Authentifizierungsfaktoren konfigurieren

Verify unterstützt die Zwei-Faktor-Authentifizierung. Dabei handelt es sich um eine Art von Mehrfaktorauthentifizierung, die die Verwendung eines zweiten Faktors umfasst; bei dem zweiten Faktor handelt es sich normalerweise um einen vom System generierten Code, den der Benutzer als Nachweis seiner Identität angeben muss. Erzwingen Sie die Verwendung eines zweiten Authentifizierungsfaktors für mehr Sicherheitskontrolle für Benutzer, wenn sie sich bei einer Anwendung anmelden, die entwickelt und in Verifyintegriert ist. Wählen Sie den zweiten Authentifizierungsfaktor aus, mit dem Benutzer zur Authentifizierung aufgefordert werden sollen.

Vorbereitende Schritte

  • Sehen Sie sich ein Video zur Multifaktor-Authentifizierung auf Verify in der IBM Security Learning Academy an.
  • Zur Ausführung dieser Task müssen Sie über Verwaltungsberechtigung verfügen.
  • Melden Sie sich an der IBM® Verify -Administrationskonsole als Administrator an.

Informationen zu dieser Task

Der erste Authentifizierungsfaktor ist normalerweise der Benutzername und das Kennwort, ein QR-Code oder ein Passkey.
Hinweis: Für Benutzer wird der Begriff "Passkey" anstelle des FIDO-Geräts verwendet, um eine benutzerfreundlichere Funktionalität bereitzustellen.
Der zweite Authentifizierungsfaktor ist etwas, über das der Benutzer verfügt, in der Regel ein automatisch generierter numerischer oder alphanumerischer Code, der an den Benutzer gesendet wird. Verify verwendet die App IBM Verify , die Authenticator App, passkeyund das Kennwort für einmaliges Anmelden (OTP) als zweiten Faktor für die Authentifizierung. Das OTP kann über E-Mail, SMS oder Sprache übermittelt werden oder es kann sich um ein zeitbasiertes OTP handeln, das ohne Übermittlungsmechanismus validiert wird.

Ein OTP ist für eine bestimmte Dauer gültig. Es wird nach einer erfolgreichen Benutzeranmeldung oder nach seinem Ablauf ungültig.

Hinweis: Aufgrund der neuen Beschränkungen in den chinesischen Telekommunikationsvorschriften kann ' IBM Verify nicht dazu beitragen, dass SMS- und Sprachnachrichten zuverlässig nach China zugestellt werden. Aufgrund dieser Einschränkungen unterstützt Verify derzeit keine Sprach-und SMS-Nachrichten, die an China gesendet werden. Eine Liste der Länder, die Verify für SMS- und Sprachnachrichten unterstützt, finden Sie unter Unterstützte Länder für SMS und Sprache.

Vorgehensweise

  1. Wählen Sie Authentifizierung > Authentifizierungsfaktoren.
  2. Legen Sie die allgemeinen Mehrfaktorauthentifizierungseinstellungen fest.
    1. Wählen Sie die Aktion aus, wenn für den Benutzer keine Authentifizierungsfaktoren vorhanden sind.
      • Verweigern Sie die Authentifizierung.
      • Geben Sie dem Benutzer die Möglichkeit, einen Faktor zu registrieren.
    2. Wählen Sie die zulässige Quelle für den Authentifizierungsfaktor aus.
      • Vom Benutzer registrierte Methoden: Die Verifizierungsmethoden, die der Benutzer im User Launchpad > Profil & Einstellungen > Sicherheit ausgewählt hat.
      • Benutzerprofilattribute und registrierte Methoden: Zusätzlich zu den vom Benutzer registrierten Methoden werden die Benutzerinformationen berücksichtigt, die in ihrem Profil unter Verzeichnis > Benutzer & Gruppen gespeichert sind.
    3. Wählen Sie aus, ob Benutzer benachrichtigt werden sollen, wenn Änderungen an den MFA-Einstellungen vorgenommen werden sollen.
      • Keine Benachrichtigungen
      • Per E-Mail benachrichtigen
      • Per SMS benachrichtigen
      • Mit beliebiger verfügbarer Methode benachrichtigen
      • Mit allen verfügbaren Methoden benachrichtigen
    4. Geben Sie an, ob der Benutzer Änderungsbenachrichtigungen überschreiben kann.
      Benutzerüberschreibungen nicht zulassen
      Die für den Tenant festgelegten Optionen für die MFA-Änderungsbenachrichtigung müssen verwendet werden.
      Überschreiben durch Benutzer zulassen
      Die Benutzer können die Optionen für die MFA-Änderungsbenachrichtigung zum Anpassen ihrer Benutzererfahrung ändern.
      Erforderlich
      MFA-Änderungsbenachrichtigungen können vom Benutzer nicht inaktiviert werden. Der Benutzer muss über mindestens eine Methode für die MFA-Änderungsbenachrichtigung verfügen.
  3. Wählen Sie aus, ob Benutzer über mehrere MFAs für die Authentifizierung verfügen müssen.
    Hinweis: Registrierungen müssen eindeutig sein. Wenn Sie beispielsweise dieselbe Telefonnummer für SMS und VOTP verwenden, ist dies nur eine Registrierung. Wenn Sie Ihre Mobiltelefonnummer für SMS und Ihre Büronummer für VOTP verwenden, sind dies zwei Registrierungen.
    1. Wählen Sie das Kontrollkästchen Mindestanzahl der Registrierungen festlegen aus, um die Anzahl der Mehrfaktorregistrierungen festzulegen, über die der Benutzer verfügen muss.
      Die Mindestanforderung ist eine. Die Höchstzahl ist 25. Die Anforderung wird mit der Zeitmarke des aktuellen Datums versehen. Ab diesem Datum müssen Benutzer das Minimum an MFA-Registrierungen konfigurieren, wenn sie sich bei ihren Anwendungen anmelden.
      Hinweis: Verify berücksichtigt externe MFA-Anmeldungen, wie z. B. DUO oder andere unterstützte Anbieter, bei der Bewertung der erforderlichen Mindestanzahl an Anmeldungen.
    2. Optional: Sie können das Kontrollkästchen Zulassen, dass Endbenutzer Registrierungen überspringen auswählen, um eine Karenzzeit für vorhandene Benutzer festzulegen.
      Hinweis: Mit dieser Option können Benutzer die Registrierung nur dann überspringen, wenn sie bereits eine oder mehrere Registrierungen zur Durchführung der Zwei-Faktor-Authentifizierung haben. Andernfalls müssen sie sich für mindestens eine Anmeldung mit dem zweiten Faktor anmelden, um diese Option zu aktivieren.
      Während der Karenzzeit können sich Benutzer weiterhin ohne die erforderlichen MFA-Registrierungen an ihren Anwendungen anmelden. Nach Ablauf der Karenzzeit können Benutzer erst dann auf ihre Anwendungen zugreifen, wenn sie die MFA-Anforderung erfüllen. Die Karenzzeit basiert auf der Zeitmarke des Startdatums. Für neu registrierte Benutzer beginnt die Karenzzeit nach ihrer Registrierung.
    3. Wählen Sie mindestens einen Identitätsprovider aus, für den die MFA-Mindestvoraussetzung gilt.
      Sie können Ihre Änderungen erst speichern, wenn Sie mindestens einen Identitätsprovider ausgewählt haben. Wählen Sie das Kontrollkästchen Identitätsprovider aus, um die Anforderung auf alle Identitätsprovider anzuwenden.
  4. Wählen Sie die Authentifizierungsfaktoren aus, die Sie für Ihre Verify -Benutzer aktivieren oder inaktivieren möchten.
    Hinweis:
    • Nach seiner Auswahl wird der Authentifizierungsfaktor für die Verwendung zur Laufzeit aktiviert und es werden die zugehörigen konfigurierbaren Einstellungen angezeigt.
    • Sie können mehrere Authentifizierungsfaktoren aktivieren. In diesem Fall werden Benutzer zur Auswahl ihrer bevorzugten Methode aufgefordert, bevor das Kennwort für einmaliges Anmelden übermittelt und validiert wird.
    Authentifizierungsfaktor Beschreibung
    Allgemeine Mehrfaktorauthentifizierungseinstellungen (MFA-Einstellungen)
    Wenn während einer MFA-Anforderung keine Faktoren vorhanden sind
    Wenn der Zugriff auf eine Anwendung eine Zwei-Faktor-Authentifizierung erfordert und keine Faktoren registriert sind, wählen Sie aus, ob die Authentifizierung fehlschlägt oder ob die Benutzer einen Authentifizierungsfaktor registrieren dürfen.
    Zweite Faktoren aus den folgenden Quellen zulassen
    Standardmäßig sind zweite Faktoren sowohl aus Benutzerprofilattributen als auch aus registrierten Methoden zulässig. Die E-Mail und die Handynummer aus dem Benutzerprofil sowie alle registrierten Authentifizierungsmethoden können als zweiter Faktor für die Authentifizierung verwendet werden. Wahlweise können Sie die zweiten Faktoren auch auf die Authentifizierungsmethoden beschränken, die in Verify registriert sind.
    Verhaltensbiometrie Erkennt Verhaltenstypanomalien bei der traditionellen Authentifizierung mit Benutzername und Kennwort.
    E-Mail - Kennwort für einmaliges Anmelden

    Das Kennwort wird generiert und an die registrierte E-Mail-Adresse des Benutzers gesendet.

    Diese Option ist standardmäßig aktiviert.

    Hinweis Der Benutzer muss über eine registrierte E-Mail-Adresse verfügen. Andernfalls wird diese Option dem Benutzer selbst dann nicht angezeigt, wenn sie ausgewählt wird, da das Kennwort für einmaliges Anmelden nicht an den Benutzer übermittelt werden kann.
    SMS - Kennwort für einmaliges Anmelden

    Das Kennwort wird generiert und an die registrierte Mobiltelefonnummer des Benutzers gesendet.

    Diese Option ist standardmäßig aktiviert.

    Hinweis Der Benutzer muss über eine registrierte Mobiltelefonnummer verfügen. Andernfalls wird diese Option dem Benutzer selbst dann nicht angezeigt, wenn sie ausgewählt wird, da das Kennwort für einmaliges Anmelden nicht an den Benutzer übermittelt werden kann.
    Zeitbasiertes Kennwort für einmaliges Anmelden

    Das Kennwort wird unter Verwendung des Standardalgorithmus für zeitbasiertes Kennwort für einmaliges Anmelden generiert.

    Passwörter werden nicht übermittelt oder gespeichert. Sie werden als Übereinstimmung zwischen einem TOTP-Validierungsserver und einem Client überprüft, da sie in regelmäßigen Abständen generiert werden.

    Zunächst muss der Nutzer ein Konto registrieren, indem er ein QR-Code-Bild scannt oder das entsprechende Geheimnis in einer mobilen TOTP-Anwendung wie IBM Verify oder Google Authenticator eingibt.
    Hinweis: Der Benutzer muss über eine registrierte Mobiltelefonnummer verfügen und IBM Verify oder Google Authenticator heruntergeladen und installiert haben.
    Kennwort für einmaliges Anmelden über Sprache

    Das Kennwort wird generiert und an die registrierte Telefonnummer des Benutzers gesendet. Die Telefonnummer kann entweder eine Mobiltelefonnummer oder eine Festnetznummer sein.
    IBM Verify-Authentifizierung Die Authentifizierung erfolgt über eine Laufzeitabfrage, die überprüft, ob der Benutzer physisch an dem Gerät anwesend ist. Sie kann auch eine gerätebasierte Authentifizierung per Fingerabdruck erfordern.
    Hinweis: Der Benutzer muss IBM Verify oder eine benutzerdefinierte mobile Anwendung, die das IBM Verify mobile SDK verwendet, herunterladen und installieren. Der Benutzer muss außerdem über einen registrierten Authentifikator für mobile Geräte verfügen.
    QR-Code-Login-Konfiguration

    Eine Anwendung kann eine qrlogin-Verifizierungstransaktion einleiten; anschließend wird auf die Ausführung dieser Verifizierungsanforderung durch den Benutzer mithilfe von IBM Verify gewartet und dann der Laufzeitzugriff fortgesetzt. Siehe QR-Login-Authentifizierung ohne Passwort.
    Hinweis: Wie Sie die Authentifizierung mit einem Hauptschlüssel aktivieren können, erfahren Sie unter Verwalten von FIDO2 Geräten.
  5. Optional: Wenn Sie Kennwort für einmaliges Anmelden über E-Mail oder Kennwort für einmaliges Anmelden über SMSaktiviert haben, können Sie die folgenden Einstellungen konfigurieren, um das Verhalten zu steuern:
    Tabelle 1. Einstellungen für Kennwort für einmaliges Anmelden über E-Mail oder SMS
    Information Beschreibung
    Ablauf (Sekunden) Gültigkeitsdauer des Kenncodes
    Länge

    Die Anzahl Zeichen, die in den Wert des Kennworts für einmaliges Anmelden eingeschlossen werden.

    Der Mindestwert ist 1.

    Der Maximalwert ist 20.

    Der Standardwert ist 6.
    Kennwortzeichensatz

    Die Gruppe gültiger Zeichen, die in den Wert des Kennworts für einmaliges Anmelden eingeschlossen werden können. Es können alphabetische und numerische Zeichen verwendet werden.

    Der Standardwert ist 0123456789.
    Wiederholungen Die Anzahl Authentifizierungsfehler, die zulässig sind, bevor das Kennwort abläuft und der Benutzer eine neue Authentifizierungstransaktion starten muss.
    Zulässige Domänen Geben Sie die E-Mail-Domänen an, an die die OTP-Kennwortnachricht gesendet werden kann. Sie können mehrere Domänen angeben. Sie können Regex-Muster verwenden, um weitere Domänen anzugeben.
    Verweigerte Domänen Geben Sie alle E-Mail-Domänen an, an die die OTP-Kennwortnachricht nicht gesendet werden darf. Sie können mehrere Domänen angeben. Sie können Regex-Muster verwenden, um weitere Domänen anzugeben.
  6. Optional: Wenn Sie Zeitbasiertes Kennwort für einmaliges Anmeldenaktiviert haben, dann können Sie die folgenden Einstellungen konfigurieren, um sein Verhalten zu steuern:
    Tabelle 2. Einstellungen für zeitbasiertes Kennwort für einmaliges Anmelden
    Einstellungen Beschreibung
    Hashalgorithmus

    Der Algorithmus, mit dem das zeitbasierte Kennwort für einmaliges Anmelden generiert wird. Der TOTP-Algorithmus verwendet HMAC (Hash-Based Message Authentication Code) in Kombination mit einer SHA-Hashfunktion:

    Treffen Sie eine Auswahl aus den folgenden Optionen:
    • HMAC-SHA-1
    • HMAC-SHA-256
    • HMAC-SHA-512

    HMAC-SHA-1 ist der Standardhashalgorithmus.
    Generierungsintervall (Sekunden)

    Die maximale Anzahl Sekunden, die das OTP gültig ist, bevor das nächste TOTP generiert wird. Nach diesem Zeitraum wird durch den TOTP-Generator und die Servervalidierung ein neues TOTP generiert.

    Der Standardwert ist 30.

    Hinweis: Änderungen am Intervall wirken sich nur auf die Registrierungen aus, die nach der Änderung auftreten. Vorhandene Registrierungen verwenden weiterhin den vorherigen Wert. Um den neuen Wert zu verwenden, müssen vorhandene Registrierungen gelöscht und erneut erstellt werden.
    Abweichungsintervalle

    Das Abweichungsintervall ist die ± Anzahl der Intervalle ab der Zeitmarke der Clienteinheit, für die der Server das generierte Kennwort für einmaliges Anmelden (OTP) akzeptiert.

    Ein Beispiel: Betrachten Sie anhand der folgenden Tabelle, in der die OTP-Werte für Intervalle der siebten Generation aufgeführt sind, eine OTP-Verifizierung, bei der die aktuelle Zeit auf dem Server dem Intervall " 0 entspricht. Wenn Abweichungsintervalle auf 2 gesetzt wird, kann die OTP-Validierung erfolgreich ausgeführt werden, wenn der Benutzer einen der OTP-Werte der Intervalle 0 bis 2 angibt.
    Intervall Zeitmarke OTP
    3 09:00:10 876 123
    2 09:00:40 543 456
    1 09:01:10 210 789
    0 09:01:40 987 012
    1 09:02:10 654 345
    2 09:02:40 321 678
    3 09:03:10 761901

    Der Standardwert ist 1 und der zulässige Mindestwert ist 0.
    Ziffern

    Die Anzahl Zeichen, die in den Wert des Kennworts für einmaliges Anmelden eingeschlossen werden.

    Der Mindestwert ist 6.

    Der Maximalwert ist 12.
    URL für geheimen Schlüssel

    Die URL, die den geheimen Schlüssel übermittelt und den QR-Code generiert.

    Das URL-Format kann Informationen umfassen, die speziell für Ihre Umgebung gelten, wie beispielsweise den Namen Ihrer Firma.

    Die Standard-URL lautet wie folgt: otpauth://totp/IBM%20Security%20Verify:@USER_NAME@?secret=@SECRET_KEY@&issuer=IBM%20Security%20Verify&algorithm=@ALGORITHM@&digits=@DIGITS@&period=@PERIOD@

    Hinweis : URL darf NICHT http oder https enthalten. Sie muss immer mit otpauth://totp/ beginnen.
    Einmalige Verwendung

    Gibt an, ob das Kennwort für einmaliges Anmelden für die Wiederverwendung zwischengespeichert werden soll, wenn es für die erfolgreiche Anmeldung bei einer Zielressource verwendet wird.

    Falls aktiviert, kann ein gültiger TOTP-Wert maximal einmal auf dem Validierungsserver verwendet werden. Falls nicht aktiviert, kann ein gültiger TOTP-Wert während seines Gültigkeitszeitraums mehr als einmal validiert werden.

    Diese Option ist standardmäßig ausgewählt. Falls ausgewählt, können Benutzer das zwischengespeicherte Kennwort nicht wiederverwenden.
    Registrierungen pro Benutzer

    Die maximale Anzahl von Registrierungen, die ein bestimmter Benutzer registrieren kann.

    Der Mindestwert ist 1.

    Der Maximalwert ist 5.
  7. Optional: Wenn Sie Sprachkennwort für einmaliges Anmeldenaktiviert haben, können Sie die folgenden Einstellungen konfigurieren, um das Verhalten des Kennworts zu steuern:
    Tabelle 3. Einstellungen für das Kennwort für einmaliges Anmelden über Sprache
    Information Beschreibung
    Ablauf (Sekunden) Gültigkeitsdauer des Kenncodes
    Länge Angabe, wie viele Zeichen im Kenncode enthalten sind. Die Länge muss mindestens 1 Zeichen betragen.
    Zeichensatz Angabe, welche Zeichen im Kenncode verwendet werden können. Es können alphabetische und numerische Zeichen verwendet werden.
    Wiederholungen Die Anzahl Authentifizierungsfehler, die zulässig sind, bevor das Kennwort abläuft und der Benutzer eine neue Authentifizierungstransaktion starten muss.
  8. Optional: Wenn Sie IBM Verify -Authentifizierungaktiviert haben, können Sie die folgenden Einstellungen konfigurieren, um das Verhalten zu steuern:
    Tabelle 4. IBM Verify-Authentifizierungseinstellungen
    Information Beschreibung
    Korrelationscode
    Hinweis:
    • Mindestens eine der Authentifizierungsmethoden Verify muss aktiviert sein, um einen Korrelationscode zu verwenden.
    • Wenn Sie Ihre OTP-Seiten angepasst haben, müssen diese mit der neuen Korrelationscode-Logik aktualisiert werden.
    Diese Option ermöglicht die Verwendung eines Korrelationscodes zusätzlich zu einer der Authentifizierungsmethoden. Die Runtime Challenge fordert den Benutzer auf, den auf dem Bildschirm angezeigten Korrelationscode in die App IBM Verify einzugeben, bevor die Verifizierung genehmigt oder verweigert wird.
    IBM Verify authentifizierungsmethoden Die Authentifizierungsmethoden werden von IBM Verify oder einer benutzerdefinierten mobilen App unterstützt, die das mobile SDK IBM Verify verwendet. Sie bieten eine grundlegende, bandexterne Überprüfung, ob ein Benutzer anwesend ist und über einen registrierten mobilen Authentifikator verfügt. Die Registrierung wird durch den Austausch eines öffentlichen Schlüssels verkörpert, der im Authentifikator für mobile Geräte generiert und bei Verifyregistriert wird. Eine genehmigte Verifizierung wird für Verify angezeigt, wenn der Authentifikator für mobile Geräte Verifizierungstransaktionsdaten mit dem privaten Schlüssel signiert, der auf dem mobilen Gerät gespeichert und dem registrierten öffentlichen Schlüssel zugeordnet ist. Jede Authentifizierungsmethode ermöglicht die Auswahl unterstützter und bevorzugter Algorithmen.
    Unterstützte Algorithmen
    Die Verschlüsselungsalgorithmen, die während der Registrierung und der Laufzeitverifizierungstransaktionen und -abfragen verwendet werden können. Diese Einstellungen werden während des Registrierungsprozesses an Authentifikatoren für mobile Geräte übertragen.
    Bevorzugter Algorithmus
    Der Verschlüsselungsalgorithmus, der für Schlüsselgenerierungsregistrierungen bevorzugt verwendet werden soll.

    Die unterstützten Authentifizierungsmethoden sind:

    Benutzeranwesenheit
    Die Laufzeit-Herausforderung erfordert, dass der Benutzer die Überprüfung durch Auswahl einer Eingabeaufforderung der Benutzeroberfläche genehmigt oder ablehnt.
    Gesicht
    Der Benutzer muss eine gerätebasierte Gesichtsauthentifizierung durchführen. Der private Schlüssel wird vom Authentifikator für mobile Geräte in der Geräteschlüsselkette gespeichert und durch die gerätebasierte Authentifizierung per Gesicht geschützt.
    Fingerabdruck
    Der Benutzer muss eine gerätebasierte Fingerabdruck-Authentifizierung durchführen. Der private Schlüssel wird vom Authentifikator für mobile Geräte in der Geräteschlüsselkette gespeichert und durch die gerätebasierte Authentifizierung per Fingerabdruck geschützt.
  9. Optional: Wenn Sie Konfiguration der QR-Code-Anmeldungaktiviert haben, können Sie die folgenden Einstellungen konfigurieren, um das Verhalten zu steuern:
    Tabelle 5. Einstellungen für QR-Code-Login-Konfiguration
    Information Beschreibung
    Ablauf Die Anzahl der Sekunden, die der Benutzer den QR-Code scannen muss, bevor er nicht mehr gültig ist, um den Authentifizierungsvorgang abzuschließen.
    Anmeldesitzungsindex
    Anzahl Zeichen
    Gibt die minimale Anzahl Zeichen an, die verwendet werden müssen.
    Zeichensatz
    Definiert den Satz alphabetischer und numerischer Zeichen, der verwendet werden kann.
    Gerätesitzungsindex
    Anzahl Zeichen
    Gibt die minimale Anzahl Zeichen an, die verwendet werden müssen.
    Zeichensatz
    Definiert den Satz alphabetischer und numerischer Zeichen, der verwendet werden kann.
  10. Wählen Sie Speichern.

Nächste Schritte

Konfigurieren Sie Zugriffsrichtlinien, um festzulegen, wann die Verwendung eines zweiten Faktors für die Authentifizierung durchgesetzt werden soll. Siehe Verwaltung des Portalzugangs.