Fonctionnalités d'intégration avec les fournisseurs de services WAF

Ce document vous aide à comprendre les fonctionnalités de reCAPTCHA pour WAF et à déterminer celle qui correspond le mieux à votre cas d'utilisation.

reCAPTCHA Enterprise pour WAF propose les fonctionnalités suivantes que vous pouvez utiliser pour intégrer des fournisseurs de services de pare-feu d'application Web (WAF) :

• Jetons d'action reCAPTCHA
• Jetons de session reCAPTCHA
• Page de test reCAPTCHA
• reCAPTCHA Express

Aperçu des fonctionnalités

Le tableau suivant présente une brève comparaison entre les jetons d'action reCAPTCHA, les jetons de session reCAPTCHA, la page de test reCAPTCHA et reCAPTCHA Express:

Catégorie de comparaison	Jetons d'action reCAPTCHA	Jetons de session reCAPTCHA	Page de test reCAPTCHA	reCAPTCHA Express
Cas d'utilisation	Utilisez les jetons d'action reCAPTCHA pour protéger les actions des utilisateurs, telles que la connexion ou les commentaires.	Utilisez les jetons de session reCAPTCHA pour protéger l'intégralité de la session utilisateur sur le domaine du site.	Utilisez la page d'authentification reCAPTCHA lorsque vous suspectez des activités de spam dirigées vers votre site et que vous devez exclure les bots. Cette méthode interrompt l'activité de l'utilisateur, car il doit effectuer un test CAPTCHA.	Utilisez reCAPTCHA Express lorsque votre environnement n'est pas compatible avec l'intégration du code JavaScript reCAPTCHA ni des SDK pour mobile.
Plates-formes compatibles	Sites Web et applications mobiles	Sites Web	Sites Web	API, sites Web, applications mobiles et appareils IoT tels que les téléviseurs et les consoles de jeu
Effort d'intégration	Moyen L'intégration nécessite d'effectuer les opérations suivantes : Installez le code JavaScript reCAPTCHA sur les pages individuelles de votre site ou installez le SDK mobile reCAPTCHA sur votre application mobile. Associez le jeton d'action à l'en-tête de requête individuel. Configurez des règles de stratégie de sécurité Google Cloud Armor ou des règles de pare-feu reCAPTCHA pour des fournisseurs de services WAF tiers.	Moyen L'intégration nécessite d'effectuer les opérations suivantes : Installez le code JavaScript reCAPTCHA sur les pages individuelles de votre site. Configurez des règles de stratégie de sécurité Google Cloud Armor ou des règles de pare-feu reCAPTCHA pour les fournisseurs de services WAF tiers.	Faible L'intégration nécessite de configurer des règles de stratégie de sécurité pour Google Cloud Armor ou des règles de pare-feu reCAPTCHA pour les fournisseurs de services WAF tiers.	Faible Pour l'intégration, vous devez configurer reCAPTCHA Express avec un fournisseur de services WAF ou envoyer une requête de votre serveur d'application à reCAPTCHA.
Précision de la détection	Le plus élevé Un jeton d'action protège les actions individuelles des utilisateurs.	Élevé Un jeton de session protège l'intégralité de la session utilisateur sur le domaine du site.	Moyen Le processus implique des redirections vers la page d'authentification reCAPTCHA, qui peut ne pas recevoir tous les signaux spécifiques à la page. Par conséquent, la détection des bots peut être moins précise.	Faible Les signaux côté client ne sont pas disponibles.
Version de reCAPTCHA compatible	Clés reCAPTCHA basées sur des scores et cases à cocher	Clés reCAPTCHA basées sur des scores	La page de test reCAPTCHA utilise la version optimisée de reCAPTCHA pour minimiser l'intégration.	Clés reCAPTCHA basées sur des scores

Vous pouvez utiliser une ou plusieurs fonctionnalités de reCAPTCHA pour WAF dans une seule application. Par exemple, vous pouvez choisir d'appliquer un jeton de session pour toutes les pages et, en fonction du score du jeton de session, rediriger les requêtes suspectes vers la page de test reCAPTCHA. Vous pouvez également utiliser un jeton d'action pour les actions importantes, telles que le règlement. Pour en savoir plus, consultez les exemples.

Jetons d'action reCAPTCHA

Vous pouvez utiliser des jetons d'action reCAPTCHA pour protéger les interactions importantes avec les utilisateurs, telles que le règlement sur les pages Web et les applications mobiles.

Le workflow des jetons d'action reCAPTCHA comprend les étapes suivantes :

1. Lorsqu'un utilisateur final déclenche une action protégée par reCAPTCHA, la page Web ou l'application mobile envoie des signaux collectés dans le navigateur à reCAPTCHA pour analyse.
2. reCAPTCHA envoie un jeton d'action à la page Web ou à l'application mobile.
3. Vous devez associer ce jeton d'action à l'en-tête de la requête que vous souhaitez protéger.
4. Lorsque l'utilisateur final demande l'accès avec le jeton d'action, le fournisseur de services WAF décode et valide les attributs du jeton d'action au lieu de votre application backend.
5. Le fournisseur de services WAF applique des actions en fonction des règles de stratégie de sécurité ou des règles de stratégie de pare-feu que vous avez configurées, le cas échéant.

Le schéma de séquence suivant illustre le workflow des jetons d'action reCAPTCHA pour les sites Web:

Le schéma de séquence suivant illustre le workflow des jetons d'action reCAPTCHA pour les applications mobiles:

Jetons de session reCAPTCHA

Vous pouvez utiliser les jetons de session reCAPTCHA si vous souhaitez protéger l'intégralité de la session utilisateur sur le domaine du site. Un jeton de session vous permet de réutiliser une évaluation reCAPTCHA existante pour une période spécifiée, de sorte qu'aucune autre évaluation ne soit nécessaire pour un utilisateur particulier, ce qui réduit les frictions pour l'utilisateur et le nombre total d'appels reCAPTCHA requis.

Pour permettre à reCAPTCHA d'apprendre le modèle de navigation de vos utilisateurs finaux, nous vous recommandons d'utiliser un jeton de session reCAPTCHA sur toutes les pages Web de votre site.

Le workflow des jetons de session reCAPTCHA comprend les étapes suivantes :

1. Le navigateur charge le code JavaScript reCAPTCHA à partir de reCAPTCHA.
2. Le code JavaScript reCAPTCHA définit un jeton de session en tant que cookie sur le navigateur de l'utilisateur final après l'évaluation.
3. Le navigateur de l'utilisateur final stocke le cookie et le code JavaScript reCAPTCHA actualise le cookie toutes les 30 minutes tant que le code JavaScript reCAPTCHA reste actif.
4. Lorsque l'utilisateur demande l'accès avec le cookie, le fournisseur de services WAF valide ce cookie et applique des actions en fonction des règles de stratégie de sécurité ou des règles de stratégie de pare-feu.

Le schéma de séquence suivant illustre le workflow des jetons de session reCAPTCHA:

Page de test reCAPTCHA

Vous pouvez utiliser la fonctionnalité de page de test reCAPTCHA pour rediriger les requêtes entrantes vers reCAPTCHA afin de déterminer si chacune d'elles est potentiellement frauduleuse ou légitime.

Cette application d'une redirection et d'un test CAPTCHA éventuel interrompt l'activité de l'utilisateur. Nous vous recommandons de l'utiliser pour exclure les robots lorsque vous suspectez des activités de spam dirigées vers votre site.

Lorsqu'un utilisateur final visite votre site pour la première fois, les événements suivants se produisent:

1. Au niveau de la couche WAF, la requête de l'utilisateur est redirigée vers la page de test reCAPTCHA.
2. reCAPTCHA répond avec une page HTML intégrée au code JavaScript reCAPTCHA.
3. Lorsque la page de test est affichée, reCAPTCHA évalue l'interaction de l'utilisateur. Si nécessaire, reCAPTCHA envoie un test CAPTCHA à l'utilisateur.

4. Selon le résultat de l'évaluation, reCAPTCHA effectue les opérations suivantes:

   1. Si l'interaction de l'utilisateur réussit l'évaluation, reCAPTCHA émet un cookie d'exemption. Le navigateur joint ce cookie d'exception aux requêtes ultérieures de l'utilisateur au même site jusqu'à l'expiration du cookie. Par défaut, le cookie d'exemption expire au bout de trois heures.
   2. Si l'interaction de l'utilisateur échoue à l'évaluation, reCAPTCHA n'émet pas de cookie d'exemption.

5. reCAPTCHA recharge la page Web avec le cookie d'exemption si l'utilisateur accède à la page Web via un appel GET/HEAD. Si l'utilisateur accède à la page Web via un appel POST/PUT, il doit cliquer sur le lien d'actualisation de la page.

6. Le fournisseur de services de WAF exclut de la redirection les requêtes contenant un cookie d'exemption valide, puis accorde l'accès à votre site.

Le schéma de séquence suivant illustre le workflow de la page de test reCAPTCHA:

reCAPTCHA Express pour WAF

Vous pouvez utiliser reCAPTCHA Express pour protéger vos applications dans un environnement qui n'est pas compatible avec l'exécution de JavaScript reCAPTCHA ni des SDK mobiles intégrés, par exemple, les appareils IoT et les box. Vous pouvez configurer reCAPTCHA Express au niveau de la couche WAF avec un fournisseur de services WAF ou dans un environnement autonome sur un serveur d'application. reCAPTCHA Express n'utilise que des signaux backend pour générer un score de risque reCAPTCHA.

Le workflow express reCAPTCHA Enterprise WAF comprend les étapes suivantes:

1. Lorsqu'un utilisateur demande l'accès à une page Web, le fournisseur de services WAF crée une requête d'évaluation à envoyer à reCAPTCHA.
2. reCAPTCHA évalue l'interaction de l'utilisateur et envoie un score de risque.
3. En fonction du score de risque, le fournisseur de services de WAF ou le serveur d'application autorise ou bloque l'accès.

Le schéma de séquence suivant illustre le workflow express reCAPTCHA WAF:

Étape suivante

• Découvrez les attributs de jeton pour Google Cloud Armor.
• Intégrez reCAPTCHA pour WAF à Google Cloud Armor sur les sites Web.
• Intégrez reCAPTCHA pour WAF à Google Cloud Armor sur les applications mobiles.
• En savoir plus sur les attributs de jeton pour Fastly
• Intégrez reCAPTCHA pour WAF avec Fastly.
• Configurez reCAPTCHA Express sur les serveurs d'applications.