培训
认证
Microsoft 365 Certified: Endpoint Administrator Associate - Certifications
使用新式管理、共同管理方法和 Microsoft Intune 集成的基本元素规划和执行终结点部署策略。
设备指纹设置在两个阶段完成。
本部分提供了这两个阶段的详细说明。 第一阶段必须仅完成一次。 但是,对于实施设备指纹的每个网站或移动应用,第二阶段必须重复一次。
完成以下过程以设置 DNS 并生成 SSL 证书。 强烈建议使用 DNS 和 SSL 设置(可选)以确保最佳的指纹覆盖和性能。 DNS 和 SSL 设置允许将指纹脚本视为第一方集成,而不是第三方 Cookie。
若要设置 DNS,请执行以下步骤。
fpt.contoso.com
。 可以使用任何前缀。fpt.dfp.microsoft.com
若要生成和上传 SSL 证书,请执行以下步骤。
有两种方法可以验证 SSL 证书是否已成功部署。
OR
备注
仅支持 .pfx 文件。 将证书传播到设备指纹服务器可能需要几分钟时间。
在将交易发送到欺诈保护进行风险评估(例如用于添加付款方式、登录或结帐的交易)之前,网站或应用程序必须启动设备指纹请求数秒。 此要求可确保欺诈保护接收进行准确评估所需的所有数据。 本部分提供有关在网站和移动应用上实现设备指纹的详细说明。
若要实现设备指纹,请执行以下步骤。
修改以下 JavaScript 脚本代码,并将其插入到要收集设备指纹信息的网页上或应用程序中。
<script src="https://<Your_Sub_Domain>/mdt.js?session_id=<session_id>&instanceId=<instance_id>" type="text/javascript"></script>
示例
<script src="https://fpt.contoso.com/mdt.js?session_id=211d403b-2e65-480c-a231-fd1626c2560e&instanceId=b472dbc3-0928-4577-a589-b80090117691" type="text/javascript"></script>
下面是mdt.js响应的示例。
window.dfp={url:"https://fpt.contoso.com/?session_id=211d403b-2e65-480c-a231-fd1626c2560e&CustomerId=b472dbc3-0928-4577-a589-b80090117691",sessionId:"211d403b-2e65-480c-a231-fd1626c2560e",customerId:"b472dbc3-0928-4577-a589-b80090117691",dc:"uswest"};window.dfp.doFpt=function(doc){var frm,src;true&&(frm=doc.createElement("IFRAME"),frm.id="fpt_frame",frm.style.width="1px",frm.style.height="1px",frm.style.position="absolute",frm.style.visibility="hidden",frm.style.left="10px",frm.style.bottom="0px",frm.setAttribute("style","color:#000000;float:left;visibility:hidden;position:absolute;top:-100;left:-200;border:0px"),src="https://Your_Sub_Domain/?session_id=211d403b-2e65-480c-a231-fd1626c2560e&CustomerId=b472dbc3-0928-4577-a589-b80090117691",frm.setAttribute("src",src),doc.body.appendChild(frm))};
加载页面元素后加载设备指纹。
window.dfp.doFpt(this.document);
在欺诈保护 API 中提交事务时,请在 deviceContextId 字段中设置会话 ID。 对于评估,在 deviceFingerprinting.id 字段中设置会话 ID。
将 device.ipAddress 字段设置为客户使用您的网站时网站收到的客户 IP 地址。 对于评估,在 deviceFingerprinting.ipAddress 字段中设置客户 IP 地址。 此字段是可选的,如果没有字段,则无需设置。
对于某些 Web 指纹方案,欺诈保护支持一种称为 客户端集成的专用类集成。 客户端集成不同于标准集成做法,因为指纹响应作为加密有效负载直接返回到客户端,跳过服务器到服务器的评估调用。
客户端集成对于跳过服务器到服务器调用的低延迟方案非常有用。 若要确定客户端集成是否适合你的方案,请查看以下问题指南。
我的方案设备指纹是否仅?
如果你的方案不是设备指纹,则客户端集成不适合你的方案。
是否希望我的指纹数据位于浏览器中,而不是我的服务器提取数据?
在传统的服务器到服务器集成中,在网站中完成属性收集后,数据将推送到欺诈保护的服务器,可以在服务器上通过进行标准评估 API 调用来获取评估响应。 但是,在客户端集成中,当属性收集数据推送到欺诈保护的服务器时,评估响应会返回并在浏览器中直接返回。 这样,服务器就可以从浏览器本身提取评估响应,而不是进行服务器到服务器的调用,从而节省一些时间。 请记住,指纹本身需要几秒钟,因此仅当用户在页面上几秒钟时,评估响应才会显示在浏览器中。 如果方案受益于浏览器中已有的数据,则客户端集成可能适合你。
一般情况下,大多数指纹方案都由标准服务器到服务器集成解决,客户端集成对于一些降低延迟至关重要的特定方案非常有用。 由于客户端集成是一种简化且安全的专用集成类,因此必须满足以下先决条件才能启用它。
以下代码显示了 JWKS 格式的示例。
{
"keys":
[
{
"kty":null,
"use":null,
"kid":null,
"k":null
}
]
}
当你访问 设备指纹模板的评估向导的“设置” 页时,客户端集成选项可供你使用。 选择启用客户端集成后,将使用设置的 JWKS 响应格式选择外部调用。
若要完成客户端集成设置,若要在浏览器中返回加密响应,必须使用以下 JavaScript 示例的修改版本。
<script src="https://<Your_Sub_Domain>/mdt.js?session_id=<session_id>&customerId=<customer_id>&assessment=<assessment>&requestId=<request_id>" type="text/javascript"></script>
以下示例显示了包含示例值的 JavaScript 代码。
<script src="https://fpt.contoso.com/mdt.js?session_id=2b2a1f5e-afa7-4c6d-a905-ebf66eaedc83&customerId=b3f6d54b-961c-4193-95ee-b6b204c7fd23&assessment=CSI&requestId=b12e86a0-37b1-43a2-958b-3f04fe7cef6c" type="text/javascript"></script>
设置此脚本并启用客户端集成后,指纹响应将作为客户端浏览器中的加密有效负载返回。 可以使用回调函数来获取加密的响应有效负载。 下面的示例显示了正在使用的回调函数:
window.dfp.doFpt(document, function (response) {
if(response == null || response.startsWith('ServerError'))
console.log("Error Scenario");
else
console.log("Success Scenario"); // pass to server so it can decrypt and use response
});
你仍需将有效负载传递到服务器以解密它并使用响应。 我们不希望你调用外部调用来获取托管用于解密有效负载的加密密钥。 应以与获取和管理服务器上使用的其他机密相同的安全方式存储和访问密钥。
培训
认证
Microsoft 365 Certified: Endpoint Administrator Associate - Certifications
使用新式管理、共同管理方法和 Microsoft Intune 集成的基本元素规划和执行终结点部署策略。