Die PAM-Systemkonfigurationsdatei

Modulschnittstelle

Nur die Modulschnittstelle des Typs auth wird von diesem Modul des Typs pam_ibm_auth.so unterstützt.

Modulname

Der Modulname lautet pam_ibm_auth.so.

Modulargumente

auth sufficient pam_ibm_auth.so auth_method=choice-then-otp 

[otp-prompt=Enter OTP %C- ]

user_env= {name}

Fügen Sie eine PAM-Umgebungsvariable mit dem Wert „ {name} = {user-json} “ für nachgelagerte PAM-Module hinzu. Der Wert von „ {user-json} “ ist eine Zeichenfolge, die die IBM Verify Benutzerinformationen im JSON-Format enthält. Dient in erster Linie dazu, Entwicklern von PAM-Modulen die Integration in das PAM-Modul „ IBM “ zu erleichtern.

prompt_choice_start= {prompt}

Die Zeichenfolge „ {prompt} “ wird unmittelbar vor der Liste der Auswahlmöglichkeiten unter „ 2FA “ ausgegeben. Wenn beispielsweise die Datei „ {prompt} “ den Eintrag „Wählen Sie eine der folgenden Optionen:\n“ enthält, könnte Folgendes angezeigt werden:

Choose one of:
1) user@us.ibm.com
2) 15551234567
3) TOTP
Your choice (1->3):

prompt_choice_end= {prompt}

Die Zeichenfolge „ {prompt} “ wird unmittelbar vor der Liste der Auswahlmöglichkeiten unter „ 2FA “ ausgegeben. Jeder %T-Wert innerhalb dieses Ausdrucks „ {prompt} “ wird durch eine Zahl ersetzt, die die Gesamtzahl der Auswahlmöglichkeiten angibt. Wenn beispielsweise die Datei „ {prompt} “ den Eintrag „Ihre Auswahl (1->%T):“ enthält, könnte Folgendes angezeigt werden:

Choose one of:
1) user@us.ibm.com
2) 15551234567
3) TOTP
Your choice (1->3):

prompt_trans_email= {prompt}

prompt_trans_sms= {prompt}

prompt_totp= {prompt}

prompt_email= {prompt}

prompt_sms= {prompt}

prompt_voice= {prompt}

prompt_device_presence= {prompt}

prompt_device_biometric= {prompt}

Diese Argumente passen die Eingabeaufforderung für jeden „ 2FA “-Typ individuell an. Es können folgende Ersetzungen vorgenommen werden:

• %I Der Index der Option „ 2FA “
• %N Der Wert, der dem Namen der Option „ 2FA “ zugeordnet ist (z. B. eine E-Mail-Adresse)
• %T Die Gesamtzahl der Auswahlmöglichkeiten

Wenn beispielsweise prompt_trans_sms="%I) Ungültige SMS %N\n" lautet, könnte Folgendes angezeigt werden:

Choose one of:
1) user@us.ibm.com
2) Unvalidated SMS 15551234567
3) TOTP
Your choice (1->3):

Hinweis: Diese Optionen können dazu führen, dass die Argumente des PAM-Moduls sehr lang und schwer zu verwalten werden. Um dieses Problem zu beheben, können viele der Modulargumente in die /etc/pam_ibm_auth.json Datei verschoben werden; siehe dazu die Funktion „additional-args“ unter dem Objekt „pam“ in dieser Datei.

device_prompt= {prompt}

Wenn diese Option aktiviert ist, wird dem Benutzer die angegebene Meldung angezeigt, wenn er auf einem Gerät von 2FA eine Genehmigung erteilen muss. Die Verwendung davon mit SSH. weist einige Einschränkungen auf. Manche SSH-Server geben eine Meldung weiter (ohne dabei zur Eingabe aufzufordern), andere hingegen nicht. Standardmäßig wird keine Benachrichtigung gesendet; die Benachrichtigung erfolgt über das Gerät des Benutzers.

user_name_attr= {attr_name}

Ordnet den an PAM übermittelten Benutzernamen einem IBM Verify Benutzer zu, indem ein Attribut abgeglichen wird, das in den Verify Benutzerdaten enthalten ist. Beispielsweise könnte der PAM-Benutzername einem Verify benutzerdefinierten Attribut namens „Anderer Benutzername“ hinzugefügt werden. Dieses benutzerdefinierte Attribut gibt an,

user_name_attr=urn:ietf:params:scim:schemas:extension:ibm:2.0:User:customAttributes.otherUserName

Standardmäßig wird das Benutzerattribut „ "userName" “ verwendet, um den Verify Benutzer zu ermitteln, der dem PAM-Benutzernamen entspricht.

gecos_match= {regex}

gecos_replace= {replace_format}

Diese Argumente werden als Alternative zur Methode gecos_field/gecos_separator verwendet. Die Funktion „ {regex} “ dient dazu, den GECOS-Wert des Benutzers abzugleichen, und extrahiert den Wert zur Weitergabe an das gecos_replace Format. Weitere Informationen zu regulären Ausdrücken finden Sie in der Manpage zu `regex(7)`.

Der {replace_format} Wert wird zur Generierung des Verify Benutzernamens verwendet. Bei {replace_format} jedem $N, wobei N zwischen 1 und 9 liegt, wird dieses durch das entsprechende Regex-Atom (pat) aus dem Treffer „ {regex} “ ersetzt.

Beispiel:

[gecos_match=^([^/\]+)/([^/\]+)/([^/\]+)] [gecos_replace=$3/$1@MyRealm]

Hinweis: Bei Verwendung der PAM-Methode [arg] müssen alle in „arg“ enthaltenen ]-Zeichen mit \ in Anführungszeichen gesetzt werden.

Wenn das Feld GECOS war "Test User/+15551234567/ibm.com" , dann lautet der generierte Benutzer "ibm.com/Test User@MyRealm"

Debug

Dieses Argument ist eine PAM-Modulstandardoption. Protokollieren Sie mithilfe des Aufrufs syslog() Debugging-Informationen in den Systemprotokolldateien.

nowarn

Dieses Argument ist eine PAM-Modulstandardoption. Mit der Option nowarn wird die Generierung von Warnungen, einschließlich Warnungen für den Kennwortablauf, inaktiviert.

ibm_auth_config={Konfigurationsdatei}

Sofern nicht anders angegeben, gilt /etc/pam_ibm_auth.json für „ Linux “- und UNIX™-Systeme die Standardeinstellung. Diese Datei enthält die Konfiguration der Auth-API von IBM mit den Verify Server-Verbindungsdaten. Siehe die Modulkonfigurationsdatei.

auth_method={Authentifizierungsmethode}

Dieses Argument ist optional; für das Argument wird standardmäßig die TOTP-Validierung angenommen. Dieses Argument gibt die Authentifizierungsmethode an, die für die Authentifizierung von Benutzern erforderlich ist. Die folgende Liste mit Authentifizierungsmethoden umfasst einige Methoden, die das Kennwort als ersten Wert akzeptieren. Mit „Passwort“ ist in diesen Methoden das Verify Benutzerpasswort gemeint, nicht das UNIX-Passwort.

pam_unix.soHinweis: Wenn für ein zuvor gestartetes PAM-Modul ein Passwort angegeben wurde, wird dieses Passwort bei allen Verify Vorgängen verwendet auth methods , die ein Passwort erfordern. Wenn das zuvor angegebene Passwort und das Verify aktuelle Passwort nicht übereinstimmen, schlägt die Authentifizierung fehl. Dieses Problem ist eine bekannte Einschränkung.

Tabelle 1. Zulässige Werte

Wert	Beschreibung
Kennwort	Es ist ein gültiges Verify Passwort erforderlich.
password-and-totp	Ein Verify Passwort und ein TOTP-Wert müssen in einem einzigen Wert angegeben werden. Sie können konfigurieren, ob das Kennwort oder der TOTP-Wert die erste Angabe in dem Wert ist; außerdem können Sie das Zeichen konfigurieren, das verwendet wird, um die beiden Werte voneinander zu trennen. TOTP:passwordStandardmäßig lautet das Format.
password-then-totp	Es muss ein Verify Passwort eingegeben werden; bei erfolgreicher Eingabe wird ein TOTP-Wert abgefragt und überprüft.
totp	Es wird zur Angabe eines TOTP-Werts aufgefordert und dieser Wert validiert.
password-then-smsotp	Es muss ein Verify Passwort eingegeben werden; bei erfolgreicher Eingabe wird eine SMS mit einem OTP-Wert an das registrierte Mobilgerät des Benutzers gesendet. Anschließend fordert das PAM-Modul den SMS-OTP-Wert vom Benutzer an und validiert den Wert.
smsotp	Es wird eine SMS-OTP-Validierung eingeleitet und zur Angabe eines SMS-OTP-Werts aufgefordert und dieser Wert validiert.
password-then-emailotp	Es muss ein Verify Passwort eingegeben werden; bei erfolgreicher Eingabe erhält der Benutzer eine E-Mail mit einem OTP-Wert. Das PAM-Modul fordert den E-Mail-OTP-Wert an und validiert ihn.
emailotp	Es wird eine E-Mail-OTP-Validierung eingeleitet und das PAM-Modul fordert den E-Mail-OTP-Wert an, der dann validiert wird.
password-then-choice-then-otp	Es muss ein Verify Passwort eingegeben werden; bei erfolgreicher Eingabe wird der Benutzer aufgefordert, eine seiner OTP-Registrierungen auszuwählen. Nachdem die Auswahl getroffen wurde, wird die OTP-Validierung eingeleitet und der Benutzer zur Angabe des OTP-Werts aufgefordert. Hinweis: Wenn der Benutzer nur für eine einzige OTP-Methode registriert ist, wird der Auswahlschritt übersprungen und der Benutzer direkt zur Angabe des OTP-Werts aufgefordert. Wenn der Benutzer über keine OTP-Registrierungen verfügt, wird "reject-on-missing-auth-method" wirksam. Wenn "add_devices_to_choice" aktiviert ist, werden die Optionen für "device" der Liste hinzugefügt. Ausführliche Informationen dazu, welche Optionen hinzugefügt werden, finden Sie unter der Authentifizierungsmethode 'device'. Wenn die Option "transients_in_choice" aktiviert ist, werden die transienten E-Mail- und SMS-Quellen als Optionen aufgelistet. Wenn die Option "voice_in_choice" aktiviert ist, wird 'voiceotp' als eine Option aufgelistet.
choice-then-otp	Der Benutzer wird zur Auswahl einer seiner OTP-Registrierungen aufgefordert. Nachdem die Auswahl getroffen wurde, wird die OTP-Validierung eingeleitet und der Benutzer zur Angabe des OTP-Werts aufgefordert. Hinweis: Wenn der Benutzer nur für eine einzige OTP-Methode registriert ist, wird der Auswahlschritt übersprungen und der Benutzer direkt zur Angabe des OTP-Werts oder zur Geräteverifizierung aufgefordert. Wenn der Benutzer über keine OTP-Registrierungen verfügt, wird reject-on-missing-auth-method wirksam. Wenn "add_devices_to_choice" aktiviert ist, werden die Optionen für "device" der Liste hinzugefügt. Ausführliche Informationen dazu, welche Optionen hinzugefügt werden, finden Sie unter der Authentifizierungsmethode 'device'. Wenn die Option "transients_in_choice" aktiviert ist, werden die transienten E-Mail- und SMS-Quellen als Optionen aufgelistet. Wenn die Option "voice_in_choice" aktiviert ist, wird 'voiceotp' als eine Option aufgelistet.
password-then-device	Es muss ein Verify Passwort eingegeben werden; bei erfolgreicher Eingabe wird der Benutzer aufgefordert, sich mithilfe der „ IBM Verify “-App auf seinem Smartphone zu authentifizieren.
device	Der Benutzer wird zu seiner Validierung mithilfe der IBM Verify-App auf seinem Telefon aufgefordert. Wenn mehrere Geräte verfügbar sind, wird der Benutzer zur Eingabe einer Auswahl aufgefordert. userPresenceHinweis: Die Option "add_devices_to_choice="legt fest, ob oder verwendet fingerprint werden soll. Für ein bestimmtes Gerät kann nur eines dieser beiden Attribute verwendet werden.
password-then-transsmsotp	Es muss ein Verify Passwort eingegeben werden; bei erfolgreicher Eingabe wird der Benutzer aufgefordert, den per SMS an sein Mobiltelefon gesendeten Einmalcode einzugeben. Bei der Telefonnummer handelt es sich um die Nummer, die im zugehörigen Benutzersatz angegeben ist.
transsmsotp	Der Benutzer wird zur Angabe des OTP-Werts aufgefordert, der über SMS an sein Mobiltelefon gesendet wurde. Bei der Telefonnummer handelt es sich um die Nummer, die im zugehörigen Benutzersatz angegeben ist.
password-then-transemailotp	Es muss ein Verify Passwort eingegeben werden; bei erfolgreicher Eingabe wird der Benutzer aufgefordert, das ihm per E-Mail zugesandte Einmalpasswort einzugeben. Bei der E-Mail-Adresse handelt es sich um die Adresse, die im zugehörigen Benutzersatz angegeben ist.
transemailotp	Der Benutzer wird zur Angabe des OTP-Werts aufgefordert, der über E-Mail an ihn gesendet wurde. Bei der E-Mail-Adresse handelt es sich um die Adresse, die im zugehörigen Benutzersatz angegeben ist.
voiceotp	Der Benutzer erhält einen Anruf und eine Sprachnachricht informiert den Benutzer über den OTP-Wert, der verwendet werden muss, um die Anmeldung zu validieren.
Passwort-dann-Sprach-OTP	Es muss ein IBM Verify Passwort eingegeben werden. Wird diese erfolgreich übermittelt, wird ein Anruf an das Telefon des Benutzers getätigt, und eine Sprachansage teilt dem Benutzer den OTP-Wert mit, der zur Bestätigung der Anmeldung verwendet werden muss.
Passwort und TOTP oder Gerät	Wird im vom Benutzer eingegebenen Passwort ein TOTP-Wert erkannt, wird die der password-and-totp Methode entsprechende Vorgehensweise angewendet. Weitere Informationen finden Sie unter „password-and-totp “. Wird im vom Benutzer eingegebenen Passwort kein TOTP-Wert erkannt, wird die der password-and-device Methode entsprechende Vorgehensweise angewendet. Weitere Informationen finden Sie unter „Passwort-dann-Gerät “. Hinweis: Wenn das tatsächliche Passwort des Benutzers mit sechs Ziffern und einem Trennzeichen beginnt oder endet, kann es vom RADIUS-Server fälschlicherweise als eingebetteter TOTP-Wert interpretiert werden. Beispielsweise ist die password-first Option auf „false“ gesetzt, und das Passwort beginnt mit den sechs Ziffern und dem Trennzeichen. Ebenso tritt dieselbe Bedingung ein, wenn der Wert auf „true“ gesetzt ist und das Passwort mit einem Trennzeichen und sechs Ziffern endet. In beiden Fällen kann ein Geräte-Push nicht als zweiter Faktor für die RADIUS-Authentifizierung verwendet werden. Der RADIUS-Server interpretiert ihn als TOTP-Wert und versucht, ihn zu validieren. Die Validierung schlägt fehl und die Authentifizierung wird abgelehnt.

Wenn "password" nicht Teil des Werts für die Authentifizierungsmethode (auth-method) ist, beispielsweise "device", kann dem Modul libpam_ibm_auth.so vom UNIX-/Linux-PAM-Standardmodul ein Präfix hinzugefügt werden, um ein lokales Kennwort zu authentifizieren, um die zwei Faktoren bilden zu können. Das Kennwort kann auch weggelassen werden, wenn eine kennwortunabhängige Authentifizierung erfolgen soll.

accept_on_missing_auth_method

Dieses Argument ist optional. Wenn es angegeben wird und der Benutzer nicht für die Zwei-Faktor-Authentifizierung registriert ist, wird der Benutzer authentifiziert. Wenn diese Option nicht angegeben ist und der Benutzer nicht für die Zwei-Faktor-Authentifizierung registriert ist, wird der Benutzer nicht authentifiziert.

otp_prompt={Zeichenfolge_für_Eingabeaufforderung}

"Enter OTP %C- "Dieses Argument ist optional und lautet standardmäßig „“. Diese Zeichenfolge wird angezeigt, wenn der Benutzer zur OTP-Eingabe aufgefordert wird. Jedes %C in der Eingabeaufforderung wird durch die OTP-Korrelation oder für TOTP durch die leere Zeichenfolge ersetzt. Jede Angabe von %% in der Eingabeaufforderung wird durch ein einziges % ersetzt.

password_first

Dieses Argument ist optional. Es hat nur Auswirkungen auf die Authentifizierungsmethode "password-and-totp" und legt die Reihenfolge für die Kennwort- und TOTP-Werte in der Zeichenfolge fest, die der Benutzer angeben muss. totp:passwordNormalerweise steht das Passwort am Ende der Zeichenfolge nach dem Trennzeichen. password:totpWenn das Argument gesetzt ist, muss das Passwort am Anfang der Zeichenkette vor dem Trennzeichen angegeben werden.

password_separator={Trennzeichen}

Dieses Argument ist optional; für das Argument wird standardmäßig das Kennworttrennzeichen : (Doppelpunkt) angenommen. Es hat nur Auswirkungen auf die Authentifizierungsmethode "password-and-totp" und gibt das Zeichen an, das verwendet werden muss, um die TOTP- und Kennwortwerte voneinander zu trennen.

verify_method_order={Reihenfolge}

Dieses Argument ist optional; für das Argument wird standardmäßig "fingerprint,userPresence" angenommen. Mit dieser Option wird ausgewählt, welche der beiden Angaben die höhere Priorität hat. Die Standardreihenfolge ordnet "fingerprint" die höhere Priorität zu, sofern vorhanden.

Hinweis: Wenn „add_devices_to_choice“ aktiviert ist, verwendet die "device" Option „auth_method“ nur eine der beiden Methoden, entweder fingerprint oder userPresence.

verify_message={Nachricht}

Dieses Argument ist optional und hat standardmäßig den Wert"Do you approve the request from {hostname}?"wobei {hostname} durch den Hostnamen ersetzt wird, auf dem das PAM-Modul ausgeführt wird. Wenn "device" als Authentifizierungsmethode (auth_method) verwendet wird, wird diese Nachricht am Gerät des Benutzers angezeigt, wenn der Benutzer zur Verifizierung des Zugriffs aufgefordert wird.

append={Zeichenfolge}

Dieses Argument ist optional; für das Argument wird standardmäßig "" angenommen. Am Ende des Vorgangs, bei dem der UNIX-Benutzername einem Verify Benutzernamen zugeordnet wird, wird diese Zeichenfolge an den resultierenden Verify Benutzernamen angehängt. Ein typischer Anwendungsfall ist das Hinzufügen der Verify Benutzerdomäne zum Benutzer, beispielsweise „ w3id “@www.ibm.com" für die Benutzerdomäne „“.

add_devices_to_choice

Dieses Argument ist optional; für das Argument wird standardmäßig angenommen, dass die Geräteregistrierungen des Benutzers nicht den Authentifizierungsmethoden "choice-then-otp" und "password-then-choice-then-otp" hinzugefügt werden. Wenn dieses Argument angegeben wird, werden die Geräteregistrierungen der Liste der Auswahlmöglichkeiten für 2FA für den Benutzer hinzugefügt.

exempt_group={UNIX-Gruppenname}

Dieser Wert ist optional; für den Wert wird standardmäßig exempt_group angenommen. Wenn dieses Argument gesetzt ist, wird anhand der angegebenen UNIX-Gruppe ermittelt, ob eine UNIX-Benutzeranmeldung von der Authentifizierung über „ 2FA “ ausgenommen ist. Wenn sich ein UNIX-Benutzer in der Gruppe befindet, wird er ausgeschlossen und nie zur Zwei-Faktor-Authentifizierung aufgefordert.

2fa_group={unix_group_name}

Dieser Wert ist optional. Wenn diese Option aktiviert ist, wird anhand der angegebenen UNIX-Gruppe ermittelt, ob für die Anmeldung eines UNIX-Benutzers ein „ 2FA “ erforderlich ist. Wenn diese Option aktiviert ist und der UNIX-Benutzer nicht zur Gruppe gehört, wird der Benutzer nicht zur Eingabe von „ 2FA “ aufgefordert.

retry={Anzahl_Wiederholungen}

Dieses Argument ist optional; für das Argument wird standardmäßig 3 angenommen. Es definiert die Anzahl Wiederholungen, die einem Benutzer zur Verfügung stehen, wenn er einen ungültigen 2FA-Wert, beispielsweise einen ungültigen TOTP-Wert, angibt. Es definiert außerdem die Anzahl Wiederholungen, die im Rahmen des Auswahlschritts für die Auswahl des zu verwendenden OTP-Typs zulässig sind.

failmode_insecure

Dieser Wert ist optional; für den Wert wird standardmäßig ein sicherer failmode angenommen. Dieses Argument beeinflusst das Verhalten, wenn das Verify PAM-Modul keine Verbindung zum Server Verify herstellen kann. Wenn dieses Argument gesetzt ist, ist die Authentifizierung über „ 2FA “ erfolgreich, wenn der Verify Server nicht erreichbar ist. Wenn diese Option nicht gesetzt ist, schlagen alle Authentifizierungen fehl, die eine „ 2FA “-Anfrage erfordern, sobald der Verify Server nicht erreichbar ist.

gecos_field={Feldnummer}

Dieses Argument ist optional; für das Argument wird standardmäßig angenommen, dass das GECOS-Feld des Benutzers nicht verwendet wird. Wird ein Wert im Bereich von 1 bis 32 festgelegt, wird das vom UNIX-Benutzer angegebene GECOS-Feld als Benutzername Verify verwendet. Die Anfügeoption wirkt sich weiterhin auf diesen Wert aus. Das erste GECOS-Feld wird mit der Feldnummer 1 definiert.

gecos_separator={Zeichen}

Dieses Argument ist optional; für das Argument wird standardmäßig , (Komma) angenommen. Dieser Wert definiert das Trennzeichen für das GECOS-Feld.

id={PAM-Modul-ID}

Dieses Argument ist optional; für das Argument wird standardmäßig "pam_ibm_auth" angenommen. Wenn in der Gruppe der PAM-Module, die für die Authentifizierung eines Benutzers konfiguriert sind, mehr als eine Instanz des Verify PAM-Moduls vorhanden ist, muss jeder Instanz eine eindeutige ID zugewiesen werden. Andernfalls beeinträchtigen sich die einzelnen Module unter Umständen gegenseitig.

identity_source={ID}

Dieses Argument ist optional; für das Argument wird standardmäßig die Verwendung der Identitätsquelle des Typs 'Cloud Directory' angenommen. Wenn dieses Argument angegeben wird, gibt es die Identitätsquelle für die Authentifizierung von Benutzern an. Benutzer werden mithilfe einer konfigurierten Identitätsquelle des Typs 'LDAP-Durchgriff' authentifiziert. Eine Liste der konfigurierten Identitätsquellen und ihrer IDs kann über eine GET Anfrage an folgende Adresse abgerufen werden: https://<tenant>/verify/v1.0/authnmethods/password.

ignore_isvalidated

Dieser Wert ist optional; für den Wert wird standardmäßig false angenommen. Wenn dieser Wert auf true gesetzt wird, versucht das PAM-Modul selbst dann, relevante 2FA-Methoden zu verwenden, wenn diese nicht validiert werden.

transients_in_choice

Mit diesem Argument werden der Liste der Methoden, die für die Authentifizierung mithilfe eines Kennworts für einmaliges Anmelden (OTP) verwendet werden, transiente E-Mails und Telefonnummern hinzugefügt.

voice_in_choice

Mit diesem Argument wird der Liste der Methoden, die für die Authentifizierung mithilfe eines Kennworts für einmaliges Anmelden (OTP) verwendet werden, Sprach-OTP hinzugefügt.

transient_choices={Auswahlmöglichkeiten}

Dieses Argument listet die transienten Methoden und Auswahlmöglichkeiten auf, die zur Verfügung gestellt werden. Der Wert des Arguments muss mindestens eine E-Mail ("emails") oder Telefonnummer ("phoneNumbers") sein. Die einzelnen Auswahlmöglichkeiten müssen jeweils durch ein , (Komma) voneinander getrennt werden.

poll_timeout={Sekunden}

Dieses Argument gibt an, wie lange der Benutzer auf die Validierung der Anmeldung über sein Gerät warten muss. Wenn die Zeit überschritten wird, treten eine Zeitlimitüberschreitung und ein Anmeldefehler auf.

no_enrollments_in_choice

Dieses Argument gibt an, dass den Auswahlmöglichkeiten keine SMS-, E-Mail- oder TOTP-Registrierungen hinzugefügt werden sollen. Um eine Auswahl zur Verfügung zu stellen, muss transients_in_choice und/oder add_devices_to_choice konfiguriert sein.

id_link_attr= {attr_name}

Wenn im Mandanten mehrere Identitätsquellen definiert sind und diese die Identitätsverknüpfung nutzen, legt dieses Konfigurationselement den Namen eines Attributs des Benutzers fest, das über „user_name_attr“ ermittelt wird und den Benutzernamen angibt, anhand dessen das Passwort überprüft werden soll. Beispielwerte für „ {attr_name} “:

• "urn:ietf:params:scim:schemas:extension:ibm:2.0:user:linkedAccounts.myOnPremIdSource"
• "emails.type%20eq%20%22work%22%20and%20emails.value"
• "urn:ietf:params:scim:schemas:extension:ibm:2.0:user:customAttributes.myCustomAttribute"
• "userName"

Festlegen der in den „auth_methods“-Optionen der Auswahlfunktion bereitgestellten „ 2FA “-Methoden

So aktivieren oder deaktivieren Sie die in der Auswahl „auth_methods“ aufgeführten Arten der Zwei-Faktor-Authentifizierung.