OneSpan Developer : Déclenchement d'événements monétaires pour l'analyse des risques
OneSpan Risk Analytics est l'épine dorsale de l'authentification adaptative intelligente. Il évalue les données associées à une transaction pour déterminer en temps réel si celle-ci doit être approuvée ou si une étape d'authentification supplémentaire est nécessaire. Aujourd'hui, nous allons expliquer comment configurer une règle dans Risk Analytics pour traiter un événement monétaire initié par un utilisateur final via l'API RESTful transactions/validation.
Avant de commencer
Avant de suivre ce tutoriel, vous devez être membre de la communauté OneSpan et vous inscrire à un compte sandbox gratuit d'Intelligent Adaptive Authentication. Voici des instructions étape par étape sur la manière de le faire.
Vous devez également avoir activé l'application Orchestration SDK sur un appareil mobile de confiance, comme expliqué ici. Cela vous permettra d'exécuter la méthode d'authentification demandée par Risk Analytics.
L'analyse des risques dans la communauté OneSpan
Pour accéder à l'analyse des risques, vous devez vous connecter à votre compte OneSpan Community, puis naviguer vers l'onglet "Risk Analytics", qui est répertorié sous l'onglet "Sandbox" comme indiqué ci-dessous.
Si c'est la première fois que vous accédez au service de présentation Risk Analytics, vous devez utiliser le mot de passe initial de l'administrateur pour la banque numérique ou la banque d'entreprise fourni sur la même page et comme indiqué dans la capture d'écran ci-dessous. Lors de votre première connexion, vous serez invité à fournir un nouveau mot de passe. Votre nom d'utilisateur sera également indiqué dans la section "Your Sandbox Details".
Suivez le lien fourni vers Risk Analytics Presentation Service, puis saisissez vos informations d'identification pour vous connecter.
Configurer une nouvelle règle sur Risk Analytics
Après vous être connecté à Risk Analytics, à partir du tableau de bord principal, naviguez vers "DESIGN RULES & ACTIONS" > "Rule Management" dans la barre de menu en haut. Dans la section "Règles" du volet de navigation à gauche, développez "Transactions" et ensuite la campagne "Paiements Web d'authentification adaptative". Comme vous le voyez ci-dessous, cette campagne est configurée pour recevoir des transactions de type "ExternalTransfer". Ce type de transaction peut être modifié si nécessaire, ou une nouvelle campagne peut être ajoutée avec un nouveau type de transaction, comme "MobileExternalTransfer"
Remarque : le type d'événement déclenché dans Risk Analytics correspondra au type de transaction (transactionType) figurant dans les données utiles de la requête JSON du point final de la transaction/validation
Cliquez sur la division "Challenged TXN" pour trouver une liste des règles par défaut qui traitent un paiement à partir d'une application web.
Nous allons maintenant ajouter une nouvelle règle à cette liste pour traiter les paiements supérieurs à 100 000 dollars. Pour ce faire, cliquez sur l'icône verte pour ajouter une nouvelle règle.
Nommez la règle "ExtremeAmount", définissez sa priorité sur élevée, puis cliquez sur "Enregistrer & Suivant" pour terminer la première étape du processus de création de règles.
Ensuite, les étapes 2 à 5 pour la création des critères de l'historique, les critères de correspondance, la clé de correspondance et la création d'une action sont des options avancées de Risk Analytics permettant d'affiner les critères et de personnaliser la règle.Ils ne sont pas nécessaires pour ce scénario spécifique. Sélectionnez "Non" puis cliquez sur "Enregistrer et Suivant" pour chacune de ces étapes.
À l'étape 6, "Créer une réponse/un état", définissez la valeur de la réponse sur "ChallengePIN" dans la liste déroulante. Cliquez sur "Enregistrer la réponse / le statut". Cela permettra d'obtenir une authentification par code PIN à partir du dispositif de confiance chaque fois que vous effectuez une transaction d'un montant supérieur à 100 000 dollars. Configurez la réponse comme indiqué dans l'image ci-dessous :
Cliquez sur "Enregistrer" pour confirmer la création de la nouvelle règle, puis faites-la passer à l'état actif à l'aide de l'icône orange.
Essayez-le
À ce stade, effectuons un transfert externe en utilisant l'API transactions/validation pour tester la nouvelle règle. Vous pouvez utiliser la charge utile JSON ci-dessous pour effectuer l'appel RESTful, ou vous rendre sur l'API interactive OneSpan IAA Sandbox.
Pour une référence complète du point de terminaison de la validation des transactions, lisez ce blog.
{ "objectType" : "AdaptiveTransactionValidationInput", "accountRef" : "ACC123", "amount" : "100000.99", "transactionType" : "ExternalTransfer", "orchestrationDelivery" : [ "pushNotification" ], "cddc" : { "browserCDDC" : { "fingerprintRaw" : "{browser:{\"userAgent\":Mozilla/5.0 (Windows NT 6.1 ; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36},support:{\"ajax\":true,\"boxModel\":undefined,\"changeBubbles\":undefined,\"checkClone\":true,\"checkOn\":true,\"cors\":true,\"cssFloat\":undefined,\"hrefNormalized\":undefined,\"htmlSerialize\":undefined,\"leadingWhitespace\":undefined,\"noCloneChecked\":true,\"noCloneEvent\":undefined,\"opacity\":undefined,\"optDisabled\":undefined,\"style\":undefined,\"submitBubbles\":undefined,\"tbody\":undefined},computer:{\"screenWidth\":2560,\"screenHeight\":1440,\"OS\":\"Microsoft Windows\",\"platform\":\"Win32\"},additional:{}}", "fingerprintHash" : "e96dadc9651f5fe8f071110eb174fe8e7a17a9d7a96b3b1980c13e5b4af3a4d
Authentification par le biais du dispositif de confiance
Comme la méthode de livraison de l'authentification était une notification push via une commande d'orchestration, l'utilisateur final recevra cette notification sur son appareil de confiance. Une fois que l'utilisateur final a accepté la notification de la transaction, il est invité par le SDK d'Orchestration sur le dispositif de confiance à présenter son code PIN comme méthode d'authentification.
Enfin, vous pouvez consulter les derniers événements de Risk Analytics pour voir quels événements ont été déclenchés et quelles règles ont été respectées. Cela pourrait être affiché à partir de "SUPERVISE &INVESTIGATE" > "Latest Events" dans la barre de menu du service de présentation Risk Analytics. Comme vous pouvez le voir dans la capture d'écran ci-dessous, la règle ExternalTransfer a été respectée
Nous avons vu comment appliquer une règle à l'aide de Risk Analytics pour authentifier un transfert externe de montant élevé avec un code PIN. Vous pouvez essayer le point de fin de validation de la transaction avec un autre type d'événement et voir la réponse d'authentification du dispositif de confiance. Si vous avez des questions, n'hésitez pas à nous contacter sur les forums du portail communautaire OneSpan.