Intégration d'authentification multi-facteur externe

Utilisez les informations et conseils suivants pour personnaliser la fonction IBM® Security Verify Webhooks pour l'intégration de l'authentification multi-facteur (MFA) externe.

Présentation de l'authentification MFA externe

IBM Security Verify prend en charge et fournit une infrastructure d'intégration permettant d'intégrer d'autres fournisseurs MFA externes. Le diagramme suivant illustre les principaux composants d'un flux d'intégration MFA externe de bout en bout.

L'image montre le flux de l'application dans le navigateur vers le fournisseur d'authentification multi-facteur externe.

Les expériences utilisateur de demande d'authentification d'exécution MFA externe peuvent être intégrées aux fonctions Verify MFA et à tout autre fournisseur MFA externe. L'expérience d'exécution peut être pilotée par des fonctions de stratégie d'accès et de connexion unique fédérées Verify, qui incluent des personnalisations de page de modèle. En outre, les demande d'authentification MFA externes peuvent être gérés et démarrés par de nouvelles API MFA Verify.

Activez un fournisseur MFA externe dans ISV en configurant les deux objets de configuration suivants :
Fournisseur MFA
Fournit l'accès public et l'environnement d'exécution Verify pour le fournisseur MFA externe et doit être associé à une instance de configuration de webhook en temps réel.
Webhook en temps réel
Fournit aux composants internes Verify l'accès au fournisseur MFA cible sur l'Internet public. Le webhook fournit une connectivité client HTTPS au fournisseur MFA externe. La configuration traite les aspects suivants :
  • Les adresses d'emplacement Internet public où le fournisseur peut être contacté.
  • L'authentification sécurisée et la connexion aux API Web de fournisseur externe.
  • La transformation et le mappage des demandes et réponses.
  • Un ensemble de ressources API que les composants d'exécution interne Verify peuvent démarrer.

De nombreuses intégrations MFA externes peuvent être réalisées en utilisant les fonctions de configuration et de transformation des données fournies par ces deux composants. Plusieurs intégrations et fournisseurs externes pourraient ne pas être en mesure d'utiliser cette méthode. Il peut être nécessaire d'adapter l'API de fournisseur externe à l'implémentation, au déploiement et à la prise en charge d'un composant "médiateur" entre les Verify Webhooks et le fournisseur MFA externe cible. Le médiateur s'exécute dans une infrastructure distincte de Verify et peut être séparé du fournisseur MFA cible. La discussion et la description de ces médiateurs dépassent la portée du présent document, car elles diffèrent de la discussion du contrat d'API à implémenter et qui permet à Verify de s'intégrer à un fournisseur externe en tant que client du fournisseur.

Modèles d'intégration MFA

L'infrastructure MFA et l'environnement d'exécution dans Verify sont basés sur les concepts et la capacité à prendre en charge des modèles d'intégration. Les modèles MFA incluent les fonctions suivantes :
Consulter des inscriptions MFA
Lorsqu'un utilisateur reçoit une demande d'authentification pour MFA, Verify peut offrir à l'utilisateur une sélection de ses facteurs MFA connus, inscrits ou disponibles. Verify effectue une "consultation" des fonctions et facteurs MFA de l'utilisateur authentifié depuis d'un fournisseur MFA externe.
Valider uniquement
Ce modèle MFA est généralement un TOTP. L'utilisateur possède déjà des valeurs ou des jetons à valider et les soumet au canal de validation, qui est généralement le canal authentifié par les utilisateurs, par exemple, un navigateur. Aucune "distribution" de jeton distincte n'a lieu lors de l'exécution de ce modèle MFA.
Initier (ou distribuer) + Valider
Ce modèle MFA est couramment utilisé avec des facteurs tels que le mot de passe à usage unique envoyé par SMS ou courrier électronique. Il s'agit d'une interaction en deux étapes :
  1. Initie la distribution d'une valeur confidentielle de courte durée ou d'un autre jeton à l'utilisateur via un canal de distribution qui est la propriété ou la possession exclusive de l'utilisateur. L'étape est effectuée par le canal, généralement le canal authentifié des utilisateurs comme un navigateur, qui valide également le le secret après sa distribution.
  2. Valide le fait que l'utilisateur a reçu la valeur confidentielle correcte de l'étape précédente. En règle générale, affichage d'une invite de saisie de données pour permettre à l'utilisateur d'entrer la valeur reçue. La validation est généralement effectuée sur le canal actuellement authentifié des utilisateurs.
Initier (ou distribuer) + Attendre le résultat
Il s'agit d'un modèle classique pour les authentificateurs par commande push mobile. De la perspective du canal utilisateur, il s'agit d'une interaction en deux étapes.
  1. Le canal principal actuellement authentifié lance la distribution d'une commande push mobile ou d'une autre notification aux utilisateurs de l'appareil mobile enregistré.
  2. Le canal principal attend ensuite, généralement en effectuant une interrogation, l'état d'achèvement à partir d'un second canal. La validation MFA est habituellement effectuée et complétée sur un canal distinct (le canal de l'appareil mobile).

Lorsque vous concevez et développez de nouvelles intégrations MFA externes, respectez-vous ces modèles d'intégration. Presque toutes les intégrations doivent prendre en charge la consultation des inscriptions MFA et au moins un des trois autres modèles. Ces modèles forment la base du contrat d'API MFA externe Verify. Voir IBM Verify contrat de l'API d'intégration de l'AMF externe.