Websetup von Gerätefingerabdrücke

Die Einrichtung des Geräte-Fingerabdrucks erfolgt in zwei Phasen.

1. Konfigurieren Sie das Secure Sockets Layer (SSL)-Zertifikat des Domain Name Server (DNS) und laden Sie es in das Fraud Protection-Portal hoch.
2. Implementieren von Gerätefingerabdrücke.

Dieser Abschnitt bietet detaillierte Informationen für beide Phasen. Die erste Phase muss nur einmal abgeschlossen werden. Die zweite Phase muss jedoch einmal für jede Website oder mobile App wiederholt werden, in der gerätefingerabdrücke implementiert werden.

DNS einrichten und SSL-Zertifikat generieren

Führen Sie die folgenden Verfahren aus, um DNS einzurichten und ein SSL-Zertifikat zu generieren. Das DNS- und SSL-Setup, obwohl optional, wird dringend empfohlen, um eine optimale Fingerabdruckabdeckung und Leistung sicherzustellen. DNS- und SSL-Setup ermöglicht es, dass das Fingerabdruckskript als Erstanbieterintegration betrachtet wird, nicht als Cookie eines Drittanbieters.

DNS einrichten

Folgen Sie diesen Schritten, um DNS einzurichten.

1. Wählen Sie eine Unterdomäne unter Ihrer Stammdomäne aus, z. B. fpt.contoso.com. Jedes Präfix kann verwendet werden.
2. Erstellen Sie für die ausgewählte Unterdomäne einen kanonischen Namen (CNAME), der auf fpt.dfp.microsoft.com verweist.

Ein SSL-Zertifikat generieren und hochladen

Führen Sie diese Schritte aus, um ein SSL-Zertifkat zu generieren und hochzuladen.

1. Erstellen Sie für das Backend-Onboarding das SSL-Zertifikat für die ausgewählte Unterdomäne. Sie können ein SSL-Zertifikat erstellen und alle Unterdomänen im Feld Alternativer Name Zertifikatantragsteller hinzufügen.
2. Gehen Sie zum Portal Fraud Protection an und wählen Sie dann im linken Navigationsbereich Integration.
3. Wählen Sie auf der Seite Integration die Option Bearbeiten, und wählen Sie dann auf der nächsten Seite Weiter, um die Seite SSL-Zertifikat hochladen zu öffnen.
4. Wählen Sie Zertifikat auswählen, und laden Sie dann das von Ihnen generierte SSL-Zertifikat hoch. Falls Ihr Zertifikat ein Kennwort besitzt, geben Sie es im Textfeld ein. Wählen Sie dann Hochladen aus.

Überprüfen des SSL-Zertifikats

Es gibt zwei Möglichkeiten, zu überprüfen, ob das SSL-Zertifikat erfolgreich bereitgestellt wurde.

• Wechseln Sie zu "https:///health/ping", und überprüfen Sie die Gültigkeit des Zertifikats.

ODER

• Wechseln Sie zu "https://www.sslshopper.com/ssl-checker.html". Geben Sie den Serverhostnamen ein, wählen Sie SSL überprüfen aus, und überprüfen Sie die auf der Seite angezeigten SSL-Zertifikatinformationen.

Hinweis

Es werden nur .pfx-Dateien unterstützt. Die Weitergabe des Zertifikats an die Fingerprinting-Server des Geräts kann einige Minuten dauern.

Gerätefingerabdruck implementieren

Ihre Website oder Anwendung müssen Gerätefingerabdruck-Anfragen einige Sekunden vorher initiieren, bevor eine Transaktion an Fraud Protection zur Risikobeurteilung (z. B. eine Transaktion zum Hinzufügen eines Zahlungsmittels, der Anmeldung oder des Auscheckens) übermittelt wird. Diese Anforderung stellt sicher, dass Betrugsschutz alle Daten empfängt, die sie für eine genaue Bewertung benötigen. Dieser Abschnitt enthält detaillierte Anweisungen zum Implementieren von Gerätefingerabdrücken auf Websites und mobilen Apps.

Befolgen Sie diese Schritte, um Gerätefingerabdruck zu implementieren.

1. Ändern Sie den folgenden JavaScript-Skriptcode und fügen Sie ihn auf der Webseite oder in der Anwendung ein, in der Sie Informationen zum Gerätefingerabdruck erfassen möchten.

   <script src="https://<Your_Sub_Domain>/mdt.js?session_id=<session_id>&instanceId=<instance_id>" type="text/javascript"></script>
   

   • Your_Sub_Domain – Die Unterdomäne unter Ihrer Stammdomäne.
   • session_id - Die eindeutige Sitzungskennung des vom Client erstellten Geräts. Er kann bis zu 128 Zeichen enthalten und darf nur aus den folgenden Zeichen bestehen: lateinische Buchstaben in Groß- und Kleinschreibung, Ziffern, Zeichen und Unterstriche und Bindestriche (a–z, A–Z, 0–9, _, -). Die Sitzungs-ID sollte mindestens 16 Byte zufällig generierte Daten enthalten. Bei Verwendung der hexadezimalen Codierung entspricht dies 32 hexadezimalen Zeichen. Obwohl Microsoft empfiehlt, eine GUID (Globally Unique Identifier) für die Sitzungs-ID zu verwenden, ist dies nicht erforderlich.
   • instance_id – Ein erforderlicher Wert für die Integration Ihrer Website mit Fingerabdruck des Geräts. Verwenden Sie den Wert der Gerätefingerabdruck-ID, der auf der Kachel Aktuelle Umgebung auf der Seite Integration der entsprechenden Umgebung im Fraud Protection-Portal aufgeführt ist.

   Beispiel

   <script src="https://fpt.contoso.com/mdt.js?session_id=211d403b-2e65-480c-a231-fd1626c2560e&instanceId=b472dbc3-0928-4577-a589-b80090117691" type="text/javascript"></script>
   

   Im Folgenden finden Sie ein Beispiel einer Antwort für mdt.js.

   window.dfp={url:"https://fpt.contoso.com/?session_id=211d403b-2e65-480c-a231-fd1626c2560e&CustomerId=b472dbc3-0928-4577-a589-b80090117691",sessionId:"211d403b-2e65-480c-a231-fd1626c2560e",customerId:"b472dbc3-0928-4577-a589-b80090117691",dc:"uswest"};window.dfp.doFpt=function(doc){var frm,src;true&&(frm=doc.createElement("IFRAME"),frm.id="fpt_frame",frm.style.width="1px",frm.style.height="1px",frm.style.position="absolute",frm.style.visibility="hidden",frm.style.left="10px",frm.style.bottom="0px",frm.setAttribute("style","color:#000000;float:left;visibility:hidden;position:absolute;top:-100;left:-200;border:0px"),src="https://Your_Sub_Domain/?session_id=211d403b-2e65-480c-a231-fd1626c2560e&CustomerId=b472dbc3-0928-4577-a589-b80090117691",frm.setAttribute("src",src),doc.body.appendChild(frm))};
   

2. Laden Sie Gerätefingerabdruck, wenn die Elemente der Seite geladen wurden.

   window.dfp.doFpt(this.document);
   

3. Wenn Sie Transaktionen in der Fraud Protection-API senden, legen Sie eine Sitzungs-ID im Feld deviceContextId fest. Legen Sie für Beurteilungen eine Sitzungs-ID im Feld deviceFingerprinting.id fest.

4. Legen Sie das Feld device.ipAddress auf die Kunden-IP-Adresse fest, die Ihre Website erhält, wenn ein Kunde Ihre Website nutzt. Legen Sie für Bewertungen die IP-Adresse des Debitors im Feld deviceFingerprinting.ipAddress fest. Dieses Feld ist optional und muss nicht festgelegt werden, wenn Sie es nicht haben.

Aktivieren der clientseitigen Integration für die Gerätefingerabdrücke

Bei bestimmten Szenarien für die Webfingerabdrücke unterstützt Betrugsschutz eine spezielle Integrationsklasse, die als clientseitige Integration bezeichnet wird. Clientseitige Integration unterscheidet sich von den standardmäßigen Integrationsmethoden, da die Fingerabdruckantwort direkt an den Client als verschlüsselte Nutzlast zurückgegeben wird und der Server-zu-Server-Bewertungsaufruf übersprungen wird.

Clientseitige Integration ist nützlich für Szenarien mit geringer Latenz, bei denen das Überspringen des Server-zu-Server-Aufrufs vorteilhaft ist. Wenn Sie ermitteln möchten, ob die clientseitige Integration für Ihr Szenario geeignet ist, schauen Sie sich das folgende Fragehandbuch an.

1. Ist mein Szenario gerätefingerabdrücke nur?

   Wenn Ihr Szenario nicht nur die Gerätefingerabdrücke ist, ist die clientseitige Integration nicht für Ihr Szenario geeignet.

2. Soll ich meine Fingerabdruckdaten im Browser im Gegensatz zu meinem Server abrufen?

   Bei der herkömmlichen Server-zu-Server-Integration werden die Daten, sobald die Attributsammlung auf der Website abgeschlossen ist, an die Server des Betrugsschutzes weitergeleitet, auf die Sie die Bewertungsantwort auf Ihrem Server abrufen können, indem Sie den standardmäßigen Bewertungs-API-Aufruf ausführen. Bei der clientseitigen Integration wird die Bewertungsantwort jedoch direkt im Browser zurückgegeben, wenn die Attributsammlungsdaten an die Server des Betrugsschutzes übertragen werden. Auf diese Weise kann Ihr Server die Bewertungsantwort aus dem Browser extrahieren, anstatt den Server-zu-Server-Aufruf auszuführen, was einige Zeit spart. Denken Sie daran, dass der Fingerabdruck selbst einige Sekunden dauert, sodass die Bewertungsantwort nur im Browser vorhanden ist, wenn der Benutzer einige Sekunden lang auf der Seite ist. Wenn Ihr Szenario von den daten profitiert, die bereits im Browser vorhanden sind, ist die clientseitige Integration möglicherweise für Sie geeignet.

Im Allgemeinen werden die meisten Fingerabdruckszenarien durch die standardmäßige Server-zu-Server-Integration gelöst, und die clientseitige Integration ist für einige bestimmte Szenarien nützlich, in denen die Latenz verringert wird. Da es sich bei der clientseitigen Integration um eine spezielle Integrationsklasse handelt, die vereinfacht und sicher ist, müssen die folgenden Voraussetzungen erfüllt sein, um sie zu aktivieren.

• Sie müssen sich in einer Stammumgebung eines Betrugsschutzmandanten befinden.
• Sie müssen einen externen Aufruf einrichten, der eine Antwort auf verschlüsselungsschlüssel im JSON Web Key Sets (JWKS)-Format zurückgibt. Dieser externe Aufruf gibt den Schlüssel zurück, den Betrugsschutz zum Verschlüsseln der Nutzlast verwendet. Sie können diesen Schlüssel anschließend verwenden, um den Betrugsschutz-Antwortserver zu entschlüsseln, den Sie anfänglich clientseitig erhalten. Sie sind dafür verantwortlich, den Schlüssel für die Verschlüsselung und Entschlüsselung bereitzustellen. Informationen zum Einrichten externer Anrufe finden Sie unter "Externe Anrufe".

Der folgende Code zeigt ein Beispiel für das JWKS-Format.

{
  "keys":
  [
    {
      "kty":null,
      "use":null,
      "kid":null,
      "k":null
    }
  ]
}

• Sie dürfen nur die Metadaten- und Gerätefingerabdrücke der Bewertungsvorlage für die Gerätefingerabdrücke verwenden. Wenn zusätzliche Schemaabschnitte vorhanden sind oder Sie die Vorlage für die Bewertung der Gerätefingerabdrücke nicht verwenden, steht Ihnen die clientseitige Integrationsoption nicht zur Verfügung.

Wenn Sie die Seite "Einstellungen" des Bewertungs-Assistenten für eine Gerätefingerabdrücke-Vorlage erreichen, steht Ihnen die clientseitige Integrationsoption zur Verfügung. Nachdem Sie die clientseitige Integration aktiviert haben, wählen Sie den externen Anruf mit dem von Ihnen eingerichteten JWKS-Antwortformat aus.

Um das clientseitige Integrationssetup abzuschließen, müssen Sie eine geänderte Version des folgenden JavaScript-Beispiels verwenden, um die verschlüsselte Antwort im Browser zurückzugeben.

<script src="https://<Your_Sub_Domain>/mdt.js?session_id=<session_id>&customerId=<customer_id>&assessment=<assessment>&requestId=<request_id>" type="text/javascript"></script>

• Your_Sub_Domain – Die Unterdomäne unter Ihrer Stammdomäne.
• session_id - Die eindeutige Sitzungskennung des vom Client erstellten Geräts. Es kann bis zu 128 Zeichen lang sein und darf nur die folgenden Zeichen enthalten: Groß- und Kleinbuchstaben römische Buchstaben, Ziffern, Unterstriche und Bindestriche (a–z, A–Z, 0–9, _, -). Die Sitzungs-ID muss mindestens 16 Byte zufällig generierter Daten enthalten. Bei Verwendung der hexadezimalen Codierung entspricht dies 32 hexadezimalen Zeichen. Obwohl Microsoft empfiehlt, eine GUID (Globally Unique Identifier) für die Sitzungs-ID zu verwenden, ist dies nicht erforderlich.
• customer_id – Ein erforderlicher Wert für die Integration Ihrer Website mit Fingerabdruck des Geräts. Verwenden Sie den Wert der Umgebungs-ID , der auf der Kachel "Aktuelle Umgebung " der Seite "Integration " der entsprechenden Umgebung im Betrugsschutzportal aufgeführt ist. Sie müssen sich in einer Stammumgebung befinden, damit die clientseitige Integration funktioniert.
• assessment – Der API-Name der Gerätefingerabdrücke-Bewertung, die mit aktivierter clientseitiger Integration eingerichtet wurde. Bei dem API-Namen wird die Groß-/Kleinschreibung beachtet und von der Bewertungskonfigurationsseite abgerufen.
• request_id – Ein eindeutiger Bezeichner für die Anforderung selbst, getrennt von der Sitzungs-ID. Dieser Bezeichner sollte eine GUID von mindestens 32 Zeichen lang sein.

Das folgende Beispiel zeigt den JavaScript-Code mit Beispielwerten.

<script src="https://fpt.contoso.com/mdt.js?session_id=2b2a1f5e-afa7-4c6d-a905-ebf66eaedc83&customerId=b3f6d54b-961c-4193-95ee-b6b204c7fd23&assessment=CSI&requestId=b12e86a0-37b1-43a2-958b-3f04fe7cef6c" type="text/javascript"></script>

Sobald dieses Skript eingerichtet und die clientseitige Integration aktiviert ist, wird die Fingerabdruckantwort als verschlüsselte Nutzlast im Browser des Clients zurückgegeben. Sie können eine Rückruffunktion verwenden, um die verschlüsselte Antwortnutzlast abzurufen. Das folgende Beispiel zeigt die verwendete Rückruffunktion:

window.dfp.doFpt(document, function (response) {
    if(response == null || response.startsWith('ServerError'))
        console.log("Error Scenario");
    else
        console.log("Success Scenario"); // pass to server so it can decrypt and use response
});

Sie müssen die Nutzlast trotzdem an Ihren Server übergeben, um sie zu entschlüsseln und die Antwort zu verwenden. Wir erwarten nicht, dass Sie den externen Aufruf aufrufen, um den Verschlüsselungsschlüssel abzurufen, den Sie zum Entschlüsseln der Nutzlast hosten. Sie sollten den Schlüssel auf die gleiche sichere Weise speichern und verwalten, wie Sie andere geheime Schlüssel erhalten und verwalten, die auf Ihrem Server verwendet werden.

Zusätzliche Ressourcen

• Übersicht über die Gerätefingerabdrücke
• Attribute im Fingerabdruck von Geräten
• Einrichten und Implementieren von Gerätefingerabdrücke
  • Mobile SDK für iOS
  • Mobile SDK für Android
  • Mobile SDK für React Native
• Schulung: Implementieren von Geräteabdrücke in Dynamics 365 Betrugsschutz.