Configuration de facteurs d'authentification

Modifier en ligne

Verify prend en charge l'authentification à deux facteurs. Il s'agit d'un type d'authentification multi-facteur qui implique l'utilisation d'un second facteur, généralement un code généré par le système que l'utilisateur doit fournir pour prouver son identité. Appliquez l'utilisation d'un deuxième facteur d'authentification pour un contrôle de sécurité plus important sur les utilisateurs lorsqu'ils se connectent à une application développée et intégrée à Verify. Sélectionnez le deuxième facteur d'authentification à présenter aux utilisateurs.

Avant de commencer

  • Regardez une vidéo sur Verify l'authentification multifactorielle dans la IBM Security Learning Academy.
  • Vous devez disposer des droits d'administration pour effectuer cette tâche.
  • Connectez-vous à la console d'administration IBM® Verify en tant qu'administrateur.

A propos de cette tâche

Le premier facteur d'authentification est généralement le nom d'utilisateur et le mot de passe, un code QR ou une clé d'accès.
Remarque: Pour les utilisateurs, le terme clé d'accès est utilisé à la place de l'appareil FIDO pour offrir une expérience plus conviviale.
Le deuxième facteur d'authentification est quelque chose que l'utilisateur possède, généralement un code numérique ou alphanumérique généré automatiquement et envoyé à l'utilisateur. Verify utilise l'application IBM Verify , l'application Authenticator, passkeyet le mot de passe à utilisation unique (OTP) comme deuxième facteur d'authentification. Le mot de passe unique peut être transmis par message électronique, par SMS et vocalement. Il peut également être limité dans le temps et être validé sans aucun mécanisme de distribution.

Un mot de passe à utilisation unique est valide pendant un délai spécifique. Il est invalidé après une connexion réussie de l'utilisateur ou lorsqu'il arrive à expiration.

Note : En raison des nouvelles restrictions imposées par la réglementation chinoise en matière de télécommunications, " IBM Verify n'est pas en mesure de garantir que les SMS et les messages vocaux sont acheminés de manière fiable en Chine. En raison de ces restrictions, Verify ne peut actuellement pas prendre en charge les messages vocaux et SMS envoyés à la Chine. Pour une liste des pays que Verify prend en charge pour les messages SMS et vocaux, voir Pays pris en charge pour les messages SMS et vocaux.

Procédure

  1. Sélectionnez Authentification > Facteurs d'authentification.
  2. Définir les paramètres généraux d'authentification multi-facteur
    1. Sélectionnez l'action lorsqu'aucun facteur d'authentification n'existe pour l'utilisateur.
      • Refusez l'authentification.
      • Donnez à l'utilisateur l'option d'inscrire un facteur.
    2. Sélectionnez la source autorisée pour le facteur d'authentification.
      • Méthodes inscrites par l'utilisateur : Les méthodes de vérification choisies par l'utilisateur à partir du panneau de lancement de l'utilisateur > Profil et paramètres > Sécurité.
      • Attributs du profil de l'utilisateur et méthodes inscrites : Outre les méthodes inscrites par l'utilisateur, les informations relatives à l'utilisateur telles qu'elles sont stockées dans son profil sous Annuaire > Utilisateurs et groupes sont prises en compte.
    3. Indiquez s'il faut avertir les utilisateurs lorsque des modifications sont apportées à leurs paramètres MFA.
      • Aucune notification
      • Notifier par courrier électronique
      • Notifier par SMS
      • Notifier par toute méthode disponible
      • Notifier par toutes les méthodes disponibles
    4. Indiquer si l'utilisateur peut remplacer les notifications de changement
      Ne pas autoriser les remplacements d'utilisateur
      Les options de notification de changement MFA définies sur le titulaire doivent être utilisées.
      Autoriser l'utilisateur à remplacer
      Les utilisateurs peuvent modifier les options de notification de changement MFA pour personnaliser leur expérience.
      Obligatoire
      Les notifications de changement MFA ne peuvent pas être désactivées par l'utilisateur. L'utilisateur doit avoir au moins une méthode disponible pour la notification de changement MFA.
  3. Indiquez si les utilisateurs doivent avoir plusieurs MFA pour l'authentification.
    Remarque: les inscriptions doivent être uniques. Par exemple, si vous utilisez le même numéro de téléphone pour SMS et VOTP, il ne s'agit que d'une seule inscription. Si vous utilisez votre numéro de téléphone cellulaire pour SMS et votre numéro de téléphone de bureau pour VOTP, alors il s'agit de deux inscriptions.
    1. Cochez la case Définir le nombre minimal d'inscriptions pour définir le nombre d'inscriptions multi-facteur que l'utilisateur doit avoir.
      Le minimum requis est d'un. Le maximum est de 25. L'exigence est horodaté avec la date en cours. À compter de cette date, les utilisateurs sont tenus de configurer leur nombre minimal d'inscriptions MFA lorsqu'ils se connectant à leurs applications.
      Remarque : Verify prend en compte les inscriptions externes à l'AMF, telles que DUO ou d'autres fournisseurs pris en charge, lors de l'évaluation des inscriptions minimales requises.
    2. Facultatif : vous pouvez cocher la case Autoriser les utilisateurs finaux à ignorer les inscriptions pour définir un délai de grâce pour les utilisateurs existants.
      Note: Cette option permet aux utilisateurs d'ignorer les inscriptions uniquement lorsqu'ils disposent déjà d'une ou plusieurs inscriptions pour effectuer une authentification à deuxième facteur. Sinon, ils doivent s'inscrire à au moins une inscription au second facteur pour activer cette option.
      Pendant la période de grâce, les utilisateurs peuvent toujours se connecter à leurs applications sans les inscriptions MFA requises. Une fois le délai de grâce expiré, les utilisateurs ne peuvent pas accéder à leurs applications tant qu'ils n'ont pas satisfait aux exigences de plusieurs MFA. Le délai de grâce est basé sur l'horodatage de la date de début. Pour les utilisateurs nouvellement inscrits, le délai de grâce commence après leur enregistrement.
    3. Sélectionnez au moins un fournisseur d'identité auquel s'applique l'exigence MFA minimale.
      Vous ne pouvez pas enregistrer vos modifications tant que vous n'avez pas sélectionné au moins un fournisseur d'identité. Cochez la case Fournisseurs d'identité pour appliquer l'exigence à tous les fournisseurs d'identité.
  4. Sélectionnez les facteurs d'authentification que vous souhaitez activer ou désactiver pour vos utilisateurs Verify .
    Remarque :
    • Lorsqu'il est sélectionné, le facteur d'authentification est activé pour l'exécution et ses paramètres configurables sont affichés.
    • Vous pouvez activer plusieurs facteurs d'authentification. Dans ce cas, les utilisateurs sont invités à choisir leur méthode préférée avant la fourniture et la validation du mot de passe à utilisation unique.
    Facteur d'authentificationDescriptions
    Paramètres d'authentification multi-facteur généraux
    Lorsque aucun facteur n'est présent au cours d'une demande d'authentification multi-facteur
    Si l'accès à une application nécessite une authentification à deux facteurs et qu'aucun facteur n'est enregistré, sélectionnez si l'authentification échoue ou si vous autorisez les utilisateurs à enregistrer un facteur d'authentification.
    Autoriser les deuxièmes facteurs provenant des sources suivantes :
    Par défaut, les deuxièmes facteurs sont admis à partir des attributs de profil utilisateur et des méthodes inscrites. L'adresse électronique et le numéro de téléphone portable figurant dans le profil de l'utilisateur, ainsi que toutes les méthodes d'authentification enregistrées, peuvent être utilisés comme deuxième facteur d'authentification. Vous pouvez également choisir de limiter les deuxièmes facteurs aux méthodes d'authentification qui sont enregistrées dans Verify.
    Biométrie comportementale Détecte les anomalies de comportement lors de l'authentification par nom d'utilisateur et mot de passe traditionnels.
    Mot de passe à utilisation unique avec e-mail

    Le mot de passe est généré et envoyé à l'adresse électronique enregistrée de l'utilisateur.

    Cette option est activée par défaut.

    Remarque: L'utilisateur doit avoir une adresse électronique enregistrée. Faute de quoi, cette option n'est pas présentée à l'utilisateur, y compris si elle est sélectionnée, car le mot de passe à utilisation unique ne peut pas être remis à l'utilisateur.
    Mot de passe à utilisation unique avec SMS

    Le mot de passe est généré et envoyé au numéro de mobile enregistré de l'utilisateur.

    Cette option est activée par défaut.

    Remarque: L'utilisateur doit disposer d'un numéro de mobile enregistré. Faute de quoi, cette option n'est pas présentée à l'utilisateur, y compris si elle est sélectionnée, car le mot de passe à utilisation unique ne peut pas être remis à l'utilisateur.
    Mot de passe à utilisation unique limitée dans le temps

    Le mot de passe est généré à l'aide de l'algorithme standard de mot de passe à utilisation unique et limitée dans le temps.

    Les mots de passe ne sont ni transmis ni stockés. Ils sont vérifiés en tant que correspondance entre un serveur de validation TOTP et un client, car ils sont générés à intervalles réguliers.

    Tout d'abord, l'utilisateur doit ouvrir un compte en scannant l'image d'un code QR ou en fournissant le secret équivalent dans une application mobile TOTP comme IBM Verify ou Google Authenticator.
    Remarque: L'utilisateur doit disposer d'un numéro de téléphone portable enregistré et avoir téléchargé et installé IBM Verify ou Google Authenticator.
    Envoyer un mot de passe à utilisation unique par message vocal

    Le mot de passe est généré et envoyé au numéro de téléphone enregistré de l'utilisateur. Il peut s'agir d'un téléphone portable ou fixe.
    Authentification IBM Verify L'authentification est effectuée par le biais d'une demande d'authentification de l'environnement d'exécution qui vérifie que l'utilisateur est présent physiquement sur l'appareil. L'authentification par empreinte digitale sur l'appareil peut également être requise.
    Remarque : l'utilisateur doit télécharger et installer IBM Verify ou une application mobile personnalisée qui utilise le SDK mobile IBM Verify. Il doit également disposer d'un authentificateur mobile enregistré.
    Configuration de la connexion avec un code Quick Response

    Une application peut initier une transaction de vérification qrlogin, attendre que la demande de vérification soit traitée par l'utilisateur avec IBM Verify, puis continuer la configuration de l'accès à l'environnement d'exécution. Voir Authentification sans mot de passe par QR code.
    Remarque : pour activer l'authentification à l'aide d'une clé d'accès, consultez la section Gestion FIDO2 des appareils.
  5. Facultatif : si vous avez activé le mot de passe à usage unique par e-mail ou par SMS, vous pouvez configurer les paramètres suivants pour contrôler son comportement :
    Tableau 1. Paramètres du mot de passe à usage unique par e-mail et SMS
    Informations Descriptions
    Expiration (secondes) Durée de validité du mot de passe.
    Longueur

    Nombre de caractères inclus dans la valeur du mot de passe à utilisation unique.

    La valeur minimale est 1.

    La valeur maximale est 20.

    La valeur par défaut est 6.
    Jeu de caractères du mot de passe

    Ensemble des caractères valides pouvant être inclus dans la valeur du mot de passe à utilisation unique. Il peut s'agir de caractères alphabétiques et numériques.

    La valeur par défaut est 0123456789.
    Nouvelles tentatives Nombre d'échecs d'authentification autorisés avant que le mot de passe n'expire et que l'utilisateur doive démarrer une nouvelle transaction d'authentification.
    Domaines autorisés Indiquez les domaines de courrier électronique auxquels le message de mot de passe OTP peut être envoyé. Vous pouvez spécifier plusieurs domaines. Vous pouvez utiliser des modèles regex pour spécifier d'autres domaines.
    Domaines refusés Indiquez un domaine de courrier électronique auquel le message de mot de passe OTP peut être envoyé. Vous pouvez spécifier plusieurs domaines. Vous pouvez utiliser des modèles regex pour spécifier d'autres domaines.
  6. Facultatif : si vous avez activé le mot de passe unique basé sur le temps, vous pouvez configurer les paramètres suivants pour contrôler son comportement :
    Tableau 2. Paramètres du mot de passe à usage unique basé sur le temps
    Paramètres Descriptions
    Algorithme de hachage

    Algorithme qui génère le mot de passe à utilisation unique limitée dans le temps (TOTP). L'algorithme TOTP utilise un code d'authentification de message basé sur un hachage (HMAC) combiné à une fonction de hachage SHA.

    Sélectionnez l'une des options suivantes :
    • HMAC-SHA-1
    • HMAC-SHA-256
    • HMAC-SHA-512

    HMAC-SHA-1 est l'algorithme de hachage par défaut.
    Intervalle de génération (secondes)

    Délai maximal en secondes durant lequel le mot de passe à utilisation unique est valide avant la génération du prochain mot de passe TOTP. Passé ce délai, le générateur de mots de passe TOTP et le serveur de validation génèrent un nouveau mot de passe TOTP.

    La valeur par défaut est 30.

    Remarque: Les modifications apportées à l'intervalle affectent uniquement les inscriptions qui se produisent après la modification. Les inscriptions existantes continuent d'utiliser la valeur précédente. Pour utiliser la nouvelle valeur, les inscriptions existantes doivent être supprimées et recréées.
    Intervalles de décalage d'horloge

    L'intervalle de décalage est le nombre d'intervalles (± nombre d'intervalles) à partir de l'horodatage de l'unité client, pour lequel le serveur accepte le système OTP généré.

    A titre d'exemple : En utilisant le tableau suivant qui répertorie les valeurs OTP pour des intervalles de sept générations, considérons une vérification OTP où l'heure actuelle sur le serveur correspond à l'intervalle " 0. Si Intervalles de décalage d'horloge a pour valeur 2, la validation du mot de passe à utilisation unique peut aboutir si l'utilisateur présente l'une des valeurs de mot de passe à utilisation unique comprises entre les intervalles 0 à 2.
    Intervalle Horodatage mot de passe à utilisation unique
    3 09:00:10 876 123
    2 09:00:40 543 456
    1 09:01:10 210 789
    0 09:01:40 987 012
    1 09:02:10 654 345
    2 09:02:40 321 678
    3 09:03:10 761901

    La valeur par défaut est 1 et la valeur minimale autorisée est 0.
    Chiffres

    Nombre de caractères inclus dans la valeur du mot de passe à utilisation unique.

    La valeur minimale est 6.

    La valeur maximale est 12.
    URL de clé secrète

    URL qui fournit la clé secrète et génère le code QR.

    Le format URL peut inclure des informations spécifiques à votre environnement, comme le nom de votre société.

    URL par défaut : otpauth://totp/IBM%20Security%20Verify:@USER_NAME@?secret=@SECRET_KEY@&issuer=IBM%20Security%20Verify&algorithm=@ALGORITHM@&digits=@DIGITS@&period=@PERIOD@

    Remarque : l' URL ne doit PAS contenir http ou https. Elle doit toujours commencer par otpauth://totp/
    Utilisation unique

    Indique s'il convient de mettre en cache le mot de passe à utilisation unique pour qu'il soit réutilisé lorsqu'il est utilisé pour se connecter à une ressource cible.

    Si cette option est activée, une valeur TOTP valide peut être utilisée au maximum une fois sur le serveur de validation. Si cette option n'est pas activée, une valeur TOTP valide peut être utilisée plusieurs fois au cours de sa période de validité.

    Cette option est sélectionnée par défaut. Lorsque cette option est sélectionnée, les utilisateurs ne peuvent pas réutiliser le mot de passe lorsqu'il est en mémoire cache.
    Inscriptions par utilisateur

    Nombre maximal d'inscriptions qu'un utilisateur spécifique peut inscrire.

    La valeur minimale est 1.

    La valeur maximale est 5.
  7. Facultatif : si vous avez activé le mot de passe vocal à usage unique, vous pouvez configurer les paramètres suivants pour contrôler son comportement :
    Tableau 3. Paramètres du mot de passe vocal à usage unique
    Informations Descriptif
    Expiration (secondes) Durée de validité du mot de passe.
    Longueur Nombre de caractères contenus dans le mot de passe. La longueur doit être au moins d'un caractère.
    Jeu de caractères Caractères qui peuvent être utilisés dans le mot de passe. Il peut s'agir de caractères alphabétiques et numériques.
    Nouvelles tentatives Nombre d'échecs d'authentification autorisés avant que le mot de passe n'expire et que l'utilisateur doive démarrer une nouvelle transaction d'authentification.
  8. Facultatif : Si vous avez activé IBM Verify l'authentification, vous pouvez configurer les paramètres suivants pour contrôler son comportement :
    Tableau 4. IBM Verify paramètres d'authentification
    Informations Descriptions
    Code de corrélation
    Remarque :
    • Au moins une des méthodes d'authentification Verify doit être activée pour utiliser un code de corrélation.
    • Si vous avez personnalisé vos pages OTP, elles doivent être mises à jour avec la nouvelle logique du code de corrélation.
    Cette option permet d'utiliser un code de corrélation en plus de l'une des méthodes d'authentification. Le défi d'exécution invite l'utilisateur à saisir le code de corrélation qui s'affiche à l'écran dans l'application IBM Verify avant d'approuver ou de refuser la vérification.
    IBM Verify méthodes d'authentification Les méthodes d'authentification sont prises en charge par IBM Verify ou par une application mobile personnalisée qui utilise le SDK mobile d' IBM Verify. Ils fournissent une vérification de base, hors bande, qu'un utilisateur est présent et possède un authentificateur mobile enregistré. L'inscription est incorporée par l'échange d'une clé publique, qui est générée sur l'authentificateur mobile et'inscrite'avec Verify. Une vérification approuvée est indiquée dans Verify lorsque l'authentificateur mobile signe des données de transaction de vérification avec la clé privée, qui est stockée sur l'appareil mobile et associée à la clé publique inscrite. Chaque méthode d'authentification permet de sélectionner les algorithmes pris en charge et les algorithmes préférés.
    Algorithmes pris en charge
    Algorithmes cryptographiques pouvant être utilisés au cours des demandes d'authentification et des transactions pour la vérification de l'inscription et de l'exécution. Ces paramètres sont transférés à des authentificateurs mobiles au cours du processus d'enregistrement.
    Algorithme préféré
    Algorithme cryptographique recommandé pour les inscriptions de génération de clé.

    Les méthodes d'authentification prises en charge sont les suivantes :

    Présence de l'utilisateur
    Le défi de l'exécution nécessite que l'utilisateur approuve ou refuse la vérification en sélectionnant une invite de l'interface utilisateur.
    Visage
    L'utilisateur doit procéder à une authentification faciale basée sur l'appareil. La clé privée est stockée par l'authentificateur mobile dans la chaîne de certificats de l'appareil et est protégée par l'authentification par reconnaissance faciale sur l'appareil.
    Empreinte digitale
    L'utilisateur doit procéder à une authentification par empreinte digitale basée sur l'appareil. La clé privée est stockée par l'authentificateur mobile dans la chaîne de certificats de l'appareil et est protégée par l'authentification par empreinte digitale sur l'appareil.
  9. Facultatif : si vous avez activé la configuration de connexion par code QR, vous pouvez configurer les paramètres suivants pour contrôler son comportement :
    Tableau 5. Paramètres de configuration de la connexion par code QR
    Informations Descriptions
    Expiration Nombre de secondes pendant lesquelles l'utilisateur doit scanner le code QR avant qu'il ne soit plus valide pour terminer le processus d'authentification.
    Index de session de connexion
    Nombre de caractères
    Spécifie le nombre minimal de caractères à utiliser.
    Jeu de caractères
    Définit le jeu de caractères alphabétiques et numériques pouvant être utilisés.
    Index de session d'appareil
    Nombre de caractères
    Spécifie le nombre minimal de caractères à utiliser.
    Jeu de caractères
    Définit le jeu de caractères alphabétiques et numériques pouvant être utilisés.
  10. Sélectionnez Sauvegarder.

Que faire ensuite

Configurez des stratégies d'accès pour déterminer à quel moment appliquer l'utilisation d'un second facteur pour l'authentification. Voir Gestion de l'accès au portail.