DUO Security als externen MFA-Provider konfigurieren

Online bearbeiten

IBM® Verify unterstützt DUO als externen MFA-Provider. Sie können Verify für SSO und andere Funktionen in Kombination mit der DUO-Mehrfachauthentifzierung verwenden, ohne dass die Benutzer einen ISV-spezifischen MFA-Registrierungsprozess durchlaufen müssen. Benutzer, die den DUO-Authentifikator für mobile Geräte bereits verwenden, können ihn weiterhin für die MFA verwenden, während sie SSO für Anwendungen über Verify ausführen.

Vorbereitende Schritte

Die folgenden Bedingungen müssen erfüllt sein:
  • Sie verfügen über Administratorzugriff auf den DUO-Tenant.
  • Sie verfügen über Administratorzugriff auf den ISV-Tenant.
  • Beim DUO Mobile-Authentifikator registrierte Benutzer
  • Zuordnung von IBM Verify-Benutzeraccounts zu Duo-Accounts

Benutzer, die durch DUO-Faktoren zur Mehrfaktorauthentifizierung (MFA) aufgefordert werden, müssen über ein reguläres oder föderiertes Konto in ISV verfügen. Bei den Benutzern kann es sich um federated-Konten oder reguläre Cloud Directory-Benutzer handeln. Benutzerkonten können in ISV mithilfe von Tools und Funktionen wie den folgenden erstellt und verwaltet werden:

  • ISV-Benutzerschnittstelle und -API
  • Just-in-time-Bereitstellung während der föderierter SSO-Anmeldungen oder lokaler Anmeldungen mit Authentifizierungsbridge
  • Verzeichnissynchronisation

Unabhängig von der Benutzerverwaltung muss berücksichtigt werden, wie die Attribute der ISV-Benutzerkonten zu einem eindeutigen DUO-Benutzernamen zugeordnet werden. Die Directory Attributes-Funktionen in ISV werden von der DUO-Integration zu diesem Zweck unterstützt. Eine Lösung könnte beispielsweise sein, dass das email-Verzeichnisattribut des ISV-Benutzers einem DUO-Benutzernamen zugeordnet ist. Wenn dies eine Lösung ist, muss für jedes Benutzerkonto in ISV ein Wert für email festgelegt sein, wenn das Konto erstellt wird.

Informationen zu dieser Task

Die DUO-MFA-Integration unterstützt nur die MFA-Anforderung und -Verifizierung für die Laufzeit. Von der Integration wird nicht die Registrierung von Benutzern mit dem DUO-MFA-Authentifikator unterstützt oder vereinfacht. Benutzer müssen ihren DUO-Authentifikator über die von DUO bereitgestellten Schnittstellen und Interaktionen registrieren. Von der Verify-Integration mit DUO wird auf die vorhandenen DUO-Registrierungen eines Benutzers verwiesen, um die MFA-Anforderung und -Verifizierung zur Laufzeit bereitzustellen.

Die folgenden DUO-MFA-Faktoren werden von dieser Integration unterstützt.
  • Duo-Push-Operation
  • Duo Mobile-Kenncodes
  • SMS-Kenncodes
Die anderen DUO-Faktoren werden nicht unterstützt.

Die Integration basiert auf https://duo.com/docs/authapi.

Vorgehensweise

  1. Konfigurieren Sie einen Duo Security-Tenant. Siehe „Konfigurieren eines DUO-Mandanten “.
  2. Einen IBM Verify Mandanten konfigurieren. Siehe „Konfigurieren des Mandanten unter IBM Verify “.