Configurazione Web dell'impronta digitale del dispositivo

La configurazione dell'impronta digitale del dispositivo viene eseguita in due fasi.

1. Configura il certificato SSL (Secure Sockets Layer) del Domain Name Server (DNS) e caricarlo nel portale di Fraud Protection.
2. Implementare l'impronta digitale del dispositivo.

Questa sezione fornisce istruzioni dettagliate per entrambe queste fasi. La prima fase deve essere completata una sola volta. Tuttavia, la seconda fase deve essere ripetuta una volta per ogni sito Web o app per dispositivi mobili in cui viene implementato l'impronta digitale del dispositivo.

Configurare DNS e generare un certificato SSL

Completa le seguenti procedure per configurare il DNS e generare un certificato SSL. La configurazione dns e SSL, mentre facoltativa, è fortemente consigliata per garantire una copertura e prestazioni ottimali per l'impronta digitale. La configurazione DNS e SSL consente di considerare lo script di identificazione digitale come integrazione di prima parte, non un cookie di terze parti.

Configura DNS

Per configurare DNS, segui questi passaggi.

1. Seleziona un sottodominio nel tuo dominio radice, come fpt.contoso.com. Puoi utilizzare qualsiasi prefisso.
2. Per il sottodominio selezionato, crea un nome canonico (CNAME) che fa riferimento a fpt.dfp.microsoft.com.

Generare e caricare un certificato SSL

Per generare e caricare un certificato SSL, segui questi passaggi.

1. Per l'onboarding di back-end, genera il certificato SSL per il sottodominio selezionato. Puoi creare un certificato SSL e aggiungere tutti i sottodomini nel campo Nome alternativo oggetto del certificato.
2. Accedi al portale di Fraud Protection, quindi nella barra di spostamento a sinistra seleziona Integrazione.
3. Nella pagina Integrazione, seleziona Modifica, quindi, nella pagina successiva, seleziona Avanti per aprire la pagina Carica certificato SSL.
4. Scegli Seleziona certificato e quindi carica il certificato SSL che hai generato. Se il certificato è protetto da una password, immettila nella casella di testo. Quindi selezionare Carica.

Convalidare il certificato SSL

Esistono due modi per verificare che il certificato SSL sia stato distribuito correttamente.

• Passare a "https:///health/ping" e verificare la validità del certificato.

OPPURE

• Vai a "https://www.sslshopper.com/ssl-checker.html". Immettere il nome host del server, selezionare Controlla SSL ed esaminare le informazioni sul certificato SSL visualizzate nella pagina.

Nota

Sono supportati solo i file .pfx. La propagazione del certificato ai server di creazione impronta digitale dispositivo potrebbe richiedere alcuni minuti.

Implementa la creazione impronta digitale dispositivo

Il sito Web o l'applicazione avviare le richieste di creazione impronta digitale dispositivo alcuni secondi prima di inviare una transazione a Fraud Protection per la valutazione del rischi (ad esempio una transazione per l'aggiunta di uno strumento di pagamento, accesso completamento di transazione). Questo requisito garantisce che La protezione dalle frodi riceva tutti i dati necessari per eseguire una valutazione accurata. Questa sezione fornisce istruzioni dettagliate per l'implementazione della creazione impronta digitale dispositivo su siti Web e app per dispositivi mobili.

Per implementare la creazione impronta digitale dispositivo, segui questi passaggi.

1. Modifica il codice dello script JavaScript seguente e inseriscilo nella pagina Web o nell'applicazione in cui desideri raccogliere le informazioni sulla creazione impronta digitali dispositivo.

   <script src="https://<Your_Sub_Domain>/mdt.js?session_id=<session_id>&instanceId=<instance_id>" type="text/javascript"></script>
   

   • Your_Sub_Domain: il dominio secondario nel dominio radice.
   • session_id: l'identificatore di sessione univoco del dispositivo creato dal client. Può contenere fino a 128 caratteri e può contenere solo i caratteri seguenti: lettere dell'alfabeto latino maiuscole e minuscole, cifre, caratteri di sottolineatura e trattini (a-z, A-Z, 0-9, _, -). L'ID della sessione deve contenere almeno 16 byte di dati generati casualmente. Quando si utilizza la codifica esadecimale, questo si traduce in 32 caratteri esadecimali. Anche se Microsoft consiglia di usare un identificatore univoco globale (GUID) per l'ID sessione, non è obbligatorio.
   • instance_id: valore necessario per integrare il sito Web con l'impronta digitale del dispositivo. Utilizza il valore ID creazione impronta digitale dispositivo elencato nel riquadro Ambiente corrente nella pagina Integrazione dell'ambiente corrispondente nel portale di Fraud Protection.

   Esempio

   <script src="https://fpt.contoso.com/mdt.js?session_id=211d403b-2e65-480c-a231-fd1626c2560e&instanceId=b472dbc3-0928-4577-a589-b80090117691" type="text/javascript"></script>
   

   Di seguito è riportato un esempio di una risposta per mdt.js.

   window.dfp={url:"https://fpt.contoso.com/?session_id=211d403b-2e65-480c-a231-fd1626c2560e&CustomerId=b472dbc3-0928-4577-a589-b80090117691",sessionId:"211d403b-2e65-480c-a231-fd1626c2560e",customerId:"b472dbc3-0928-4577-a589-b80090117691",dc:"uswest"};window.dfp.doFpt=function(doc){var frm,src;true&&(frm=doc.createElement("IFRAME"),frm.id="fpt_frame",frm.style.width="1px",frm.style.height="1px",frm.style.position="absolute",frm.style.visibility="hidden",frm.style.left="10px",frm.style.bottom="0px",frm.setAttribute("style","color:#000000;float:left;visibility:hidden;position:absolute;top:-100;left:-200;border:0px"),src="https://Your_Sub_Domain/?session_id=211d403b-2e65-480c-a231-fd1626c2560e&CustomerId=b472dbc3-0928-4577-a589-b80090117691",frm.setAttribute("src",src),doc.body.appendChild(frm))};
   

2. Carica la funzionalità di creazione impronta digitale dispositivo dopo il caricamento degli elementi della pagina.

   window.dfp.doFpt(this.document);
   

3. Quando invii transazioni nell'API di Fraud Protection, imposta un ID sessione nel campo deviceContextId. Per le valutazioni, imposta un ID sessione nel campo deviceFingerprinting.id.

4. Imposta il campo device.ipAddress sull'indirizzo IP del cliente che il sito web riceve quando un cliente utilizza tale sito. Per le valutazioni, imposta l'indirizzo IP del cliente nel campo deviceFingerprinting.ipAddress. Questo campo è facoltativo e non è necessario impostarlo se non è presente.

Abilitare l'integrazione lato client per l'impronta digitale del dispositivo

Per alcuni scenari di impronta digitale Web, Protezione frodi supporta una classe specializzata di integrazione denominata integrazione lato client. L'integrazione lato client è diversa dalle procedure di integrazione standard perché la risposta di impronta digitale viene restituita direttamente al client come payload crittografato, ignorando la chiamata di valutazione da server a server.

L'integrazione lato client è utile per scenari a bassa latenza in cui ignorare la chiamata da server a server è vantaggiosa. Per determinare se l'integrazione lato client è la scelta appropriata per lo scenario, esaminare la guida alla domanda seguente.

1. Lo scenario è solo l'impronta digitale del dispositivo?

   Se lo scenario non è solo l'impronta digitale del dispositivo, l'integrazione lato client non è adatta allo scenario in uso.

2. Si desidera che i dati di impronta digitale siano presenti nel browser anziché nel server?

   Nell'integrazione tradizionale da server a server, una volta completata la raccolta di attributi nel sito Web, i dati vengono inseriti nei server di Fraud Protection, in cui è possibile ottenere la risposta di valutazione sul server eseguendo la chiamata API di valutazione standard. Nell'integrazione lato client, tuttavia, quando i dati di raccolta degli attributi vengono inseriti nei server di Fraud Protection, la risposta di valutazione viene restituita e viene restituita direttamente nel browser. In questo modo, il server può estrarre la risposta di valutazione dal browser stesso invece di effettuare la chiamata da server a server, risparmiando del tempo. Tenere presente che l'impronta digitale stessa richiede un paio di secondi, quindi la risposta di valutazione è presente nel browser solo se l'utente si trova nella pagina per alcuni secondi. Se lo scenario trae vantaggio dai dati già presenti nel browser, l'integrazione lato client può essere adatta.

In generale, la maggior parte degli scenari di impronta digitale viene risolta dall'integrazione standard da server a server e l'integrazione lato client è utile per alcuni scenari specifici in cui la riduzione della latenza è fondamentale. Poiché l'integrazione lato client è una classe specializzata di integrazione semplificata e sicura, per abilitarla è necessario soddisfare i prerequisiti seguenti.

• È necessario trovarsi in un ambiente radice di un tenant di Protezione delle frodi.
• È necessario configurare una chiamata esterna che restituisce una risposta della chiave di crittografia nel formato JWKS (JSON Web Key Sets). Questa chiamata esterna restituisce la chiave usata da Fraud Protection per crittografare il payload. È possibile usare questa chiave in seguito per decrittografare il lato server di risposta di Protezione dalle frodi che inizialmente si riceve sul lato client. L'utente è responsabile della fornitura della chiave per la crittografia e la decrittografia. Per informazioni sulla configurazione di chiamate esterne, vedere Chiamate esterne.

Il codice seguente illustra un esempio del formato JWKS.

{
  "keys":
  [
    {
      "kty":null,
      "use":null,
      "kid":null,
      "k":null
    }
  ]
}

• È necessario usare solo le sezioni relative ai metadati e all'impronta digitale del dispositivo del modello di valutazione dell'impronta digitale del dispositivo. Se sono presenti sezioni dello schema aggiuntive o se non si usa il modello di valutazione dell'impronta digitale del dispositivo, l'opzione di integrazione lato client non è disponibile.

Quando si raggiunge la pagina Impostazioni della procedura guidata di valutazione per un modello di impronta digitale del dispositivo, l'opzione di integrazione lato client è disponibile. Dopo aver scelto di abilitare l'integrazione lato client, si selezionerà la chiamata esterna con il formato di risposta JWKS configurato.

Per completare la configurazione dell'integrazione lato client, per restituire la risposta crittografata nel browser, è necessario usare una versione modificata dell'esempio JavaScript seguente.

<script src="https://<Your_Sub_Domain>/mdt.js?session_id=<session_id>&customerId=<customer_id>&assessment=<assessment>&requestId=<request_id>" type="text/javascript"></script>

• Your_Sub_Domain: il dominio secondario nel dominio radice.
• session_id: l'identificatore di sessione univoco del dispositivo creato dal client. Può contenere fino a 128 caratteri e può contenere solo i caratteri seguenti: lettere maiuscole e minuscole romane, cifre, caratteri di sottolineatura e trattini (a-z, A-Z, 0-9, _, -). L'ID sessione deve contenere almeno 16 byte di dati generati in modo casuale. Quando si utilizza la codifica esadecimale, questo si traduce in 32 caratteri esadecimali. Anche se Microsoft consiglia di usare un identificatore univoco globale (GUID) per l'ID sessione, non è obbligatorio.
• customer_id: valore necessario per integrare il sito Web con l'impronta digitale del dispositivo. Usare il valore id ambiente elencato nel riquadro Ambiente corrente della pagina Integrazione dell'ambiente corrispondente nel portale di Protezione dalle frodi. Per il funzionamento dell'integrazione lato client, è necessario trovarsi in un ambiente radice.
• assessment : nome API della valutazione dell'impronta digitale del dispositivo configurata con l'integrazione lato client abilitata. Il nome dell'API fa distinzione tra maiuscole e minuscole e viene eseguito il pull dalla pagina di configurazione della valutazione.
• request_id: identificatore univoco per la richiesta stessa, separato dall'ID sessione. Questo identificatore deve essere un GUID di almeno 32 caratteri.

L'esempio seguente illustra il codice JavaScript con valori di esempio.

<script src="https://fpt.contoso.com/mdt.js?session_id=2b2a1f5e-afa7-4c6d-a905-ebf66eaedc83&customerId=b3f6d54b-961c-4193-95ee-b6b204c7fd23&assessment=CSI&requestId=b12e86a0-37b1-43a2-958b-3f04fe7cef6c" type="text/javascript"></script>

Dopo aver configurato questo script e aver abilitato l'integrazione lato client, la risposta di impronta digitale viene restituita come payload crittografato nel browser del client. È possibile usare una funzione di callback per acquisire il payload della risposta crittografata. L'esempio seguente mostra la funzione di callback in uso:

window.dfp.doFpt(document, function (response) {
    if(response == null || response.startsWith('ServerError'))
        console.log("Error Scenario");
    else
        console.log("Success Scenario"); // pass to server so it can decrypt and use response
});

È comunque necessario passare il payload al server per decrittografarlo e usare la risposta. Non prevediamo di chiamare la chiamata esterna per ottenere la chiave di crittografia ospitata per decrittografare il payload. È consigliabile archiviare e accedere alla chiave nello stesso modo sicuro in cui si ottengono e gestiscono altri segreti usati nel server.

Risorse aggiuntive

• Panoramica dell'impronta digitale del dispositivo
• Attributi nell'impronta digitale del dispositivo
• Configurare e implementare l'impronta digitale del dispositivo
  • Mobile SDK per iOS
  • Mobile SDK per Android
  • Mobile SDK per React Native
• Training: implementare l'impronta digitale del dispositivo in Dynamics 365 Protezione da frodi.