Die PAM-Systemkonfigurationsdatei

Modulschnittstelle

Nur die Modulschnittstelle des Typs auth wird von diesem Modul des Typs pam_ibm_auth.so unterstützt.

Modulname

Der Modulname lautet pam_ibm_auth.so.

Modulargumente

auth sufficient pam_ibm_auth.so auth_method=choice-then-otp 

[otp-prompt=Enter OTP %C- ]

user_env= {name}

Fügen Sie eine PAM-Umgebungsvariable mit dem Inhalt " {name} = {user-json} " für nachgeschaltete PAM-Module hinzu. Der Wert von {user-json} ist eine Zeichenfolge, die die Benutzerinformationen von IBM Verify im JSON-Format enthält. Es dient in erster Linie dazu, die Entwickler von PAM-Modulen bei der Integration mit dem PAM-Modul IBM zu unterstützen.

prompt_choice_start= {prompt}

Die Zeichenfolge {prompt} wird unmittelbar vor der Liste der 2FA -Auswahlmöglichkeiten ausgegeben. Wenn {prompt} beispielsweise "Eine der folgenden Optionen auswählen: \n" enthält, könnte Folgendes angezeigt werden:

Choose one of:
1) user@us.ibm.com
2) 15551234567
3) TOTP
Your choice (1->3):

prompt_choice_end= {prompt}

Die Zeichenfolge {prompt} wird unmittelbar vor der Liste der 2FA -Auswahlmöglichkeiten ausgegeben. Jeder %T-Wert in dieser {prompt} wird durch eine Zahl ersetzt, die die Gesamtzahl der Auswahlmöglichkeiten darstellt. Wenn {prompt} beispielsweise "Ihre Auswahl (1-> %T):" enthält, könnte Folgendes angezeigt werden:

Choose one of:
1) user@us.ibm.com
2) 15551234567
3) TOTP
Your choice (1->3):

prompt_trans_email= {prompt}

prompt_trans_sms= {prompt}

prompt_totp= {prompt}

prompt_email= {prompt}

prompt_sms= {prompt}

prompt_voice= {prompt}

prompt_device_presence= {prompt}

prompt_device_biomertic= {prompt}

Diese Argumente passen die Eingabeaufforderungsoption für jeden 2FA -Typ an. Die folgenden Ersetzungen können angewendet werden:

• %I Der Index der Option 2FA
• %N Der Wert, der dem Optionsnamen 2FA zugeordnet ist (z. B. eine E-Mail-Adresse)
• %T Die Gesamtzahl der Auswahlmöglichkeiten

Beispiel: Wenn prompt_trans_sms = "%I) Unvalidated SMS %N \n" angezeigt wird:

Choose one of:
1) user@us.ibm.com
2) Unvalidated SMS 15551234567
3) TOTP
Your choice (1->3):

Hinweis: Diese Optionen können dazu führen, dass die PAM-Modulargumente sehr lang und schwierig zu verwalten sind. Um dies zu überwinden, können viele der Modulargumente in die Datei /etc/pam_ibm_auth.json verschoben werden. Weitere Informationen finden Sie im Feature "additional-args" unter dem Objekt "pam" in dieser Datei.

device_prompt= {prompt}

Wenn festgelegt, wird die angegebene Nachricht für den Benutzer angezeigt, wenn er die Genehmigung auf einem 2FA -Gerät erteilen muss. Die Verwendung dieses s mit SSH. weist einige Einschränkungen auf. Einige SSH-Server geben eine Nachricht weiter (ohne auch zur Eingabe aufzufordern), andere nicht. Standardmäßig wird keine Eingabeaufforderung gesendet. Der Alert hängt vom Gerät des Benutzers ab.

user_name_attr= {attr_name}

Ordnet den Benutzernamen, der PAM zur Verfügung gestellt wird, einem IBM Verify -Benutzer zu, basierend auf der Übereinstimmung mit einem Attribut, das auf dem Verify -Benutzer enthalten ist. Zum Beispiel könnte der PAM-Benutzername zu einem benutzerdefinierten Attribut Verify mit dem Namen other Username hinzugefügt werden. Dieses angepasste Attribut gibt

user_name_attr=urn:ietf:params:scim:schemas:extension:ibm:2.0:User:customAttributes.otherUserName

Standardmäßig wird das Benutzerattribut "userName" verwendet, um den Verify Benutzer zu finden, der dem PAM-Benutzernamen entspricht.

gecos_match= {regex}

gecos_replace= {replace_format}

Diese Argumente werden als Alternative zur Methode gecos_field/gecos_separator verwendet. Der {regex} wird verwendet, um den GECOS-Wert des Benutzers abzugleichen und den Wert für die Bereitstellung im Format gecos_replace zu extrahieren. Details zu regex finden Sie auf der Man-Page zu regex (7).

Der Wert {replace_format} wird verwendet, um den Namen des Benutzers Verify zu generieren. In {replace_format} wird jedes $N, wobei N 1 -> 9 ist, durch das entsprechende Regex-Atom (pat) aus dem {regex} match ersetzt.

Beispiel:

[gecos_match=^([^/\]+)/([^/\]+)/([^/\]+)] [gecos_replace=$3/$1@MyRealm]

Hinweis: Bei der Verwendung der PAM-Methode [arg] müssen alle eingebetteten Zeichen] in arg mit \ in Anführungszeichen gesetzt werden.

Wenn das GECOS-Feld "Test User/+15551234567/ibm.com" war, wird der Benutzer "ibm.com/Test User@MyRealm" generiert.

Debug

Dieses Argument ist eine PAM-Modulstandardoption. Protokollieren Sie mithilfe des Aufrufs syslog() Debugging-Informationen in den Systemprotokolldateien.

nowarn

Dieses Argument ist eine PAM-Modulstandardoption. Mit der Option nowarn wird die Generierung von Warnungen, einschließlich Warnungen für den Kennwortablauf, inaktiviert.

ibm_auth_config={Konfigurationsdatei}

Wenn nicht anders angegeben, ist die /etc/pam_ibm_auth.json Standardeinstellung für Linux und UNIX™-Systeme. Diese Datei enthält die IBM Auth-API-Konfiguration mit den Verify -Serververbindungsdetails. Siehe Die Modulkonfigurationsdatei.

auth_method={Authentifizierungsmethode}

Dieses Argument ist optional; für das Argument wird standardmäßig die TOTP-Validierung angenommen. Dieses Argument gibt die Authentifizierungsmethode an, die für die Authentifizierung von Benutzern erforderlich ist. Die folgende Liste mit Authentifizierungsmethoden umfasst einige Methoden, die das Kennwort als ersten Wert akzeptieren. Das Kennwort in diesen Methoden bezieht sich auf das Verify -Benutzerkennwort und nicht auf das UNIX-Kennwort.

Anmerkung: If a password was supplied to a previously started PAM module, for example pam_unix.so, that password is used in any Verify auth methods that involve a password. Wenn das zuvor angegebene Kennwort und das Verify -Kennwort nicht übereinstimmen, schlägt die Authentifizierung fehl. Dieses Problem ist eine bekannte Einschränkung.

Tabelle 1. Zulässige Werte

Wert	Beschreibung
Kennwort	Erfordert ein gültiges Verify -Kennwort.
password-and-totp	Ein Verify -Kennwort und ein TOTP-Wert müssen in einem einzigen Wert angegeben werden. Sie können konfigurieren, ob das Kennwort oder der TOTP-Wert die erste Angabe in dem Wert ist; außerdem können Sie das Zeichen konfigurieren, das verwendet wird, um die beiden Werte voneinander zu trennen. Das Standardformat ist TOTP:password.
password-then-totp	Es muss ein Verify -Kennwort angegeben werden. Bei erfolgreicher Bereitstellung wird ein TOTP-Wert angefordert und validiert.
totp	Es wird zur Angabe eines TOTP-Werts aufgefordert und dieser Wert validiert.
password-then-smsotp	Ein Verify -Kennwort muss angegeben werden. Bei erfolgreicher Bereitstellung wird eine SMS-Nachricht mit einem OTP-Wert an das registrierte mobile Gerät des Benutzers gesendet. Anschließend fordert das PAM-Modul den SMS-OTP-Wert vom Benutzer an und validiert den Wert.
smsotp	Es wird eine SMS-OTP-Validierung eingeleitet und zur Angabe eines SMS-OTP-Werts aufgefordert und dieser Wert validiert.
password-then-emailotp	Ein Verify -Kennwort muss angegeben werden. Bei erfolgreicher Bereitstellung wird eine E-Mail-Nachricht mit einem OTP-Wert an den Benutzer gesendet. Das PAM-Modul fordert den E-Mail-OTP-Wert an und validiert ihn.
emailotp	Es wird eine E-Mail-OTP-Validierung eingeleitet und das PAM-Modul fordert den E-Mail-OTP-Wert an, der dann validiert wird.
password-then-choice-then-otp	Es muss ein Verify -Kennwort angegeben werden. Bei erfolgreicher Bereitstellung wird der Benutzer aufgefordert, eine seiner OTP-Registrierungen auszuwählen. Nachdem die Auswahl getroffen wurde, wird die OTP-Validierung eingeleitet und der Benutzer zur Angabe des OTP-Werts aufgefordert. Hinweis: Wenn der Benutzer nur für eine einzige OTP-Methode registriert ist, wird der Auswahlschritt übersprungen und der Benutzer direkt zur Angabe des OTP-Werts aufgefordert. Wenn der Benutzer über keine OTP-Registrierungen verfügt, wird "reject-on-missing-auth-method" wirksam. Wenn "add_devices_to_choice" aktiviert ist, werden die Optionen für "device" der Liste hinzugefügt. Ausführliche Informationen dazu, welche Optionen hinzugefügt werden, finden Sie unter der Authentifizierungsmethode 'device'. Wenn die Option "transients_in_choice" aktiviert ist, werden die transienten E-Mail- und SMS-Quellen als Optionen aufgelistet. Wenn die Option "voice_in_choice" aktiviert ist, wird 'voiceotp' als eine Option aufgelistet.
choice-then-otp	Der Benutzer wird zur Auswahl einer seiner OTP-Registrierungen aufgefordert. Nachdem die Auswahl getroffen wurde, wird die OTP-Validierung eingeleitet und der Benutzer zur Angabe des OTP-Werts aufgefordert. Hinweis: Wenn der Benutzer nur für eine einzige OTP-Methode registriert ist, wird der Auswahlschritt übersprungen und der Benutzer direkt zur Angabe des OTP-Werts oder zur Geräteverifizierung aufgefordert. Wenn der Benutzer über keine OTP-Registrierungen verfügt, wird reject-on-missing-auth-method wirksam. Wenn "add_devices_to_choice" aktiviert ist, werden die Optionen für "device" der Liste hinzugefügt. Ausführliche Informationen dazu, welche Optionen hinzugefügt werden, finden Sie unter der Authentifizierungsmethode 'device'. Wenn die Option "transients_in_choice" aktiviert ist, werden die transienten E-Mail- und SMS-Quellen als Optionen aufgelistet. Wenn die Option "voice_in_choice" aktiviert ist, wird 'voiceotp' als eine Option aufgelistet.
password-then-device	Es muss ein Verify -Kennwort angegeben werden. Bei erfolgreicher Bereitstellung wird der Benutzer aufgefordert, sich selbst mithilfe der IBM Verify -App auf seinem Telefon zu validieren.
device	Der Benutzer wird zu seiner Validierung mithilfe der IBM Verify-App auf seinem Telefon aufgefordert. Wenn mehrere Geräte verfügbar sind, wird der Benutzer zur Eingabe einer Auswahl aufgefordert. Hinweis: Die Option "add_devices_to_choice="legt fest, ob fingerprint oder userPresenceverwendet werden soll. Für ein bestimmtes Gerät kann nur eines dieser beiden Attribute verwendet werden.
password-then-transsmsotp	Ein Verify -Kennwort muss angegeben werden. Bei erfolgreicher Bereitstellung wird der Benutzer aufgefordert, das über SMS an sein Mobiltelefon gesendete OTP bereitzustellen. Bei der Telefonnummer handelt es sich um die Nummer, die im zugehörigen Benutzersatz angegeben ist.
transsmsotp	Der Benutzer wird zur Angabe des OTP-Werts aufgefordert, der über SMS an sein Mobiltelefon gesendet wurde. Bei der Telefonnummer handelt es sich um die Nummer, die im zugehörigen Benutzersatz angegeben ist.
password-then-transemailotp	Es muss ein Verify -Kennwort angegeben werden. Bei erfolgreicher Bereitstellung wird der Benutzer aufgefordert, das an ihn per E-Mail gesendete OTP anzugeben. Bei der E-Mail-Adresse handelt es sich um die Adresse, die im zugehörigen Benutzersatz angegeben ist.
transemailotp	Der Benutzer wird zur Angabe des OTP-Werts aufgefordert, der über E-Mail an ihn gesendet wurde. Bei der E-Mail-Adresse handelt es sich um die Adresse, die im zugehörigen Benutzersatz angegeben ist.
voiceotp	Der Benutzer erhält einen Anruf und eine Sprachnachricht informiert den Benutzer über den OTP-Wert, der verwendet werden muss, um die Anmeldung zu validieren.
Passwort-dann-VoiceOTP	Es muss ein IBM Verify Passwort angegeben werden. Bei erfolgreicher Eingabe wird ein Anruf an das Telefon des Benutzers getätigt und eine Sprachnachricht informiert den Benutzer über den OTP-Wert, der zur Validierung der Anmeldung verwendet werden muss.
passwort-und-totp-oder-geraet	Wird ein TOTP-Wert im vom Benutzer angegebenen Kennwort erkannt, so wird das Äquivalent zur Methode " password-and-totp verwendet. Weitere Informationen finden Sie unter password-and-totp. Wird im vom Benutzer angegebenen Kennwort kein TOTP-Wert erkannt, so wird die Methode " password-and-device verwendet. Weitere Informationen finden Sie unter password-then-device. Hinweis: Wenn das tatsächliche Kennwort des Benutzers mit sechs Ziffern und einem Trennzeichen beginnt oder endet, kann es vom RADIUS-Server fälschlicherweise für einen eingebetteten TOTP-Wert gehalten werden. Zum Beispiel ist die Option " password-first auf "false" gesetzt und das Passwort beginnt mit sechs Ziffern und einem Trennzeichen. Das Gleiche gilt, wenn der Wert auf true gesetzt wird und das Kennwort mit einem Trennzeichen und sechs Ziffern endet. In beiden Fällen kann ein Geräte-Push nicht als zweiter Faktor für die RADIUS-Authentifizierung verwendet werden. Der RADIUS-Server interpretiert ihn als TOTP-Wert und versucht, ihn zu validieren. Die Validierung schlägt fehl und die Authentifizierung wird abgelehnt.

Wenn "password" nicht Teil des Werts für die Authentifizierungsmethode (auth-method) ist, beispielsweise "device", kann dem Modul libpam_ibm_auth.so vom UNIX-/Linux-PAM-Standardmodul ein Präfix hinzugefügt werden, um ein lokales Kennwort zu authentifizieren, um die zwei Faktoren bilden zu können. Das Kennwort kann auch weggelassen werden, wenn eine kennwortunabhängige Authentifizierung erfolgen soll.

accept_on_missing_auth_method

Dieses Argument ist optional. Wenn es angegeben wird und der Benutzer nicht für die Zwei-Faktor-Authentifizierung registriert ist, wird der Benutzer authentifiziert. Wenn diese Option nicht angegeben ist und der Benutzer nicht für die Zwei-Faktor-Authentifizierung registriert ist, wird der Benutzer nicht authentifiziert.

otp_prompt={Zeichenfolge_für_Eingabeaufforderung}

Dieses Argument ist optional und nimmt standardmäßig die englische Zeichenfolge "Enter OTP %C- "an. Diese Zeichenfolge wird angezeigt, wenn der Benutzer zur OTP-Eingabe aufgefordert wird. Jedes %C in der Eingabeaufforderung wird durch die OTP-Korrelation oder für TOTP durch die leere Zeichenfolge ersetzt. Jede Angabe von %% in der Eingabeaufforderung wird durch ein einziges % ersetzt.

password_first

Dieses Argument ist optional. Es hat nur Auswirkungen auf die Authentifizierungsmethode "password-and-totp" und legt die Reihenfolge für die Kennwort- und TOTP-Werte in der Zeichenfolge fest, die der Benutzer angeben muss. Normalerweise wird das Kennwort am Ende der Zeichenfolge nach dem Trennzeichen totp:passwordangegeben. Wenn das Argument festgelegt ist, muss das Kennwort am Anfang der Zeichenfolge vor dem Trennzeichen password:totpangegeben werden.

password_separator={Trennzeichen}

Dieses Argument ist optional; für das Argument wird standardmäßig das Kennworttrennzeichen : (Doppelpunkt) angenommen. Es hat nur Auswirkungen auf die Authentifizierungsmethode "password-and-totp" und gibt das Zeichen an, das verwendet werden muss, um die TOTP- und Kennwortwerte voneinander zu trennen.

verify_method_order={Reihenfolge}

Dieses Argument ist optional; für das Argument wird standardmäßig "fingerprint,userPresence" angenommen. Mit dieser Option wird ausgewählt, welche der beiden Angaben die höhere Priorität hat. Die Standardreihenfolge ordnet "fingerprint" die höhere Priorität zu, sofern vorhanden.

Hinweis: Wenn "add_devices_to_choice" aktiviert ist, verwendet die "device" -Option auth_method nur eine der Methoden, entweder fingerprint oder userPresence.

verify_message={Nachricht}

Dieses Argument ist optional und nimmt standardmäßig den folgenden Wert an:"Do you approve the request from {hostname}?"Dabei wird {hostname} durch den Hostnamen ersetzt, auf dem das PAM-Modul ausgeführt wird. Wenn "device" als Authentifizierungsmethode (auth_method) verwendet wird, wird diese Nachricht am Gerät des Benutzers angezeigt, wenn der Benutzer zur Verifizierung des Zugriffs aufgefordert wird.

append={Zeichenfolge}

Dieses Argument ist optional; für das Argument wird standardmäßig "" angenommen. Am Ende des Prozesses zum Zuordnen des UNIX-Benutzernamens zu einem Verify -Benutzernamen wird diese Zeichenfolge an den resultierenden Verify -Benutzernamen angehängt. Ein typischer Anwendungsfall ist das Hinzufügen der Benutzerdomäne Verify zum Benutzer, z. B. "@www.ibm.com" für die Benutzerdomäne w3id .

add_devices_to_choice

Dieses Argument ist optional; für das Argument wird standardmäßig angenommen, dass die Geräteregistrierungen des Benutzers nicht den Authentifizierungsmethoden "choice-then-otp" und "password-then-choice-then-otp" hinzugefügt werden. Wenn dieses Argument angegeben wird, werden die Geräteregistrierungen der Liste der Auswahlmöglichkeiten für 2FA für den Benutzer hinzugefügt.

exempt_group={UNIX-Gruppenname}

Dieser Wert ist optional; für den Wert wird standardmäßig exempt_group angenommen. Wenn dieses Argument festgelegt wird, wird die angegebene UNIX-Gruppe verwendet, um festzustellen, ob eine UNIX-Benutzeranmeldung von der 2FA -Authentifizierung ausgeschlossen ist. Wenn sich ein UNIX-Benutzer in der Gruppe befindet, wird er ausgeschlossen und nie zur Zwei-Faktor-Authentifizierung aufgefordert.

2fa_group={unix_group_name}

Dieser Wert ist optional. Wenn diese Option gesetzt ist, wird die angegebene UNIX-Gruppe verwendet, um festzustellen, ob die Anmeldung eines UNIX-Benutzers eine 2FA erfordert. Wenn diese Option gesetzt ist und der UNIX-Benutzer nicht in der Gruppe ist, wird der Benutzer nicht zur 2FA aufgefordert.

retry={Anzahl_Wiederholungen}

Dieses Argument ist optional; für das Argument wird standardmäßig 3 angenommen. Es definiert die Anzahl Wiederholungen, die einem Benutzer zur Verfügung stehen, wenn er einen ungültigen 2FA-Wert, beispielsweise einen ungültigen TOTP-Wert, angibt. Es definiert außerdem die Anzahl Wiederholungen, die im Rahmen des Auswahlschritts für die Auswahl des zu verwendenden OTP-Typs zulässig sind.

failmode_insecure

Dieser Wert ist optional; für den Wert wird standardmäßig ein sicherer failmode angenommen. Dieses Argument wirkt sich auf das Verhalten aus, wenn das Verify -PAM-Modul keine Verbindung zum Verify -Server herstellen kann. Wenn dieses Argument festgelegt wird, ist die 2FA -Authentifizierung erfolgreich, wenn der Verify -Server nicht erreichbar ist. Wird die Option nicht angegeben, schlagen alle Authentifizierungen, für die eine 2FA erforderlich ist, fehl, wenn der Verify -Server nicht erreichbar ist.

gecos_field={Feldnummer}

Dieses Argument ist optional; für das Argument wird standardmäßig angenommen, dass das GECOS-Feld des Benutzers nicht verwendet wird. Bei einem Wert im Bereich von 1 bis 32 wird das GECOS-Feld, das vom UNIX-Benutzer angegeben wird, als Verify -Benutzername verwendet. Die Anfügeoption wirkt sich weiterhin auf diesen Wert aus. Das erste GECOS-Feld wird mit der Feldnummer 1 definiert.

gecos_separator={Zeichen}

Dieses Argument ist optional; für das Argument wird standardmäßig , (Komma) angenommen. Dieser Wert definiert das Trennzeichen für das GECOS-Feld.

id={PAM-Modul-ID}

Dieses Argument ist optional; für das Argument wird standardmäßig "pam_ibm_auth" angenommen. Wenn mehr als ein Vorkommen des PAM-Moduls Verify in der Gruppe der PAM-Module auftritt, die für die Authentifizierung eines Benutzers konfiguriert sind, muss jeder Instanz eine eindeutige ID zugeordnet werden. Andernfalls beeinträchtigen sich die einzelnen Module unter Umständen gegenseitig.

identity_source={ID}

Dieses Argument ist optional; für das Argument wird standardmäßig die Verwendung der Identitätsquelle des Typs 'Cloud Directory' angenommen. Wenn dieses Argument angegeben wird, gibt es die Identitätsquelle für die Authentifizierung von Benutzern an. Benutzer werden mithilfe einer konfigurierten Identitätsquelle des Typs 'LDAP-Durchgriff' authentifiziert. Eine Sammlung konfigurierter Identitätsquellen und ihrer IDs kann aus einer GET -Anforderung an https://<tenant>/verify/v1.0/authnmethods/passwordabgerufen werden.

ignore_isvalidated

Dieser Wert ist optional; für den Wert wird standardmäßig false angenommen. Wenn dieser Wert auf true gesetzt wird, versucht das PAM-Modul selbst dann, relevante 2FA-Methoden zu verwenden, wenn diese nicht validiert werden.

transients_in_choice

Mit diesem Argument werden der Liste der Methoden, die für die Authentifizierung mithilfe eines Kennworts für einmaliges Anmelden (OTP) verwendet werden, transiente E-Mails und Telefonnummern hinzugefügt.

voice_in_choice

Mit diesem Argument wird der Liste der Methoden, die für die Authentifizierung mithilfe eines Kennworts für einmaliges Anmelden (OTP) verwendet werden, Sprach-OTP hinzugefügt.

transient_choices={Auswahlmöglichkeiten}

Dieses Argument listet die transienten Methoden und Auswahlmöglichkeiten auf, die zur Verfügung gestellt werden. Der Wert des Arguments muss mindestens eine E-Mail ("emails") oder Telefonnummer ("phoneNumbers") sein. Die einzelnen Auswahlmöglichkeiten müssen jeweils durch ein , (Komma) voneinander getrennt werden.

poll_timeout={Sekunden}

Dieses Argument gibt an, wie lange der Benutzer auf die Validierung der Anmeldung über sein Gerät warten muss. Wenn die Zeit überschritten wird, treten eine Zeitlimitüberschreitung und ein Anmeldefehler auf.

no_enrollments_in_choice

Dieses Argument gibt an, dass den Auswahlmöglichkeiten keine SMS-, E-Mail- oder TOTP-Registrierungen hinzugefügt werden sollen. Um eine Auswahl zur Verfügung zu stellen, muss transients_in_choice und/oder add_devices_to_choice konfiguriert sein.

id_link_attr= {attr_name}

Wenn im Mandanten mehrere Identitätsquellen definiert sind und diese die Identitätsverknüpfung verwenden, definiert dieses Konfigurationselement den Namen eines Attributs des Benutzers, der durch „user_name_attr“ lokalisiert wird und den Benutzernamen identifiziert, anhand dessen das Kennwort validiert wird. Beispiel{attr_name} Werte:

• "urn:ietf:params:scim:schemas:extension:ibm:2.0:user:linkedAccounts.myOnPremIdSource"
• "emails.type%20eq%20%22work%22%20and%20emails.value"
• "urn:ietf:params:scim:schemas:extension:ibm:2.0:user:customAttributes.myCustomAttribute"
• "userName"

Definieren der2FA Methoden, die in der Auswahl auth_methods bereitgestellt werden

So aktivieren oder deaktivieren Sie die in der Auswahl „Auth_Methods“ angezeigten Zwei-Faktor-Authentifizierungstypen.