Integrazione di autenticazione multi - factor esterna

Utilizza le seguenti informazioni e istruzioni per personalizzare la funzione IBM® Security Verify Webhooks per l'integrazione MFA (multi - factor authentication) esterna.

Panoramica MFA esterna

IBM Security Verify supporta e fornisce un framework di integrazione per abilitare l'integrazione con altri provider MFA esterni. Il seguente diagramma illustra i componenti principali di una fine per terminare il flusso di integrazione MFA esterno.

L'immagine mostra il flusso dall'applicazione nel browser al provider MFA esterno.

Le esperienze utente delle sfide di runtime MFA esterne possono essere integrate con le funzioni MFA Verify e con qualsiasi altro provider MFA esterno. L'esperienza di runtime può essere guidata dalle funzionalità di SSO (single sign - on) federato Verify e dalla politica di accesso, che comprendono le personalizzazioni della pagina del modello. Inoltre, le sfide MFA esterne possono essere guidate e avviate dalle nuove API MFA Verify .

Abilitare un provider MFA esterno in ISV configurando questi due oggetti di configurazione:
Provider MFA
Fornisce il runtime e l'accesso pubblico Verify per il provider MFA esterno e deve essere associato a una istanza di configurazione webhook Realtime.
Webhook realtime
Fornisce i componenti interni Verify con accesso al provider MFA di destinazione su Internet pubblico. Il webhook fornisce la connettività client HTTPS al provider MFA esterno. La configurazione gestisce i seguenti aspetti:
  • Gli indirizzi di posizione internet pubblica dove il provider può essere contattato.
  • Autenticazione sicura e connessione alle API web del provider esterno.
  • Richiesta e trasformazione della richiesta e della risposta.
  • Una serie di risorse API che possono essere avviate dai componenti di runtime interni Verify .

Molte integrazioni MFA esterne possono essere ottenute utilizzando le funzionalità di configurazione e di trasformazione dei dati che vengono fornite da quei due componenti. Alcune integrazioni e provider esterni potrebbero non essere in grado di utilizzare tale metodo. Potrebbe essere necessario adattare l'API del provider esterno con l'implementazione, la distribuzione e il supporto di un componente "mediator" tra i Webhook Verify e il provider MFA esterno di destinazione. Il mediator viene eseguito in un'infrastruttura separata da Verify e possibilmente separata dal provider MFA di destinazione. La discussione e la descrizione di tali mediator è al di là dell'ambito di questo documento diverso dalla discussione del contratto API che deve essere implementato che consente a Verify di integrarsi con un provider esterno come client del fornitore.

Modelli di integrazione MFA

Il framework MFA e il runtime in Verify sono basati sui concetti e sulla possibilità di supportare modelli di integrazione. I modelli MFA includono le seguenti funzionalità:
Iscrizioni MFA di ricerca
Quando un utente viene sottoposto a richiesta di MFA, Verify può offrire all'utente una selezione dei suoi fattori MFA noti, iscritti o disponibili. Verify esegue una "ricerca" dei fattori e delle funzioni MFA dell'utente autenticato da un fornitore MFA esterno.
Solo convalida
Questo modello MFA è tipicamente un TOTP. L'utente ha già il possesso dei valori o dei token da convalidare e li sottopone al canale di validazione, che è tipicamente l'attuale canale autenticato degli utenti, ad esempio un browser. Nessun token separato "delivery" si verifica in fase di esecuzione per questo modello MFA.
Avviare (o consegnare) + Validate
Questo modello MFA è comunemente utilizzato con fattori come SMS e email OTP. Si tratta di un'interazione a due passi:
  1. Inizia la consegna di un valore segreto di breve durata o altro token all'utente tramite qualche canale di consegna in possesso esclusivo o proprietà dell'utente. Il passo viene eseguito dal canale, tipicamente gli utenti presentiamo attualmente canale autenticato come un browser, che convalida anche il segreto dopo la sua consegna.
  2. Convalida che l'utente abbia ricevuto il valore segreto corretto dal passo precedente. Di solito visualizzare un qualche prompt dei dati per consentire all'utente di digitare il valore ricevuto. La validazione è tipicamente eseguita negli utenti presentamente canale autenticato.
Avviare (o consegnare) + Attendi risultato
Questo modello è tipico per gli autenticatori di spinta mobile. Dalla prospettiva del canale di affidamento, si tratta di un'interazione a due passi.
  1. Il canale primario attualmente autenticato sigla la consegna di una spinta mobile o altra notifica agli utenti registrati dispositivo mobile.
  2. Il canale principale poi attende, tipicamente tramite polling, per uno stato di completamento da un secondo canale. La validazione MFA viene di solito eseguita e completata in un canale separato (il canale del dispositivo mobile).

Quando progetta e sviluppa nuove integrazioni MFA esterne, aderisce a questi modelli di integrazione. Quasi tutte le integrazioni devono supportare le iscrizioni di Lookup MFA e almeno uno degli altri tre modelli. Questi modelli formano la base del contratto dell'API MFA esterna Verify . Vedere IBM Verify Contratto API di integrazione MFA esterno.