Authentifizierungsfaktoren konfigurieren

Online bearbeiten

Verify unterstützt die Zwei-Faktor-Authentifizierung. Dabei handelt es sich um eine Art von Mehrfaktorauthentifizierung, die die Verwendung eines zweiten Faktors umfasst; bei dem zweiten Faktor handelt es sich normalerweise um einen vom System generierten Code, den der Benutzer als Nachweis seiner Identität angeben muss. Die Verwendung eines zweiten Authentifizierungsfaktors vorschreiben, um die Sicherheitskontrollen für Benutzer zu verstärken, wenn diese sich bei einer Anwendung anmelden, die mit Verify. entwickelt und integriert wurde. Wählen Sie den zweiten Authentifizierungsfaktor aus, mit dem Benutzer zur Authentifizierung aufgefordert werden sollen.

Vorbereitende Schritte

  • Sehen Sie sich ein Verify Video zur Multi-Faktor-Authentifizierung in der „ IBM Security Learning Academy “ an.
  • Zur Ausführung dieser Task müssen Sie über Verwaltungsberechtigung verfügen.
  • Melden Sie sich als Administrator bei der IBM® Verify Verwaltungskonsole an.

Informationen zu dieser Task

Der erste Authentifizierungsfaktor ist in der Regel der Benutzername und das Passwort, ein QR-Code oder ein Passkey.
Hinweis: Für Nutzer wird der Begriff „Passkey“ anstelle von „FIDO-Gerät“ verwendet, um eine benutzerfreundlichere Erfahrung zu bieten.
Der zweite Authentifizierungsfaktor ist etwas, das der Benutzer besitzt, in der Regel ein automatisch generierter numerischer oder alphanumerischer Code, der an den Benutzer gesendet wird. Verify nutzt die „ IBM Verify “-App, die Authenticator-App, Passkeys und Einmalpasswörter (OTP) als zweiten Authentifizierungsfaktor. Das OTP kann über E-Mail, SMS oder Sprache übermittelt werden oder es kann sich um ein zeitbasiertes OTP handeln, das ohne Übermittlungsmechanismus validiert wird.

Ein OTP ist für eine bestimmte Dauer gültig. Es wird nach einer erfolgreichen Benutzeranmeldung oder nach seinem Ablauf ungültig.

Hinweis: Aufgrund der neuen Beschränkungen in den chinesischen Telekommunikationsvorschriften kann nicht gewährleisten, IBM Verify dass SMS- und Sprachnachrichten zuverlässig nach China zugestellt werden. Aufgrund dieser Einschränkungen können derzeit keine Sprach- und SMS-Nachrichten unterstützt werden, Verify die nach China gesendet werden. Eine Liste der Länder, in denen Verify SMS- und Sprachnachrichten unterstützt werden, finden Sie unter „Unterstützte Länder für SMS und Sprachnachrichten “.

Vorgehensweise

  1. Wählen Sie „Authentifizierung “ > „Authentifizierungsfaktoren “.
  2. Legen Sie die allgemeinen Mehrfaktorauthentifizierungseinstellungen fest.
    1. Wählen Sie die Aktion aus, wenn für den Benutzer keine Authentifizierungsfaktoren vorhanden sind.
      • Verweigern Sie die Authentifizierung.
      • Geben Sie dem Benutzer die Möglichkeit, einen Faktor zu registrieren.
    2. Wählen Sie die zulässige Quelle für den Authentifizierungsfaktor aus.
      • Vom Benutzer festgelegte Methoden: Die vom Benutzer unter „Benutzer-Startseite > Profil & Einstellungen > Sicherheit“ ausgewählten Verifizierungsmethoden.
      • Benutzerprofilattribute und zugewiesene Methoden: Zusätzlich zu den dem Benutzer zugewiesenen Methoden werden die Benutzerinformationen berücksichtigt, die in seinem Profil unter „Verzeichnis > Benutzer & Gruppen“ gespeichert sind.
    3. Wählen Sie aus, ob Benutzer benachrichtigt werden sollen, wenn Änderungen an den MFA-Einstellungen vorgenommen werden sollen.
      • Keine Benachrichtigungen
      • Per E-Mail benachrichtigen
      • Per SMS benachrichtigen
      • Mit beliebiger verfügbarer Methode benachrichtigen
      • Mit allen verfügbaren Methoden benachrichtigen
    4. Geben Sie an, ob der Benutzer Änderungsbenachrichtigungen überschreiben kann.
      Benutzerüberschreibungen nicht zulassen
      Die für den Tenant festgelegten Optionen für die MFA-Änderungsbenachrichtigung müssen verwendet werden.
      Überschreiben durch Benutzer zulassen
      Die Benutzer können die Optionen für die MFA-Änderungsbenachrichtigung zum Anpassen ihrer Benutzererfahrung ändern.
      Erforderlich
      MFA-Änderungsbenachrichtigungen können vom Benutzer nicht inaktiviert werden. Der Benutzer muss über mindestens eine Methode für die MFA-Änderungsbenachrichtigung verfügen.
  3. Wählen Sie aus, ob Benutzer über mehrere MFAs für die Authentifizierung verfügen müssen.
    Hinweis: Die Anmeldungen müssen eindeutig sein. Wenn Sie beispielsweise dieselbe Telefonnummer für SMS und VOTP verwenden, ist dies nur eine Registrierung. Wenn Sie Ihre Mobiltelefonnummer für SMS und Ihre Büronummer für VOTP verwenden, sind dies zwei Registrierungen.
    1. Aktivieren Sie das Kontrollkästchen „Mindestanzahl an Registrierungen festlegen“, um festzulegen, wie viele Multi-Faktor-Registrierungen der Benutzer vorweisen muss.
      Die Mindestanzahl beträgt eins. Das Maximum liegt bei 25. Die Anforderung wird mit der Zeitmarke des aktuellen Datums versehen. Ab diesem Datum müssen Benutzer das Minimum an MFA-Registrierungen konfigurieren, wenn sie sich bei ihren Anwendungen anmelden.
      Hinweis: Verify Bei der Ermittlung der erforderlichen Mindestanzahl an Registrierungen werden externe MFA-Registrierungen, wie z. B. DUO oder andere unterstützte Anbieter, berücksichtigt.
    2. Optional: Sie können das Kontrollkästchen „Endbenutzern das Überspringen der Registrierung erlauben“ aktivieren, um für bestehende Benutzer eine Übergangsfrist festzulegen.
      Hinweis: Mit dieser Option können Benutzer Registrierungen nur dann überspringen, wenn sie bereits über eine oder mehrere Registrierungen für die Zwei-Faktor-Authentifizierung verfügen. Andernfalls müssen sie sich für mindestens eine Zwei-Faktor-Authentifizierung registrieren, um diese Option zu aktivieren.
      Während der Karenzzeit können sich Benutzer weiterhin ohne die erforderlichen MFA-Registrierungen an ihren Anwendungen anmelden. Nach Ablauf der Karenzzeit können Benutzer erst dann auf ihre Anwendungen zugreifen, wenn sie die MFA-Anforderung erfüllen. Die Karenzzeit basiert auf der Zeitmarke des Startdatums. Für neu registrierte Benutzer beginnt die Karenzzeit nach ihrer Registrierung.
    3. Wählen Sie mindestens einen Identitätsprovider aus, für den die MFA-Mindestvoraussetzung gilt.
      Sie können Ihre Änderungen erst speichern, wenn Sie mindestens einen Identitätsprovider ausgewählt haben. Wählen Sie das Kontrollkästchen Identitätsprovider aus, um die Anforderung auf alle Identitätsprovider anzuwenden.
  4. Wählen Sie die Authentifizierungsfaktoren aus, die Sie für Ihre Verify Benutzer aktivieren oder deaktivieren möchten.
    Hinweis:
    • Nach seiner Auswahl wird der Authentifizierungsfaktor für die Verwendung zur Laufzeit aktiviert und es werden die zugehörigen konfigurierbaren Einstellungen angezeigt.
    • Sie können mehrere Authentifizierungsfaktoren aktivieren. In diesem Fall werden Benutzer zur Auswahl ihrer bevorzugten Methode aufgefordert, bevor das Kennwort für einmaliges Anmelden übermittelt und validiert wird.
    Authentifizierungsfaktor Beschreibung
    Allgemeine Mehrfaktorauthentifizierungseinstellungen (MFA-Einstellungen)
    Wenn während einer MFA-Anforderung keine Faktoren vorhanden sind
    Wenn für den Zugriff auf eine Anwendung eine Zwei-Faktor-Authentifizierung erforderlich ist und keine Authentifizierungsfaktoren registriert sind, legen Sie fest, ob die Authentifizierung fehlschlägt oder ob Benutzer einen Authentifizierungsfaktor registrieren dürfen.
    Zweite Faktoren aus den folgenden Quellen zulassen
    Standardmäßig sind zweite Faktoren sowohl aus Benutzerprofilattributen als auch aus registrierten Methoden zulässig. Die E-Mail-Adresse und die Handynummer aus dem Benutzerprofil sowie alle hinterlegten Authentifizierungsmethoden können als zweite Authentifizierungsstufe verwendet werden. Wahlweise können Sie die zweiten Faktoren auch auf die Authentifizierungsmethoden beschränken, die in Verify registriert sind.
    Verhaltensbiometrie Erkennt Anomalien im Tastverhalten bei der herkömmlichen Benutzernamen- und Passwort authentication.Detects erkennt Anomalien im Tastverhalten bei der herkömmlichen Benutzernamen- und Passwortauthentifizierung.
    E-Mail - Kennwort für einmaliges Anmelden

    Das Kennwort wird generiert und an die registrierte E-Mail-Adresse des Benutzers gesendet.

    Diese Option ist standardmäßig aktiviert.

    Hinweis: Der Benutzer muss über eine registrierte E-Mail-Adresse verfügen. Andernfalls wird diese Option dem Benutzer selbst dann nicht angezeigt, wenn sie ausgewählt wird, da das Kennwort für einmaliges Anmelden nicht an den Benutzer übermittelt werden kann.
    SMS - Kennwort für einmaliges Anmelden

    Das Kennwort wird generiert und an die registrierte Mobiltelefonnummer des Benutzers gesendet.

    Diese Option ist standardmäßig aktiviert.

    Hinweis: Der Nutzer muss eine registrierte Handynummer haben. Andernfalls wird diese Option dem Benutzer selbst dann nicht angezeigt, wenn sie ausgewählt wird, da das Kennwort für einmaliges Anmelden nicht an den Benutzer übermittelt werden kann.
    Zeitbasiertes Kennwort für einmaliges Anmelden

    Das Kennwort wird unter Verwendung des Standardalgorithmus für zeitbasiertes Kennwort für einmaliges Anmelden generiert.

    Passwörter werden weder übermittelt noch gespeichert. Da sie in regelmäßigen Abständen generiert werden, wird ihre Übereinstimmung zwischen einem TOTP-Validierungsserver und einem Client überprüft.

    Zunächst muss der Benutzer ein Konto einrichten, indem er einen QR-Code scannt oder den entsprechenden Code in einer TOTP-App wie „ IBM Verify “ oder „ Google Authenticator“ eingibt.
    Hinweis: Der Nutzer muss über eine registrierte Handynummer verfügen und den Authenticator unter IBM Verify oder Google heruntergeladen und installiert haben.
    Kennwort für einmaliges Anmelden über Sprache

    Das Kennwort wird generiert und an die registrierte Telefonnummer des Benutzers gesendet. Die Telefonnummer kann entweder eine Mobiltelefonnummer oder eine Festnetznummer sein.
    IBM Verify-Authentifizierung Die Authentifizierung erfolgt über eine Laufzeitabfrage, die überprüft, ob der Benutzer physisch an dem Gerät anwesend ist. Sie kann auch eine gerätebasierte Authentifizierung per Fingerabdruck erfordern.
    Hinweis: Der Benutzer muss „ IBM Verify “ oder eine benutzerdefinierte mobile App herunterladen und installieren, die das „ IBM Verify “-Mobil-SDK verwendet. Der Benutzer muss außerdem über einen registrierten Authentifikator für mobile Geräte verfügen.
    QR-Code-Login-Konfiguration

    Eine Anwendung kann eine qrlogin-Verifizierungstransaktion einleiten; anschließend wird auf die Ausführung dieser Verifizierungsanforderung durch den Benutzer mithilfe von IBM Verify gewartet und dann der Laufzeitzugriff fortgesetzt. Siehe „QR-Login – passwortlose Authentifizierung “.
    Hinweis: Informationen zum Aktivieren der Authentifizierung mithilfe eines Passkeys finden Sie unter „ FIDO2 -Geräte verwalten “.
  5. Optional: Wenn Sie das Einmalpasswort per E-Mail oder SMS aktiviert haben, können Sie die folgenden Einstellungen vornehmen, um das Verhalten anzupassen:
    Tabelle 1. Einstellungen für Einmalpasswörter per E-Mail und SMS
    Information Beschreibung
    Ablauf (Sekunden) Gültigkeitsdauer des Kenncodes
    Länge

    Die Anzahl Zeichen, die in den Wert des Kennworts für einmaliges Anmelden eingeschlossen werden.

    Der Mindestwert beträgt 1.

    Der Höchstwert beträgt 20.

    Die Standardeinstellung ist 6.
    Kennwortzeichensatz

    Die Gruppe gültiger Zeichen, die in den Wert des Kennworts für einmaliges Anmelden eingeschlossen werden können. Es können alphabetische und numerische Zeichen verwendet werden.

    Der Standardwert lautet 0123456789.
    Wiederholungen Die Anzahl Authentifizierungsfehler, die zulässig sind, bevor das Kennwort abläuft und der Benutzer eine neue Authentifizierungstransaktion starten muss.
    Zulässige Domänen Geben Sie die E-Mail-Domänen an, an die die OTP-Kennwortnachricht gesendet werden kann. Sie können mehrere Domänen angeben. Sie können Regex-Muster verwenden, um weitere Domänen anzugeben.
    Verweigerte Domänen Geben Sie alle E-Mail-Domänen an, an die die OTP-Kennwortnachricht nicht gesendet werden darf. Sie können mehrere Domänen angeben. Sie können Regex-Muster verwenden, um weitere Domänen anzugeben.
  6. Optional: Wenn Sie das zeitbasierte Einmalpasswort aktiviert haben, können Sie die folgenden Einstellungen vornehmen, um dessen Verhalten zu steuern:
    Tabelle 2. Einstellungen für zeitgesteuerte Einmalpasswörter
    Einstellungen Beschreibung
    Hashalgorithmus

    Der Algorithmus, mit dem das zeitbasierte Kennwort für einmaliges Anmelden generiert wird. Der TOTP-Algorithmus verwendet HMAC (Hash-Based Message Authentication Code) in Kombination mit einer SHA-Hashfunktion:

    Treffen Sie eine Auswahl aus den folgenden Optionen:
    • HMAC-SHA-1
    • HMAC-SHA-256
    • HMAC-SHA-512

    HMAC-SHA-1 ist der Standardhashalgorithmus.
    Generierungsintervall (Sekunden)

    Die maximale Anzahl Sekunden, die das OTP gültig ist, bevor das nächste TOTP generiert wird. Nach diesem Zeitraum wird durch den TOTP-Generator und die Servervalidierung ein neues TOTP generiert.

    Der Standardwert lautet 30.

    Hinweis: Änderungen am Zeitraum wirken sich nur auf die Anmeldungen aus, die nach der Änderung erfolgen. Vorhandene Registrierungen verwenden weiterhin den vorherigen Wert. Um den neuen Wert zu verwenden, müssen vorhandene Registrierungen gelöscht und erneut erstellt werden.
    Abweichungsintervalle

    Das Abweichungsintervall ist die ± Anzahl der Intervalle ab der Zeitmarke der Clienteinheit, für die der Server das generierte Kennwort für einmaliges Anmelden (OTP) akzeptiert.

    0Beispiel: Anhand der folgenden Tabelle, in der die OTP-Werte für Intervalle von sieben Generationen aufgeführt sind, betrachten Sie eine OTP-Überprüfung, bei der die aktuelle Uhrzeit auf dem Server dem Intervall entspricht. Wenn Abweichungsintervalle auf 2 gesetzt wird, kann die OTP-Validierung erfolgreich ausgeführt werden, wenn der Benutzer einen der OTP-Werte der Intervalle 0 bis 2 angibt.
    Intervall Zeitmarke OTP
    3 09:00:10 876 123
    2 09:00:40 543 456
    1 09:01:10 210 789
    0 09:01:40 987 012
    1 09:02:10 654 345
    2 09:02:40 321 678
    3 09:03:10 761901

    Der Standardwert ist 1 und der zulässige Mindestwert ist 0.
    Ziffern

    Die Anzahl Zeichen, die in den Wert des Kennworts für einmaliges Anmelden eingeschlossen werden.

    Der Mindestwert beträgt 6.

    Der Höchstwert beträgt 12.
    URL für geheimen Schlüssel

    Die URL, die den geheimen Schlüssel übermittelt und den QR-Code generiert.

    Das URL-Format kann Informationen umfassen, die speziell für Ihre Umgebung gelten, wie beispielsweise den Namen Ihrer Firma.

    Die Standard-URL lautet wie folgt: otpauth://totp/IBM%20Security%20Verify:@USER_NAME@?secret=@SECRET_KEY@&issuer=IBM%20Security%20Verify&algorithm=@ALGORITHM@&digits=@DIGITS@&period=@PERIOD@

    httpsHinweis: Die Datei „ URL “ darf weder noch enthalten http . Sie muss immer mit otpauth://totp/ beginnen.
    Einmalige Verwendung

    Gibt an, ob das Kennwort für einmaliges Anmelden für die Wiederverwendung zwischengespeichert werden soll, wenn es für die erfolgreiche Anmeldung bei einer Zielressource verwendet wird.

    Falls aktiviert, kann ein gültiger TOTP-Wert maximal einmal auf dem Validierungsserver verwendet werden. Falls nicht aktiviert, kann ein gültiger TOTP-Wert während seines Gültigkeitszeitraums mehr als einmal validiert werden.

    Diese Option ist standardmäßig ausgewählt. Falls ausgewählt, können Benutzer das zwischengespeicherte Kennwort nicht wiederverwenden.
    Anmeldungen pro Benutzer

    Die maximale Anzahl an Anmeldungen, die ein bestimmter Benutzer vornehmen kann.

    Der Mindestwert beträgt 1.

    Der Höchstwert beträgt 5.
  7. Optional: Wenn Sie das sprachgesteuerte Einmalpasswort aktiviert haben, können Sie die folgenden Einstellungen vornehmen, um dessen Verhalten zu steuern:
    Tabelle 3. Einstellungen für das einmalige Sprachpasswort
    Information Beschreibung
    Ablauf (Sekunden) Gültigkeitsdauer des Kenncodes
    Länge Angabe, wie viele Zeichen im Kenncode enthalten sind. Die Länge muss mindestens 1 Zeichen betragen.
    Zeichensatz Angabe, welche Zeichen im Kenncode verwendet werden können. Es können alphabetische und numerische Zeichen verwendet werden.
    Wiederholungen Die Anzahl Authentifizierungsfehler, die zulässig sind, bevor das Kennwort abläuft und der Benutzer eine neue Authentifizierungstransaktion starten muss.
  8. Optional: Wenn Sie die „ IBM Verify “-Authentifizierung aktiviert haben, können Sie die folgenden Einstellungen konfigurieren, um deren Verhalten zu steuern:
    Tabelle 4. IBM Verify Authentifizierungseinstellungen
    Information Beschreibung
    Korrelationscode
    Hinweis:
    • Mindestens eine der Verify Authentifizierungsmethoden muss aktiviert sein, um einen Korrelationscode verwenden zu können.
    • Falls Sie Ihre OTP-Seiten angepasst haben, müssen diese mit der neuen Logik für den Korrelationscode aktualisiert werden.
    Diese Option ermöglicht die Verwendung eines Korrelationscodes zusätzlich zu einer der Authentifizierungsmethoden. Die Laufzeitabfrage fordert den Benutzer auf, den auf dem Bildschirm angezeigten Bestätigungscode in dieIBM Verify App einzugeben, bevor diese die Verifizierung genehmigt oder ablehnt.
    IBM Verify Authentifizierungsmethoden Die Authentifizierungsmethoden werden von IBM Verify oder von einer benutzerdefinierten mobilen App unterstützt, die das mobile SDK von IBM Verify nutzt. Sie bieten eine einfache, bandunabhängige Überprüfung, ob ein Benutzer anwesend ist und über einen registrierten mobilen Authentifikator verfügt. Die Registrierung erfolgt durch den Austausch eines öffentlichen Schlüssels, der auf dem mobilen Authentifikator generiert und dort Verify„registriert“ wird. Eine bestätigte Verifizierung liegt vor,Verify wenn der mobile Authentifikator die Daten der Verifizierungstransaktion mit dem privaten Schlüssel signiert, der auf dem Mobilgerät gespeichert ist und dem registrierten öffentlichen Schlüssel zugeordnet ist. Bei jeder Authentifizierungsmethode können unterstützte und bevorzugte Algorithmen ausgewählt werden.
    Unterstützte Algorithmen
    Die Verschlüsselungsalgorithmen, die während der Registrierung und der Laufzeitverifizierungstransaktionen und -abfragen verwendet werden können. Diese Einstellungen werden während des Registrierungsprozesses an Authentifikatoren für mobile Geräte übertragen.
    Bevorzugter Algorithmus
    Der Verschlüsselungsalgorithmus, der für Schlüsselgenerierungsregistrierungen bevorzugt verwendet werden soll.

    Die folgenden Authentifizierungsmethoden werden unterstützt:

    Benutzeranwesenheit
    Bei der Laufzeitprüfung muss der Benutzer die Überprüfung durch Auswahl einer Option in der Benutzeroberfläche bestätigen oder ablehnen.
    Gesicht
    Der Benutzer muss eine gerätebasierte Gesichtsauthentifizierung durchführen. Der private Schlüssel wird vom Authentifikator für mobile Geräte in der Geräteschlüsselkette gespeichert und durch die gerätebasierte Authentifizierung per Gesicht geschützt.
    Fingerabdruck
    Der Benutzer muss eine gerätebasierte Fingerabdruck-Authentifizierung durchführen. Der private Schlüssel wird vom Authentifikator für mobile Geräte in der Geräteschlüsselkette gespeichert und durch die gerätebasierte Authentifizierung per Fingerabdruck geschützt.
  9. Optional: Wenn Sie die Konfiguration für die Anmeldung per QR-Code aktiviert haben, können Sie die folgenden Einstellungen vornehmen, um das Verhalten dieser Funktion zu steuern:
    Tabelle 5. Einstellungen für die Anmeldung per QR-Code
    Information Beschreibung
    Ablauf Die Anzahl der Sekunden, innerhalb derer der Benutzer den QR-Code scannen muss, bevor dieser für den Abschluss des Authentifizierungsvorgangs seine Gültigkeit verliert.
    Anmeldesitzungsindex
    Anzahl Zeichen
    Gibt die minimale Anzahl Zeichen an, die verwendet werden müssen.
    Zeichensatz
    Definiert den Satz alphabetischer und numerischer Zeichen, der verwendet werden kann.
    Gerätesitzungsindex
    Anzahl Zeichen
    Gibt die minimale Anzahl Zeichen an, die verwendet werden müssen.
    Zeichensatz
    Definiert den Satz alphabetischer und numerischer Zeichen, der verwendet werden kann.
  10. Wählen Sie „Speichern “.

Nächste Schritte

Konfigurieren Sie Zugriffsrichtlinien, um festzulegen, wann die Verwendung eines zweiten Faktors für die Authentifizierung durchgesetzt werden soll. Siehe „Portalzugriff verwalten “.