Integration der externen Mehrfaktorauthentifizierung

Online bearbeiten

Verwenden Sie die folgenden Informationen und Anleitungen, um die IBM® Verify-Webhooks-Funktion für die Integration der externen Mehrfaktorauthentifizierung (MFA) anzupassen.

Übersicht über externe MFA

IBM Verify unterstützt und stellt ein Integrationsframework bereit, um die Integration mit anderen externen MFA-Providern zu ermöglichen. Das folgende Diagramm zeigt die Hauptkomponenten eines externen End-to-End-MFA-Integrationsablaufs.

Das Bild zeigt den Ablauf von der Anwendung im Browser zum externen MFA-Anbieter.

Die Benutzererfahrung mit der externen MFA-Laufzeitabfrage kann mit den Verify-MFA-Features und anderen externen MFA-Providern integriert werden. Die Laufzeiterfahrung kann durch die Funktionalität der föderierten Single-Sign-on- und Zugriffsrichtlinie von Verify gesteuert werden, die Vorlagenseitenanpassungen umfasst. Darüber hinaus können externe MFA-Herausforderungen durch neue Verify-MFA-APIs gesteuert und gestartet werden.

Aktivieren Sie einen externen MFA-Provider in ISV, indem Sie die folgenden beiden Konfigurationsobjekte konfigurieren:
MFA-Provider
Stellt den Verify öffentlichen Zugriff und die Laufzeitumgebung für den externen MFA-Anbieter bereit und muss einer Echtzeit-Webhook-Konfigurationsinstanz zugeordnet sein.
Echtzeit-Webhook
Stellt den internen Verify-Komponenten Zugriff auf den Ziel-MFA-Provider über das öffentliche Internet bereit. Der Webhook stellt HTTPS-Clientkonnektivität zum externen MFA-Provider bereit. Die Konfiguration behandelt die folgenden Aspekte:
  • Die öffentliche Internetadresse, über die der Provider kontaktiert werden kann.
  • Sichere Authentifizierung und Verbindung zu externen Provider-Web-APIs.
  • Umsetzung und Zuordnung von Anforderungen und Antworten.
  • Eine Gruppe von API-Ressourcen, die die internen Verify-Laufzeitkomponenten starten können.

Viele externe MFA-Integrationen können mithilfe der Konfigurations- und Datentransformationsfunktionen erreicht werden, die von diesen beiden Komponenten bereitgestellt werden. Einige Integrationen und externe Provider können diese Methode möglicherweise nicht verwenden. Es kann erforderlich sein, die API des externen Providers mit der Implementierung, Bereitstellung und Unterstützung einer "Mediatorkomponente" zwischen den Verify-Webhooks und dem externen MFA-Zielprovider anzupassen. Der Mediator wird in einer von Verify und möglicherweise vom Ziel-MFA-Provider getrennten Infrastruktur ausgeführt. Die Diskussion und Beschreibung solcher Mediatoren liegt außerhalb des Geltungsbereichs dieses Dokuments, außer der Diskussion des API-Vertrags, der implementiert werden muss, um Verify die Integration mit einem externen Provider als Client des Providers zu ermöglichen.

Muster für MFA-Integration

Das MFA-Framework und die Laufzeit in Verify basieren auf den Konzepten und der Fähigkeit zur Unterstützung von Integrationsmustern. Die MFA-Muster enthalten die folgenden Funktionen:
MFA-Registrierungen suchen
Wenn ein Benutzer zur MFA aufgefordert wird, kann Verify dem Benutzer eine Auswahl seiner bekannten, registrierten oder verfügbaren MFA-Faktoren anbieten. Verify führt eine Suche nach den MFA-Funktionen und -Faktoren des authentifizierten Benutzers von einem externen MFA-Provider aus.
Nur prüfen
Dieses MFA-Muster ist in der Regel ein TOTP. Der Benutzer verfügt bereits über die zu validierenden Werte oder Tokens und übergibt diese an den Validierungskanal, bei dem es sich in der Regel um den aktuellen authentifizierten Kanal des Benutzers handelt, beispielsweise einen Browser. Für dieses MFA-Muster erfolgt zur Laufzeit keine separate "Tokenbereitstellung".
Initiieren (oder bereitstellen) + Validieren
Dieses MFA-Muster wird häufig mit Faktoren wie SMS und E-Mail-OTP verwendet. Es handelt sich um eine zweistufige Interaktion:
  1. Leitet die Übermittlung eines kurzlebigen geheimen Werts oder eines anderen Tokens an den Benutzer über einen Zustellungskanal ein, der sich im ausschließlichen Besitz oder Eigentum des Benutzers befindet. Der Schritt wird vom Kanal ausgeführt, in der Regel von den derzeit authentifizierten Benutzern (z. B. einem Browser), der auch den geheimen Schlüssel nach seiner Zustellung validiert.
  2. Prüft, ob der Benutzer im vorherigen Schritt den richtigen Wert für den geheimen Schlüssel erhalten hat. Normalerweise wird eine Dateneingabeaufforderung angezeigt, damit der Benutzer den empfangenen Wert eingeben kann. Die Validierung wird normalerweise im derzeit authentifizierten Kanal der Benutzer durchgeführt.
Initiieren (oder übergeben) + Warten auf Ergebnis
Dieses Muster ist typisch für Mobile-Push-Authentifikatoren. Aus der Perspektive des Relying Channel ist dies eine zweistufige Interaktion.
  1. Der derzeit authentifizierte primäre Kanal leitet die Zustellung einer mobilen Push-Operation oder einer anderen Benachrichtigung an die registrierten Benutzer des mobilen Geräts ein.
  2. Der primäre Kanal wartet dann, normalerweise durch Abfrage, auf einen Beendigungsstatus von einem zweiten Kanal. Die MFA-Validierung wird normalerweise in einem separaten Kanal (dem Kanal des mobilen Geräts) ausgeführt und abgeschlossen.

Wenn Sie neue externe MFA-Integrationen entwerfen und entwickeln, halten Sie sich an diese Integrationsmuster. Fast alle Integrationen müssen MFA-Registrierungen suchen und mindestens eines der anderen drei Muster unterstützen. Diese Muster bilden die Basis des Vertrags für die externe Verify-MFA-API. Siehe den externen MFA-Integrations-API-Vertrag unter IBM Verify.