|
Dieses Rezept ist Teil der Serie CIAM anhand von Beispielen lernen: Vier Rezepte zur Verbesserung der Sicherheit und UX Ihrer App. Weitere Informationen zur Serie finden Sie im Download unserer vier Rezepte im Kochbuchformat. In diesem Rezept erfahren Sie, wie Sie Ihrer Anwendung mit Passkeys eine passwortlose Authentifizierung hinzufügen. |
Verbraucher wollen mehr digital sehen und tun, und sie vertrauen Marken, die klar darlegen, wie ihre Informationen verwendet werden, um einen Mehrwert zu bieten.
Die Gewährleistung des Datenschutzes für jeden Benutzer, sei es Ihr Mitarbeiter, ein Kunde oder ein Auftragnehmer, ist selten eine einmalige Überlegung.
Verschiedene Aufsichtsbehörden haben unterschiedliche Compliance-Anforderungen, je nachdem, mit welcher Art von Daten Sie arbeiten, sei es der Benutzerzugriff auf Gesundheitsinformationen (HIPAA) oder personenbezogene Daten, die sich auf Personen in der EU beziehen (DSGVO).
Datenschutzkonformität bedeutet mehr als nur die Einholung der entsprechenden Einwilligung. Es ist ein Framework für angemessenen Zugriff, der die Sicherheit Ihrer Kundendaten einschließt.
Warum ist die Einhaltung des Datenschutzes wichtig?
Mit größeren Unternehmen geht eine größere Verantwortung in Bezug auf die Tiefe der Compliance einher, die von Vorschriften wie der DSGVO und dem CCPA gefordert wird. Allerdings ist keine Organisation – auch nicht die kleinste – von der Datenprivatsphäre ausgenommen, und Sicherheit ist eine wichtige Komponente der Datenprivatsphäre.
Denken Sie darüber nach, wie Datenschutz in der realen Welt funktioniert. Sie können fast alles mit vier Wänden und einer Tür umgeben. Aber wenn die Tür kein Schloss hat, ist dieser Raum dann privat?
Phase 1: Implementierung eines Audit-Logs
Gemäß DSGVO und CCPA sind große wie kleine Unternehmen zu bestimmten Auditierungspraktiken verpflichtet, und die Grundlage dieser Praktiken beginnt mit einer Audit-Compliance-Schicht, auch bekannt als Audit-Protokoll.
Im Gegensatz zu SIEM- oder Systemprotokollierungstools vermittelt die Audit-Protokollierung die Auswirkungen eines Sicherheitsvorfalls in einer lesbaren Eingabeaufforderung – wie eine historische Aufzeichnung von Ereignissen –, um das Risiko zu bewerten, das mit den Aktionen einer Einzelperson oder Gruppe auf Ihrer Plattform verbunden ist, im Vergleich zu den Berechtigungen, die sie haben, und um eine rote Flagge zu hissen, wenn diese nicht übereinstimmen.
Mit Auth0 by Okta müssen Sie keinen Audit-Log-Stream erstellen. Unsere Protokolle sind standardmäßig für Audits bereit, mit mehreren Compliance-Zertifizierungen integriert, um die Compliance-Bereitschaft zu unterstützen.
Das ist jedoch erst der Anfang. Audit-Protokolle zeigen Ihnen, welche Teile Ihrer Plattform häufig genutzt werden und welche Daten für Ihren kleinsten gemeinsamen Nenner sichtbar sind. Es liegt an den Unternehmen, diese Erkenntnisse in konkreten Schutz für ihre Kunden umzusetzen und Tools bereitzustellen, mit denen sie die Kontrolle über ihre Daten erhalten.
Phase 2: Zustimmung
Datenschutzgesetze können von Organisationen verlangen, dass sie eine entsprechende Einwilligung einholen, bevor sie personenbezogene Daten verarbeiten. Mit Auth0 by Okta Professional und Enterprise können Kunden mithilfe von Custom Prompts eine Einwilligung einholen.
Custom Prompts ist eine Funktion, die auf der Liquid Template-Sprache basiert und Entwicklern eine erweiterte Kontrolle über das Login- und Signup-Erlebnis mit Partial Templates an verschiedenen Entry Points ermöglicht. Grundsätzlich können Teams mit ein wenig HTML, CSS und Javascript ihre Bemühungen um eine Einwilligung mit der Cloud-basierten Universal Login von Auth0 by Okta ankurbeln.
Diese Teilvorlagen können eine detaillierte Zustimmung erreichen und andere Informationen an verschiedenen Punkten der Authentifizierungsphase erfassen, unterstützt durch Auth0 by Okta Actions. In diesem Rezept fügen wir eine Signup-Aufforderung mithilfe von Actions hinzu.
Rezept
Bestandteile
- Universal Login
- Custom Domain (Branding > Custom Domains)
- Benutzerdefinierte Seitenvorlage
- Laden wir unsere Teilzustimmungsvorlage in unsere Anmeldung mit einem API-Aufruf.
Hier ist die teilweise Zustimmung.
|
<div class="ulp-field"> <input type="checkbox" name="ulp-terms-of-service" id="terms-of-service"> <label for="terms-of-service"> Ich akzeptiere die <a href="https://example.com/tos">terms and conditions</a> </label> </div> |
Fügen Sie dies einem Curl-Befehl hinzu und los geht’s.
|
# Fügen Sie Ihre eigenen Mandanteninformationen hinzu URL='https://TENANT.ENVIRONMENT.auth0.com/api/v2/prompts/signup/partials' TOKEN='eyJhbGci…'
curl -X PUT \ -H 'Content-Type: application/json' \ -H "Authorization: Bearer $TOKEN" \ "-d \"{\\\"signup\\\":{\\\"form-content-end\\\":\\\" <div class= 'ulp-field '> <input type= 'checkbox ' name= 'ulp-terms-of-service ' id= 'terms-of-service '> <label for= 'terms-of-service '> Ich akzeptiere die <a href= 'https://example.com/tos '\>Allgemeinen Geschäftsbedingungen</a> </label> </div> \\\" \ "$URL" |
- Da Universal Login bereit ist, konsistente UX mit Branding zu unterstützen, passen Ihre benutzerdefinierten Partials nahtlos in den Rest der Benutzeroberfläche:
|
|
- Um diesen clientseitigen Code zu sichern, müssen wir einen zusätzlichen Schritt unternehmen und eine serverseitige Validierung erstellen – in Form einer pre-user-registration Action – indem wir zu Actions > Library > Build Custom navigieren:
- Fügen Sie der Aktion den folgenden Code hinzu, der die Formularvalidierung ohne Zustimmung verhindert, und stellen Sie ihn bereit , um zu speichern:
|
exports.onExecutePreUserRegistration = async (event, api) => { const termsOfService = event.request.body['ulp-terms-of-service']; if(!termsOfService) { api.validation.error("invalid_payload", "Please review the terms of service."); return; } api.user.setUserMetadata("termsOfService", true); }; |
- Navigieren Sie zu Flows > Pre User Registration und fügen Sie Ihre Custom Action hinzu:
- Wenn Ihr Benutzer nun die Einwilligung erteilt, wird dies in seinem Profil (User Management > Users) unter user_metadata dokumentiert:
Phase 3: Präferenzzentrum
Die Einhaltung des Datenschutzes erfordert, dass Benutzer der Erfassung und Verwendung ihrer personenbezogenen Daten zustimmen und diese widerrufen sowie auf ihre Daten zugreifen, diese korrigieren oder von Ihrer Plattform löschen können.
Ein Preference Center ist ein Ort, an dem Benutzer ihre Präferenzen verwalten können, einschließlich der Newsletter, für die sie sich angemeldet haben, und aller anderen Dienste dazwischen, die eine ausdrückliche Zustimmung erfordern.
Wenn Unternehmen in eine Identity-Lösung wie Auth0 von Okta investieren, ist das Erstellen von Preference Centern ein Kinderspiel über die Auth0 Management API.
Phase ∞: Datensicherheit
Bösartige Akteure sind genauso aktiv wie Unternehmen, wenn es darum geht, Wege zu finden, die neueste Technologie zu nutzen. Datensicherheit hat kein Endziel, aber Auth0 by Okta verfügt über leistungsstarke Tools und kompetentes Personal, um betrügerische Aktivitäten von Ihrer Plattform fernzuhalten.
Was kommt als Nächstes?
Nachdem Ihre Anwendung sicher und konform ist, ist es an der Zeit, CIAM zu verwenden, um eine universelle Ansicht Ihres Konsumenten über mehrere Kanäle hinweg zu erhalten.
In unserem nächsten Rezept werden wir die Erweiterbarkeit von CIAM untersuchen, indem wir Ihre Kundendaten in ein Marketingsystem integrieren. Wenn Sie das und alle anderen Rezepte in einem umfassenden Leitfaden sehen möchten, laden Sie unser Kochbuch herunter.
