Configurar factores de autenticación

Editar en línea

Verify da soporte a la autenticación de dos factores. Es un tipo de autenticación de multifactores que implica el uso de un segundo factor, normalmente un código generado por el sistema que el usuario debe proporcionar para demostrar su identidad. Aplique el uso de un segundo factor de autenticación para un mayor control de seguridad en los usuarios cuando inicien sesión en cualquier aplicación que se desarrolle e integre con Verify. Elija qué segundo factor de autenticación desea solicitar a los usuarios.

Antes de empezar

  • Vea un vídeo sobre la Verify autenticación multifactorial en la Academia de IBM aprendizaje sobre seguridad.
  • Debe tener permiso administrativo para realizar esta tarea.
  • Inicie sesión en la consola de administración de IBM® Verify como administrador.

Acerca de esta tarea

El primer factor de autenticación suele ser el nombre de usuario y la contraseña, un código QR o una clave de acceso.
Nota: Para los usuarios, se utiliza el término passkey en lugar del dispositivo FIDO para proporcionar una experiencia más fácil para el consumidor.
El segundo factor de autenticación es algo que tiene el usuario, normalmente un código numérico o alfanumérico generado automáticamente que se envía al usuario. Verify utiliza la aplicación IBM Verify , la aplicación Authenticator, passkeyy la contraseña única (OTP) como segundo factor para la autenticación. La OTP puede entregarse a través de correo electrónico, SMS, voz o puede basarse en tiempo y validarse sin ningún mecanismo de entrega.

Una OTP es válida durante un tiempo específico. Pasa a ser no válida después de un inicio de sesión de usuario satisfactorio o cuando caduca.

Nota: Debido a las nuevas restricciones en la normativa de telecomunicaciones de China, ' IBM Verify ' no puede ayudar a garantizar que los mensajes SMS y de voz se entreguen de forma fiable en China. Debido a estas restricciones, Verify actualmente no puede dar soporte a los mensajes de voz y SMS que se envían a China. Para obtener una lista de los países que Verify admite para mensajes SMS y de voz, consulte Países admitidos para SMS y voz.

Procedimiento

  1. Seleccione Autenticación > Factores de autenticación.
  2. Establecer los valores generales de autenticación de multifactores
    1. Seleccione la acción cuando no existan factores de autenticación para el usuario.
      • Denegar la autenticación.
      • Dé al usuario la opción de inscribir un factor.
    2. Seleccione el origen permitido para el factor de autenticación.
      • Métodos elegidos por el usuario: Los métodos de verificación elegidos por el usuario desde el Panel de inicio de usuario > Perfil y configuración > Seguridad.
      • Atributos del perfil del usuario y métodos registrados: Además de los métodos inscritos por el usuario, se tiene en cuenta la información del usuario almacenada en su Perfil en Directorio > Usuarios y grupos.
    3. Seleccione si desea notificar a los usuarios cuando se realicen cambios en los valores de MFA.
      • No hay notificaciones
      • Notificar por correo electrónico
      • Notificar por SMS
      • Notificar por cualquier método disponible
      • Notificar por todos los métodos disponibles
    4. Especifique si el usuario puede modificar las notificaciones de cambio
      No permitir modificaciones del usuario
      Se deben utilizar las opciones de notificación de cambio de MFA establecidas en el arrendatario.
      Permitir al usuario la modificación
      Los usuarios pueden cambiar las opciones de notificación de cambio de MFA para personalizar su experiencia.
      Obligatorio
      El usuario no puede desactivar las notificaciones de cambio de MFA. El usuario debe tener al menos un método disponible para la notificación de cambio de MFA.
  3. Seleccione si desea que los usuarios tengan varias MFA para la autenticación.
    Nota: Las inscripciones deben ser exclusivas. Por ejemplo, si utiliza el mismo número de teléfono para SMS y VOTP, sólo es una inscripción. Si utiliza su número de teléfono móvil para SMS y su número de teléfono de oficina para VOTP, son dos inscripciones.
    1. Seleccione el recuadro de selección Establecer número mínimo de inscripciones para establecer el número de inscripciones de varios factores que debe tener el usuario.
      El requisito mínimo es uno. El máximo es 25. El requisito se indica con la fecha actual. A partir de esa fecha, es necesario que los usuarios establezcan sus múltiples inscripciones de MFA mínimas cuando inicien la sesión en sus aplicaciones.
      Nota: Verify tiene en cuenta las inscripciones externas al AMF, como DUO u otros proveedores de apoyo, a la hora de evaluar las inscripciones mínimas requeridas.
    2. Opcional: puede seleccionar la casilla Permitir a los usuarios finales omitir las inscripciones para establecer un período de gracia para los usuarios existentes.
      Nota: Esta opción permite a los usuarios omitir inscripciones solo cuando ya tienen una o más inscripciones para realizar la autenticación de segundo factor. En caso contrario, deberán inscribirse al menos una vez en el segundo factor para activar esta opción.
      Durante el periodo de gracia, los usuarios todavía pueden iniciar la sesión en sus aplicaciones sin las inscripciones de MFA necesarias. Una vez transcurrido el periodo de gracia, los usuarios no pueden acceder a sus aplicaciones hasta que cumplan el requisito de MFA múltiple. El periodo de gracia se basa en la indicación de fecha y hora de inicio. Para los usuarios recién inscritos, el periodo de gracia se inicia después de su registro.
    3. Seleccione al menos un proveedor de identidad al que se aplica el requisito de MFA mínimo.
      No puede guardar los cambios hasta que seleccione al menos un proveedor de identidad. Seleccione el recuadro de selección Proveedores de identidad para aplicar el requisito a todos los proveedores de identidad.
  4. Seleccione los factores de autenticación que desea habilitar o inhabilitar para los usuarios de Verify .
    Nota:
    • Cuando se selecciona, el factor de autenticación se habilita para su uso en tiempo de ejecución y se visualizan sus valores configurables.
    • Puede habilitar varios factores de autenticación. Si lo hace, a los usuarios se les solicita que elijan su método preferido antes de que la contraseña única se entregue y valide.
    Factor de autenticaciónDescripciones
    Valores generales de autenticación de multifactores (MFA)
    Cuando no hay factores presentes durante una solicitud MFA
    Si el acceso a una aplicación requiere autenticación de dos factores y no hay factores registrados, seleccione si la autenticación falla o permitir a los usuarios registrar un factor de autenticación.
    Permitir segundos factores de los orígenes siguientes
    De forma predeterminada, se permiten segundos factores de los métodos inscritos y de atributos de perfil de usuario. El correo electrónico y el número de móvil del perfil de usuario y cualquier método de autenticación registrado están disponibles para su uso como segundo factor de autenticación. También puede seleccionar limitar los segundos factores a los métodos de autenticación registrados en Verify.
    Biométrica conductual Detecta anomalías de escritura conductual durante la autenticación tradicional de nombre de usuario y contraseña.
    Contraseña puntual de correo electrónico

    La contraseña se genera y envía a la dirección de correo electrónico registrada del usuario.

    Esta opción está habilitada de forma predeterminada.

    Nota: El usuario debe tener una dirección de correo electrónico registrada. De lo contrario, esta opción no se presenta al usuario incluso si se ha seleccionado porque la contraseña única no puede entregarse al usuario.
    Contraseña puntual SMS

    La contraseña se genera y envía al número de teléfono móvil registrado del usuario.

    Esta opción está habilitada de forma predeterminada.

    Nota: El usuario debe tener un número de móvil registrado. De lo contrario, esta opción no se presenta al usuario incluso si se ha seleccionado porque la contraseña única no puede entregarse al usuario.
    Contraseña única basada en tiempo

    La contraseña se genera utilizando el algoritmo de contraseña única basada en tiempo estándar.

    Las contraseñas no se entregan ni se almacenan. Se verifican como una coincidencia entre un servidor de validación TOTP y un cliente, ya que se generan a intervalos regulares.

    En primer lugar, el usuario debe registrar una cuenta escaneando la imagen de un código QR o proporcionando el secreto equivalente en una aplicación móvil TOTP como IBM Verify o Google Authenticator.
    Nota: El usuario debe tener un número de teléfono móvil registrado y haber descargado e instalado IBM Verify o Google Authenticator.
    Contraseña única de voz

    La contraseña se genera y se envía al número de teléfono registrado del usuario. El número puede ser para un teléfono móvil o para un teléfono fijo.
    Autenticación de IBM Verify La autenticación se realiza a través de un desafío en tiempo de ejecución que verifica que el usuario está físicamente presente en el dispositivo. También puede requerir una autenticación por huella dactilar de dispositivo.
    Nota: El usuario debe descargar e instalar IBM Verify o una aplicación móvil personalizada que utilice IBM Verify mobile SDK. El usuario también debe tener un autenticador móvil registrado.
    Codificación de inicio de sesión de Código QR

    Una aplicación puede iniciar una transacción de verificación qrlogin y, después, esperar hasta que el usuario con IBM Verify complete la solicitud de verificación y continúa el acceso de tiempo de ejecución. Consulte la autenticación sin contraseña mediante inicio de sesión con QR.
    Nota: Para habilitar la autenticación mediante una clave de acceso, consulte Administración FIDO2 de dispositivos.
  5. Opcional: Si ha habilitado la contraseña de un solo uso por correo electrónico o la contraseña de un solo uso por SMS, puede configurar los siguientes ajustes para controlar su comportamiento:
    Tabla 1. Configuración de contraseñas de un solo uso por correo electrónico y SMS
    Información Descripciones
    Caducidad (segundos) Durante cuánto tiempo es válido el código de acceso.
    Longitud

    El número de caracteres que se incluyen en el valor de contraseña única.

    El valor mínimo es 1.

    El valor máximo es 20.

    El valor predeterminado es 6.
    Conjunto de caracteres de contraseña

    El conjunto de caracteres válidos que pueden incluirse en el valor de contraseña única. Pueden ser caracteres alfabéticos y numéricos.

    El valor predeterminado es 0123456789.
    Reintentos El número de errores de autenticación permitidos antes de que caduque la contraseña y el usuario deba iniciar una nueva transacción de autenticación.
    Dominios permitidos Especifique los dominios de correo electrónico a los que se puede enviar el mensaje de contraseña de OTP. Puede especificar varios dominios. Puede utilizar patrones regex para especificar más dominios.
    Dominios denegados Especifique los dominios de correo electrónico a los que no se debe enviar el mensaje de contraseña de OTP. Puede especificar varios dominios. Puede utilizar patrones regex para especificar más dominios.
  6. Opcional: Si ha habilitado la contraseña única basada en el tiempo, puede configurar los siguientes ajustes para controlar su comportamiento:
    Tabla 2. Configuración de contraseñas de un solo uso basadas en el tiempo
    Valores Descripciones
    Algoritmo hash

    Algoritmo que genera la contraseña única basada en tiempo. El algoritmo de TOTP utiliza el código de autenticación de mensaje basado en hash (HMAC) combinado con la función hash de SHA.

    Seleccione una de las opciones siguientes:
    • HMAC-SHA-1
    • HMAC-SHA-256
    • HMAC-SHA-512

    HMAC-SHA-1 es el algoritmo hash predeterminado.
    Intervalo de generación (segundos)

    El número máximo de segundos que la OTP es válida antes de que se genere la próxima TOTP. Transcurrido este tiempo, el generador de TOTP y la validación de servidor generan una nueva TOTP.

    El valor predeterminado es 30.

    Nota: Los cambios en el intervalo sólo afectan a las inscripciones que se producen después del cambio. Las inscripciones existentes continúan utilizando el valor anterior. Para utilizar el valor nuevo, debe suprimir las inscripciones existentes y volver a crearlas.
    Intervalos de desvío

    El intervalo de desvío es el número ± de intervalos de la indicación de fecha y hora del dispositivo del cliente, para el que el servidor acepta la OTP generada.

    Por ejemplo: Utilizando la siguiente tabla que enumera los valores OTP para intervalos de siete generaciones, considere una verificación OTP en la que la hora actual en el servidor corresponde al intervalo ' 0. Si Intervalos de desvío se establece en 2, la validación de OTP puede ser satisfactoria si el usuario presenta cualquiera de los valores de OTP de los intervalos de 0 a 2.
    Intervalo Indicación de fecha y hora Contraseña única (OTP)
    3 09:00:10 876 123
    2 09:00:40 543 456
    1 09:01:10 210 789
    0 09:01:40 987 012
    1 09:02:10 654 345
    2 09:02:40 321 678
    3 09:03:10 761901

    El valor predeterminado es 1 y el valor mínimo permitido es 0.
    Dígitos

    El número de caracteres que se incluyen en el valor de contraseña única.

    El valor mínimo es 6.

    El valor máximo es 12.
    URL de clave secreta

    URL que entrega la clave secreta y que genera el código QR.

    El formato de URL puede incluir información específica para el entorno, como por ejemplo el nombre de la empresa.

    El URL predeterminado es: otpauth://totp/IBM%20Security%20Verify:@USER_NAME@?secret=@SECRET_KEY@&issuer=IBM%20Security%20Verify&algorithm=@ALGORITHM@&digits=@DIGITS@&period=@PERIOD@

    Nota: La URL NO debe contener http ni https. Debe empezar siempre con otpauth://totp/
    Uso único

    Indica si se debe almacenar en la memoria caché la contraseña única para volver a utilizarla cuando se ha utilizado para iniciar la sesión satisfactoriamente en un recurso de destino.

    Si está habilitado, el valor de TOTP válido puede utilizarse como máximo una vez en el servidor de validación. Si no está habilitado, un valor de TOTP válido puede validarse más de una vez durante su periodo de validez.

    Esta opción está seleccionada de forma predeterminada. Cuando está seleccionada, los usuarios no pueden volver a utilizar la contraseña mientras está en la memoria caché.
    Inscripciones por usuario

    El número máximo de inscripciones que un usuario específico puede inscribir.

    El valor mínimo es 1.

    El valor máximo es 5.
  7. Opcional: si ha habilitado la contraseña de voz de un solo uso, puede configurar los siguientes ajustes para controlar su comportamiento:
    Tabla 3. Configuración de la contraseña de voz de un solo uso
    Información Descripción
    Caducidad (segundos) Durante cuánto tiempo es válido el código de acceso.
    Longitud Cuántos caracteres contiene el código de acceso. La longitud debe ser al menos de un carácter.
    Juego de caracteres Qué caracteres se pueden utilizar en el código de acceso. Pueden ser caracteres alfabéticos y numéricos.
    Reintentos El número de errores de autenticación permitidos antes de que caduque la contraseña y el usuario deba iniciar una nueva transacción de autenticación.
  8. Opcional: Si ha habilitado IBM Verify la autenticación, puede configurar los siguientes ajustes para controlar su comportamiento:
    Tabla 4. IBM Verify configuración de autenticación
    Información Descripciones
    Código de correlación
    Nota:
    • Al menos uno de los métodos de autenticación de Verify debe estar activado para utilizar un código de correlación.
    • Si personalizó sus páginas OTP, deben actualizarse con la nueva lógica del código de correlación.
    Esta opción permite el uso de un código de correlación además de uno de los métodos de autenticación. El desafío en tiempo de ejecución pide al usuario que introduzca el código de correlación que aparece en pantalla en la aplicación IBM Verify antes de aprobar o denegar la verificación.
    IBM Verify métodos de autenticación Los métodos de autenticación son compatibles con IBM Verify o con una aplicación móvil personalizada que utiliza el SDK móvil de IBM Verify. Proporcionan una verificación básica, fuera de banda, de que un usuario está presente y posee un autenticador móvil registrado. La inscripción se incorpora mediante el intercambio de una clave pública, que se genera en el autenticador móvil y se 'inscribe' con Verify. Una verificación aprobada se indica a Verify cuando el autenticador móvil firma los datos de transacción de verificación con la clave privada, que se almacena en el dispositivo móvil y está asociada con la clave pública inscrita. Cada método de autenticación permite la selección de algoritmos compatibles y algoritmos preferidos.
    Algoritmos admitidos
    Algoritmos criptográficos que se pueden utilizar durante la inscripción y las transacciones y desafíos de verificación en tiempo de ejecución. Estos valores se transfieren a los autenticadores móviles durante el proceso de registro.
    Algoritmos preferidos
    Algoritmo criptográfico que se prefiere para las inscripciones de generación de claves.

    Los métodos de autenticación admitidos son:

    Presencia de usuario
    El desafío de tiempo de ejecución requiere que el usuario apruebe o rechace la verificación seleccionando un mensaje de la interfaz de usuario.
    Cara
    El usuario debe completar una autenticación facial basada en el dispositivo. El autenticador móvil almacena la clave privada en la cadena de claves del dispositivo y está protegida por la autenticación de reconocimiento facial basada en dispositivo.
    Huella dactilar
    El usuario debe completar una autenticación de huella dactilar basada en el dispositivo. El autenticador móvil almacena la clave privada en la cadena de claves del dispositivo y está protegida por la autenticación de huella dactilar basada en dispositivo.
  9. Opcional: si ha habilitado la configuración de inicio de sesión con código QR, puede configurar los siguientes ajustes para controlar su comportamiento:
    Tabla 5. Configuración del inicio de sesión con código QR
    Información Descripciones
    Caducidad El número de segundos que el usuario debe escanear el código QR antes de que deje de ser válido para completar el flujo de autenticación.
    Índice de sesión de inicio de sesión
    Número de caracteres
    Especifica el número mínimo de caracteres que se deben utilizar.
    Juego de caracteres
    Define el juego de caracteres alfabéticos y numéricos que se puede utilizar.
    Índice de sesión de dispositivo
    Número de caracteres
    Especifica el número mínimo de caracteres que se deben utilizar.
    Juego de caracteres
    Define el juego de caracteres alfabéticos y numéricos que se puede utilizar.
  10. Seleccione Guardar.

Qué hacer a continuación

Configure políticas de acceso para determinar cuando imponer el uso de un segundo factor para la autenticación. Consulte Gestión del acceso al portal.