poznámka:
Pokud jsou tato další data potřebná pro všechny události, můžete je také odeslat jako součást schématu posouzení. Další informace o odesílání vlastních dat v rámci požadavku rozhraní API najdete v ukázce vlastních dat.
Typy rozhraní API, která lze použít v externím volání
Před vytvořením externího volání byste měli vědět o následujících omezeních:
- Ochrana před podvody v současné době podporuje pouze následující metody ověřování: Anonymní a AAD.
- Ochrana před podvody v současné době podporuje pouze následující metody HTTP: GET a POST.
Vytvoření externího volání
Na portálu Pro ochranu před podvody v levém navigačním panelu vyberte Externí hovory a pak vyberte Nový externí hovor.
Podle potřeby zkontrolujte a nastavte následující pole.
Název – Zadejte název, který použijete pro odkaz na externí volání z vašich pravidel. Název může obsahovat jenom číslice, písmena a podtržítka. Nemůže začínat číslem.
Poznámka:
Po použití v pravidle nemůžete změnit název externího volání.
Popis – Přidejte popis, který vašemu týmu pomůže rychle identifikovat externí hovor.
Webový požadavek – Vyberte příslušnou metodu HTTP (GET nebo POST) a zadejte koncový bod rozhraní API.
Poznámka:
Podporují se jenom koncové body HTTPS.
Povolte pravidelná volání zahřátí – pokud je provoz do vašeho koncového bodu externího volání příliš nízký, připojení může být studené a může zvýšit latenci odezvy z externí služby. Pokud chcete tento problém zmírnit, povolte volání zahřátí ze stránky nastavení externího volání. Pomocí přepínače povolte volání zahřátí. Musíte zadat platnou adresu URL GET Keep-alive. Stejně jako u primárního koncového bodu musí koncový bod zachovat také průchod testovacího připojení. Pokud konfigurujete externí volání s povolenými voláními pro přípravu, když je objem provozu příliš nízký, služba Fraud Protection automaticky zpřístupňuje anonymní zahřátí koncového bodu s využitím metody GET.
Poznámka:
V zahřívacích voláních se nedají použít žádné parametry, konfigurace ani konfigurovatelné hlavičky.
Ověřování – Vyberte metodu, která se má použít k ověřování příchozích požadavků.
- Pokud vyberete Možnost Anonymní, autorizační hlavička se neodesílají.
- Pokud vyberete AAD, vygeneruje se ve vašem tenantovi token Azure Active Directory (Azure AD) a jako autorizační hlavičku se použije nosný <token> .
Další informace o ověřování, autorizaci a tokenech Azure AD najdete v části Vysvětlení ověřování a autorizace dále v tomto článku.
Cílová skupina – Pokud jako metodu ověřování vyberete AAD , zobrazí se výzva k zadání cílové skupiny. Existující aplikaci Azure můžete použít jako cílovou skupinu nebo vytvořit novou prostřednictvím prostředí integrace na portálu Pro ochranu před podvody. Ujistěte se, že cílová skupina má oprávnění pro přístup k externímu volání nebo službě. Další informace o konfiguraci ověřování Azure Active Directory (Azure AD) najdete v tématu Konfigurace ověřování Azure AD.
ID aplikace – Musíte také zadat ID aplikace nové nebo existující aplikace Azure AD v rámci vašeho tenanta předplatného ochrany před podvody. Vygenerujte ve službě Azure Key Vault certifikát. Aplikace Pro ochranu před podvody by měla mít přístup pro čtení k tomuto trezoru klíčů Azure Key Vault. Načtěte certifikát do této aplikace Azure AD. Další informace o vytváření a správě aplikací Azure AD najdete v tématu Vytváření aplikací Azure Active Directory.
Adresa URL certifikátu – Zadejte adresu URL identifikátoru certifikátu ze služby Azure Key Vault. Jedná se o stejný certifikát, který jste načetli do aplikace Azure AD v předchozím kroku. Další informace o tom, jak vygenerovat certifikát ve službě Azure Key Vault, najdete v tématu Vytvoření a sloučení žádosti o podepsání certifikátu ve službě Azure Key Vault.
Přidání parametru – Pomocí parametrů můžete předávat data z ochrany před podvody do koncového bodu rozhraní API. V závislosti na vybrané metodě HTTP se tyto parametry odesílají do koncového bodu buď v řetězci dotazu, nebo jako součást textu požadavku.
Pro každý parametr můžete přidat ukázkové hodnoty. Ochrana před podvody používá tyto hodnoty parametrů k provedení ukázkového volání koncového bodu, a to buď před vytvořením, nebo při každém výběru možnosti Test.
Poznámka:
Všechny hodnoty parametrů jsou interpretovány jako řetězce.
Ukázkový požadavek – Zadejte příklad požadavku, který se odešle do vašeho externího volání. Požadavek by měl odrážet názvy parametrů a hodnoty, které jste zadali, a nedá se upravit.
U metod GET se zobrazí adresa URL požadavku. V případě metod POST se zobrazí text požadavku.
Ukázkový požadavek se používá k provedení ukázkového volání koncového bodu, a to buď před vytvořením, nebo při každém výběru možnosti Test.
Ukázková odpověď – Zadejte příklad dat vrácených v úspěšné odpovědi z koncového bodu rozhraní API. Tato data by měla být ve formátu JSON (JavaScript Object Notation) a dají se na tato data odkazovat ve vašich pravidlech. Ukázka, kterou tady zadáte, se zobrazí při vytváření pravidel.
Výběrem možnosti Test v tomto poli automaticky zadáte skutečnou odpověď z vašeho rozhraní API.
vypršení časového limitu – Určete, jak dlouho má požadavek v milisekundách čekat, než vyprší časový limit. Musíte zadat číslo od 1 do 5000.
Výchozí odpověď – Zadejte výchozí odpověď, která se má vrátit, pokud požadavek selže nebo překročí zadaný časový limit. Hodnota musí být platný objekt JSON nebo element JSON.
Volitelné: Pokud chcete odeslat ukázkový požadavek do koncového bodu rozhraní API a zobrazit odpověď, vyberte Test. Další informace najdete v další části o testování externího volání.
Po dokončení nastavení požadovaných polí vyberte Vytvořit.
Otestování externího volání
Pokud chcete zajistit, aby se ochrana před podvody připojila k vašemu koncovému bodu, otestujte připojení v libovolném okamžiku.
Pokud chcete otestovat připojení při vytváření nového externího volání nebo úpravě existujícího externího volání, nastavte všechna požadovaná pole a pak vyberte Test.
Ochrana před podvody používá koncový bod a parametry, které jste zadali k odeslání požadavku na externí volání.
- Pokud ochrana před podvody úspěšně dosáhne cílového koncového bodu, zobrazí se v horní části panelu zelený panel zpráv, který vás informuje, že připojení bylo úspěšné. Pokud chcete zobrazit úplnou odpověď, vyberte Zobrazit podrobnosti odpovědi.
- Pokud ochrana před podvody nemůže dosáhnout cílového koncového bodu nebo pokud neobdrží odpověď před zadaným vypršením časového limitu, zobrazí se v horní části panelu červený panel zpráv a zobrazí se chyba, ke které došlo. Pokud chcete zobrazit další informace o chybě, vyberte Zobrazit podrobnosti o chybě.
Monitorování externích volání
Monitorování externích volání na portálu Ochrany před podvody
Ochrana před podvody zobrazuje dlaždici, která obsahuje tři metriky pro každé externí volání, které definujete:
- Žádosti za sekundu – celkový počet žádostí vydělený celkovým počtem minut ve vybraném časovém rámci.
- Průměrné latence – celkový počet latencí požadavků vydělený celkovým počtem minut ve vybraném časovém rámci.
- Míra úspěšnosti – celkový počet úspěšných žádostí vydělený celkovým počtem provedených požadavků.
Čísla a grafy zobrazené na této dlaždici obsahují pouze data pro časový rámec, který vyberete v rozevíracím seznamu v pravém horním rohu stránky.
Poznámka:
Metriky se zobrazují jenom v případech, kdy se vaše externí volání používá v aktivním pravidlu.
Pokud se chcete hlouběji seznámit s daty o vašem externím volání, vyberte v pravém rohu dlaždice výkon .
Ochrana před podvody zobrazuje novou stránku s podrobnějším zobrazením metrik.
Pokud chcete zobrazit metriky pro libovolný časový rámec za poslední tři měsíce, upravte nastavení rozsahu dat v horní části stránky.
Kromě výše popsaných tří metrik se zobrazí graf Chyb . Tento graf zobrazuje počet chyb podle typu chyby a kódu. Pokud chcete zobrazit počty chyb v průběhu času nebo zobrazit rozdělení chyb, vyberte Výsečový graf.
Kromě chyb klienta HTTP (400, 401 a 403) se můžou zobrazit následující chyby:
- Neplatné ID aplikace – Zadané ID aplikace v tenantovi neexistuje nebo není platné.
- Selhání AAD – Token Azure AD se nepodařilo načíst.
- Definice nebyla nalezena – Externí volání bylo odstraněno, ale stále se na něj odkazuje v pravidle.
- Časový limit – Požadavek na cíl trval déle než zadaný časový limit.
- Chyba komunikace – Kvůli problému se sítí nebo kvůli nedostupnosti cíle se nepodařilo provést žádné připojení k cíli.
- Jistič – Pokud externí volání selhalo nepřetržitě a překročilo určitou prahovou hodnotu, jsou všechna další volání po krátkou dobu pozastavena.
- Neznámé selhání – došlo k interní chybě Dynamics 365.
Monitorování externích volání pomocí trasování událostí
Pomocí funkce trasování událostí ochrany před podvody můžete předávat události, které souvisejí s vašimi externími voláními do vlastních instancí služby Azure Event Hubs nebo Azure Blob Storage. Na portálu Pro ochranu před podvody na stránce Trasování událostí se můžete přihlásit k odběru následujících dvou událostí, které souvisejí s externími voláními:
- OchranaProtiPodvodům.Sledování.VnějšíVolání
- FraudProtection.Chyby.ExterníVolání
Při každém provedení požadavku na externí volání se událost odešle do oboru názvů FraudProtection.Monitoring.ExternalCalls. Datová část události obsahuje informace o latenci volání, stavu požadavku a pravidle a klauzuli, ze které se požadavek aktivoval.
Když dojde k selhání externího volání, odešle se událost do oboru názvů FraudProtection.Errors.ExternalCalls. Datová část události obsahuje požadavek URI a text, které byly odeslány do externího volání, a odpověď, která byla přijata.
Další informace o trasování událostí, způsobu přihlášení k odběru událostí a o tom, co můžete s událostmi dělat, najdete v tématu Trasování událostí.
Informace o tom, jak tato data integrovat s pracovními postupy vaší organizace a nastavit vlastní monitorování, upozorňování a vytváření sestav, najdete v tématu Rozšiřitelnost prostřednictvím služby Event Hubs.
Správa externích volání
Pokud chcete upravit existující externí hovor, vyberte Upravit v záhlaví karty.
Poznámka:
Po použití v pravidle nemůžete změnit název a parametry externího volání.
Pokud chcete odstranit existující externí volání, vyberte tři tečky (...) a pak vyberte Odstranit.
Poznámka:
Po odkazech na externí volání v pravidle není možné odstranit.
Pokud chcete zobrazit podrobné metriky výkonu pro externí volání, vyberte Výkon.
Pokud chcete otestovat, že se ochrana před podvody může připojit k vašemu externímu volání, vyberte tři tečky (...) a pak vyberte Test připojení.
Použití externího volání v pravidlech
Pokud chcete k rozhodování použít externí volání, na ně použijte odkaz z vašich pravidel.
Pokud chcete například odkazovat na externí volání s názvem myCall ve vašem pravidle, použijte následující syntaxi:
External.myCall()
Pokud myCall vyžaduje parametr, například IPaddress, použijte následující syntaxi:
External.myCall(@"device.ipAddress")
Informace o jazyce pravidel a o tom, jak v pravidlech používat externí volání, najdete v referenční příručce jazyka.
Poznámka:
Pokud se v pravidle používají externí volání, může se zvýšit latence pravidla.
Vysvětlení ověřování a autorizace
Aby byla data bezpečně přístupná, rozhraní API často ověřují odesílatele požadavku, aby ověřila, že mají oprávnění pro přístup k datům. Externí volání v ochraně před podvody podporují dvě metody ověřování: Anonymní a AAD.
Pokud vyberete Možnost Anonymní, autorizační hlavička v požadavku HTTP cílového koncového bodu zůstane prázdná. Tuto možnost použijte, pokud cílový koncový bod nevyžaduje autorizační hlavičku. Pokud například koncový bod používá klíč rozhraní API, nakonfigurujte pár klíč-hodnota jako součást adresy URL požadavku, kterou zadáte do pole Webové žádosti . Cílový koncový bod pak může ověřit, jestli je klíč rozhraní API z adresy URL požadavku povolený, a pak rozhodnout, jestli má být uděleno oprávnění.
Pokud vyberete AAD, autorizační hlavička v požadavku HTTP na cílový koncový bod obsahuje nosný token. Nosný token je webový token JSON (JWT), který vydává Azure AD. Informace o přístupových tokenech JWT najdete v tématu Přístupové tokeny platformy Microsoft Identity Platform. Ochrana před podvody připojí hodnotu tokenu k textu "Bearer" v požadovaném formátu v hlavičce autorizace požadavku, jak je znázorněno tady:
Nosný <token>
Deklarace identity tokenů
Následující tabulka uvádí deklarace identity, které můžete očekávat v nosných tokenech vydaných ochranou před podvody.
| Název | Deklarace identity | Popis |
|---|---|---|
| ID tenanta | Tid | Tato deklarace identity identifikuje ID tenanta Azure předplatného přidruženého k vašemu účtu ochrany před podvody. Informace o tom, jak najít ID tenanta na portálu Ochrany před podvody, najdete v tématu Požadované ID a informace. Informace o tom, jak najít ID tenanta na webu Azure Portal, najdete v tématu Jak najít ID tenanta Azure Active Directory. |
| Cílová skupina | aud | Tato deklarace identity identifikuje zamýšleného příjemce tokenu. Hodnota přesně odpovídá ID aplikace, které jste zadali při konfiguraci externího volání na portálu Pro ochranu před podvody. |
| ID aplikace | ID aplikace | Toto tvrzení je ID aplikace ochrany před podvody: * bf04bdab-e06f-44f3-9821-d3af64fc93a9*. Toto ID vlastní výhradně ochrana před podvody a za něj může požádat pouze Microsoft. |
Když vaše rozhraní API obdrží token, mělo by token otevřít a ověřit, že každá z předchozích deklarací identity odpovídá popisu.
Tady je příklad, který ukazuje, jak můžete ověřit příchozí požadavek pomocí JwtSecurityTokenHandler.
string authHeader = "Bearer <token>"; // the Authorization header value
var jwt = new JwtSecurityTokenHandler().ReadJwtToken(token);
string tid = jwt.Claims.Where(c => c.Type == "tid").FirstOrDefault()?.Value;
string aud = jwt.Claims.Where(c => c.Type == "aud").FirstOrDefault()?.Value;
string appid = jwt.Claims.Where(c => c.Type == "appid").FirstOrDefault()?.Value;
if(tid != "<my tenant id>" || aud != "<my application id>" || appid != "bf04bdab-e06f-44f3-9821-d3af64fc93a9")
{
throw new Exception("the token is not authorized.");
}
Postupy externích dat
Berete na vědomí, že jste zodpovědní za dodržování všech příslušných zákonů a předpisů, včetně zákonů na ochranu dat, smluvních omezení a zásad souvisejících s datovými sadami, které microsoftu poskytnete prostřednictvím funkce Ochrany před podvody prostřednictvím funkce Externí hovory. Dále berete na vědomí, že použití ochrany před podvody podléhá omezením, která jsou podrobně popsána v Smlouva se zákazníkem Microsoftu, která uvádí, že jako jediný faktor při určování, zda pokračovat v platební transakci, nesmíte použít ochranu před podvody (i). ii) jako faktor při určování finančního stavu, finanční historie, úvěruschopnosti nebo způsobilosti pro pojištění, bydlení nebo zaměstnání; nebo (iii) učinit rozhodnutí, která mají právní účinky nebo mají významný vliv na osobu. V souvislosti s používáním funkce externích volání ochrany před podvody můžete také zakázat poskytování citlivých nebo vysoce regulovaných datových typů nebo jejich používání jinak. Než je použijete s funkcí ochrany před externími voláními ochrany před podvody, zkontrolujte všechny datové sady nebo datové typy, abyste zajistili, že splňujete toto ustanovení. Společnost Microsoft si také vyhrazuje právo ověřit, že splňujete toto ustanovení.