Konfiguracja odcisku palca urządzenia odbywa się w dwóch fazach.
Skonfiguruj certyfikat Secure Sockets Layer (SSL) serwera nazw domen (DNS) i przekaż go do portalu ochrony przed oszustwami.
Zaimplementuj odcisk palca urządzenia.
Ta sekcja zawiera szczegółowe instrukcje dotyczące obu tych faz. Pierwsza faza musi zostać ukończona tylko raz. Jednak druga faza musi być powtarzana raz dla każdej witryny internetowej lub aplikacji mobilnej, w której zaimplementowano odciski palców urządzeń.
Konfigurowanie systemu DNS i generowanie certyfikatu SSL
Wykonaj poniższe procedury, aby skonfigurować system DNS i wygenerować certyfikat SSL. Konfiguracja dns i protokołu SSL, choć opcjonalna, jest zdecydowanie zalecana, aby zapewnić optymalne pokrycie odciskiem palca i wydajnością. Konfiguracja dns i protokołu SSL umożliwia rozważenie integracji skryptu odcisku palca, a nie pliku cookie innej firmy.
Konfigurowanie systemu DNS
Aby skonfigurować usługę DNS, wykonaj następujące kroki.
Wybierz poddomenę w domenie głównej, na przykład fpt.contoso.com. Można użyć dowolnego prefiksu.
Dla wybranej poddomeny utwórz nazwę kanoniczną (CNAME), która wskazuje wartość fpt.dfp.microsoft.com.
Generowanie i przekazywanie certyfikatu SSL
Aby wygenerować i przekazać certyfikat SSL, wykonaj następujące kroki.
W przypadku dołączania zaplecza wygeneruj certyfikat SSL dla wybranej poddomeny. Możesz utworzyć jeden certyfikat SSL i dodać wszystkie poddomeny w polu Alternatywna nazwa podmiotu certyfikatu.
Przejdź do portalu ochrony przed oszustwami, a następnie w okienku nawigacji po lewej stronie wybierz pozycję Integracja.
Na stronie Integracja wybierz pozycję Edytuj, a następnie na następnej stronie wybierz pozycję Dalej, aby otworzyć stronę Przekazywanie certyfikatu SSL.
Wybierz pozycję Wybierz certyfikat, a następnie przekaż wygenerowany certyfikat SSL. Jeśli certyfikat ma hasło, wprowadź je w polu tekstowym. Następnie wybierz przycisk Upload (Przekaż).
Weryfikowanie certyfikatu SSL
Istnieją dwa sposoby sprawdzania, czy certyfikat SSL został pomyślnie wdrożony.
Przejdź do "https://www.sslshopper.com/ssl-checker.html". Wprowadź nazwę hosta serwera, wybierz pozycję Sprawdź protokół SSL i przejrzyj informacje o certyfikacie SSL wyświetlane na stronie.
Uwaga
Obsługiwane są tylko pliki pfx. Propagacja certyfikatu do serwerów odcisków palców urządzenia może potrwać kilka minut.
Implementowanie odcisków palców urządzeń
Witryna internetowa lub aplikacja musi zainicjować żądania odcisku palca urządzenia kilka sekund przed wysłaniem transakcji do ochrony przed oszustwem w celu oceny ryzyka (na przykład transakcji w celu dodania instrumentu płatniczego, logowania lub wyewidencjonowania). To wymaganie zapewnia, że usługa Fraud Protection otrzymuje wszystkie dane, których wymaga, aby dokonać dokładnej oceny. Ta sekcja zawiera szczegółowe instrukcje dotyczące implementowania odcisków palców urządzeń w witrynach internetowych i aplikacjach mobilnych.
Aby zaimplementować odcisk palca urządzenia, wykonaj następujące kroki.
Zmodyfikuj następujący kod skryptu JavaScript i wstaw go na stronie internetowej lub w aplikacji, w której chcesz zebrać informacje o odcisku palca urządzenia.
session_id — unikatowy identyfikator sesji urządzenia utworzonego przez klienta. Może zawierać maksymalnie 128 znaków i może zawierać tylko następujące znaki: wielkie i małe litery rzymskie, cyfry, znaki podkreślenia i łączniki (a–z, A–Z, 0–9, _, -). Identyfikator sesji powinien zawierać co najmniej 16 bajtów losowo wygenerowanych danych. W przypadku korzystania z kodowania szesnastkowego przekłada się to na 32 znaki szesnastkowe. Mimo że firma Microsoft zaleca użycie globalnie unikatowego identyfikatora (GUID) dla identyfikatora sesji, nie jest to wymagane.
instance_id — wymagana wartość do zintegrowania witryny internetowej z odciskiem palca urządzenia. Użyj wartości Identyfikator odcisku palca urządzenia wymienionej na kafelku Bieżące środowisko na stronie Integracja odpowiedniego środowiska w portalu ochrony przed oszustwami.
Załaduj odcisk palca urządzenia po załadowaniu elementów strony.
window.dfp.doFpt(this.document);
Po przesłaniu transakcji w interfejsie API ochrony przed oszustwami ustaw identyfikator sesji w polu deviceContextId . W obszarze Oceny ustaw identyfikator sesji w polu deviceFingerprinting.id .
Ustaw pole device.ipAddress na adres IP klienta odbierany przez witrynę internetową, gdy klient korzysta z witryny. W polu Assessments (Oceny) ustaw adres IP klienta w polu deviceFingerprinting.ipAddress . To pole jest opcjonalne i nie musi być ustawione, jeśli go nie masz.
Włączanie integracji po stronie klienta na potrzeby odcisku palca urządzenia
W przypadku niektórych scenariuszy odcisków palców internetowych ochrona przed oszustwami obsługuje wyspecjalizowaną klasę integracji nazywaną integracją po stronie klienta. Integracja po stronie klienta różni się od standardowych rozwiązań integracji, ponieważ odpowiedź na odcisk palca jest zwracana bezpośrednio do klienta jako zaszyfrowany ładunek, pomijając wywołanie oceny serwer-serwer.
Integracja po stronie klienta jest przydatna w scenariuszach o małych opóźnieniach, w których pomijanie wywołania serwer-serwer jest korzystne. Aby określić, czy integracja po stronie klienta jest odpowiednia dla danego scenariusza, zapoznaj się z poniższym przewodnikiem pytań.
Czy w moim scenariuszu jest tylko odcisk palca urządzenia?
Jeśli twój scenariusz nie jest tylko odciskiem palca urządzenia, integracja po stronie klienta nie jest odpowiednia dla danego scenariusza.
Czy chcę, aby moje dane odcisków palców znajdowały się w przeglądarce, a nie na moim serwerze, pobierając je?
W tradycyjnej integracji serwer-serwer po zakończeniu zbierania atrybutów w witrynie internetowej dane są wypychane do serwerów usługi Fraud Protection, gdzie można uzyskać odpowiedź na ocenę na serwerze, wykonując standardowe wywołanie interfejsu API oceny. Jednak w przypadku integracji po stronie klienta, gdy dane zbierania atrybutów są wypychane do serwerów usługi Fraud Protection, odpowiedź na ocenę jest zwracana bezpośrednio w przeglądarce. Dzięki temu serwer może wyodrębnić odpowiedź oceny z przeglądarki zamiast wykonywać wywołanie serwer-serwer, oszczędzając trochę czasu. Należy pamiętać, że odcisk palca zajmuje kilka sekund, więc odpowiedź na ocenę jest obecna tylko w przeglądarce, jeśli użytkownik znajduje się na stronie przez kilka sekund. Jeśli twój scenariusz korzysta z danych, które są już obecne w przeglądarce, integracja po stronie klienta może być odpowiednia dla Ciebie.
Ogólnie rzecz biorąc, większość scenariuszy odcisków palców jest rozwiązywana przez standardową integrację serwer-serwer, a integracja po stronie klienta jest korzystna w przypadku kilku konkretnych scenariuszy, w których zmniejszenie opóźnienia jest krytyczne. Ponieważ integracja po stronie klienta jest wyspecjalizowaną klasą integracji, która jest uproszczona i bezpieczna, należy spełnić następujące wymagania wstępne, aby je włączyć.
Musisz znajdować się w głównym środowisku dzierżawy usługi Fraud Protection.
Należy skonfigurować wywołanie zewnętrzne, które zwraca odpowiedź klucza szyfrowania w formacie zestawów kluczy sieci Web JSON (JWKS). To wywołanie zewnętrzne zwraca klucz używany przez usługę Fraud Protection do szyfrowania ładunku. Następnie możesz użyć tego klucza, aby odszyfrować po stronie serwera odpowiedzi ochrony przed oszustwami, który początkowo otrzymujesz po stronie klienta. Odpowiadasz za podanie klucza szyfrowania i odszyfrowywania. Aby uzyskać informacje na temat konfigurowania wywołań zewnętrznych, zobacz Wywołania zewnętrzne.
W szablonie oceny odcisków palców urządzenia należy używać tylko sekcji metadanych i odcisków palców urządzenia. Jeśli istnieją dodatkowe sekcje schematu lub jeśli nie używasz szablonu oceny odcisku palca urządzenia, opcja integracji po stronie klienta nie jest dostępna.
Po dotarciu do strony Ustawienia kreatora oceny szablonu odcisku palca urządzenia dostępna jest opcja integracji po stronie klienta. Po wybraniu opcji włączenia integracji po stronie klienta wybierz wywołanie zewnętrzne z skonfigurowanym formatem odpowiedzi JWKS.
Aby ukończyć konfigurację integracji po stronie klienta, aby zwrócić zaszyfrowaną odpowiedź w przeglądarce, należy użyć zmodyfikowanej wersji następującego przykładu języka JavaScript.
session_id — unikatowy identyfikator sesji urządzenia utworzonego przez klienta. Może zawierać maksymalnie 128 znaków i może zawierać tylko następujące znaki: wielkie i małe litery rzymskie, cyfry, znaki podkreślenia i łączniki (a–z, A–Z, 0–9, _, -). Identyfikator sesji musi zawierać co najmniej 16 bajtów losowo wygenerowanych danych. W przypadku korzystania z kodowania szesnastkowego przekłada się to na 32 znaki szesnastkowe. Mimo że firma Microsoft zaleca użycie globalnie unikatowego identyfikatora (GUID) dla identyfikatora sesji, nie jest to wymagane.
customer_id — wymagana wartość integracji witryny internetowej z odciskiem palca urządzenia. Użyj wartości Identyfikator środowiska wymienionej na kafelku Bieżące środowisko na stronie Integracja odpowiedniego środowiska w portalu ochrony przed oszustwami. Aby integracja po stronie klienta działała, musisz być w środowisku głównym.
assessment — nazwa interfejsu API oceny odcisku palca urządzenia skonfigurowana z włączoną integracją po stronie klienta. Nazwa interfejsu API uwzględnia wielkość liter i pobierana ze strony konfiguracji oceny.
request_id — unikatowy identyfikator samego żądania, oddzielony od identyfikatora sesji. Ten identyfikator powinien być identyfikatorem GUID o długości co najmniej 32 znaków.
Poniższy przykład przedstawia kod JavaScript z przykładowymi wartościami.
Po skonfigurowaniu tego skryptu i włączeniu integracji po stronie klienta odpowiedź na odcisk palca jest zwracana jako zaszyfrowany ładunek w przeglądarce klienta. Funkcja wywołania zwrotnego umożliwia pobranie zaszyfrowanego ładunku odpowiedzi. W poniższym przykładzie pokazano używaną funkcję wywołania zwrotnego:
window.dfp.doFpt(document, function (response) {
if(response == null || response.startsWith('ServerError'))
console.log("Error Scenario");
else
console.log("Success Scenario"); // pass to server so it can decrypt and use response
});
Nadal musisz przekazać ładunek do serwera, aby go odszyfrować i użyć odpowiedzi. Nie oczekujemy, że wywołasz wywołanie zewnętrzne, aby uzyskać klucz szyfrowania hostujący do odszyfrowywania ładunku. Należy przechowywać klucz i uzyskiwać do tego samego bezpiecznego dostępu do innych wpisów tajnych używanych na serwerze i zarządzać nimi.
Plan and execute an endpoint deployment strategy, using essential elements of modern management, co-management approaches, and Microsoft Intune integration.