Configurazione dell'autenticazione a due fattori

Modifica online

Verify supporta l'autenticazione a due fattori. E'un tipo di autenticazione multifattoriale che comporta l'utilizzo di un secondo fattore, tipicamente un codice generato dal sistema che l'utente deve fornire per provare la propria identità. Applicare l'utilizzo di un secondo fattore di autenticazione per un maggiore controllo di sicurezza sugli utenti quando si collegano a qualsiasi applicazione sviluppata e integrata con Verify. Scegliere quale secondo fattore di autenticazione per richiedere agli utenti.

Prima di iniziare

Guarda un video Verify sull'autenticazione multifattoriale nella IBM Security Learning Academy.
Si deve avere l'autorizzazione amministrativa per completare questa attività.
Accedere alla console di amministrazione di IBM® Verify come amministratore.

Informazioni su questa attività

Il primo fattore di autenticazione è in genere il nome utente e la password, un codice QR o una passkey.

Nota: per gli utenti, il termine passkey viene utilizzato al posto del dispositivo FIDO per fornire un'esperienza più user - friendly.

Il secondo fattore di autenticazione è qualcosa di cui l'utente dispone, in genere un codice numerico o alfanumerico generato automaticamente e inviato all'utente. Verify utilizza l'app IBM Verify , l'applicazione Authenticator, passkeye OTP (one - time password) come secondo fattore per l'autenticazione. L'OTP può essere consegnato tramite email, SMS, Voice o può essere basato sul tempo e convalidato senza meccanismo di consegna.

Un OTP è valido per un orario specifico. Diventa non valido dopo un login utente di successo o quando scade.

Nota: a causa delle nuove restrizioni imposte dalle normative cinesi sulle telecomunicazioni, " IBM Verify non è in grado di garantire la consegna affidabile di SMS e messaggi vocali in Cina. A causa di queste restrizioni, Verify attualmente non può supportare i messaggi Voice e SMS inviati in Cina. Per un elenco dei Paesi supportati da Verify per i messaggi SMS e vocali, vedere Paesi supportati per SMS e voce.

Procedura

Selezionare Autenticazione > Fattori di autenticazione.
Impostare le impostazioni di autenticazione multi - factor generale
1. Selezionare l'azione quando non esistono fattori di autenticazione per l'utente.
  - Negare l'autenticazione.
  - Dare all'utente la possibilità di iscrivi un fattore.
2. Selezionare la sorgente consentita per il fattore di autenticazione.
  - Metodi scelti dall'utente: I metodi di verifica scelti dall'utente dal pannello di lancio Utente > Profilo e impostazioni > Sicurezza.
  - Attributi del profilo utente e metodi di iscrizione: Oltre ai metodi di iscrizione dell'utente, si considerano le informazioni dell'utente memorizzate nel suo profilo in Directory > Utenti e gruppi.
3. Selezionare se notificare gli utenti quando le modifiche vengono apportate alle relative impostazioni MFA.
  - Nessuna notifica
  - Notifica per email
  - Notifica tramite SMS
  - Notifica con qualsiasi metodo disponibile
  - Notifica con tutti i metodi disponibili
4. Specificare se l'utente può sovrascrivere le notifiche di modifica
  
  Non consentire alle sovrascritture dell'utente
  
  Le opzioni di notifica di modifica MFA impostate sull'inquilino devono essere utilizzate.
  
  Consentire all'utente di sovrascrivere
  
  Gli utenti possono modificare le opzioni di notifica di modifica di MFA per personalizzare la loro esperienza.
  
  Obbligatorio
  
  Le notifiche di modifica MFA non possono essere disattivate dall'utente. L'utente deve avere almeno un metodo disponibile per la notifica di modifica MFA.
Selezionare se richiedere agli utenti di avere più MFA per l'autenticazione.

Nota: I rollamenti devono essere univoci. Ad esempio, se si utilizza lo stesso numero di telefono per SMS e VOTP, si tratta di una sola iscrizione. Se si utilizza il numero di cellulare per SMS e il numero di telefono dell'ufficio per VOTP, allora sono due le iscrizioni.
1. Selezionare la casella di controllo Imposta numero minimo di iscrizioni per impostare il numero di iscrizioni multi - fattore che l'utente deve avere.
  Il requisito minimo è uno. Il massimo è 25. Il requisito è timbrato con la data corrente. A partire da quella data, gli utenti sono tenuti a impostare le loro minime iscrizioni MFA quando si collegano alle loro applicazioni.
  Nota: Verify considera le iscrizioni esterne all'AMF, come la DUO o altri fornitori supportati, quando valuta le iscrizioni minime richieste.
2. Facoltativo: è possibile selezionare la casella di controllo Consenti agli utenti finali di saltare le iscrizioni per impostare un periodo di tolleranza per gli utenti esistenti.
  Nota: questa opzione consente agli utenti di saltare le registrazioni solo quando hanno già una o più registrazioni per eseguire l'autenticazione a due fattori. Altrimenti, devono registrarsi ad almeno una registrazione con secondo fattore per abilitare questa opzione.
  Durante il periodo di grazia, gli utenti possono ancora accedere alle loro applicazioni senza le iscrizioni MFA richieste. Dopo la scadenza del periodo di grazia, gli utenti non possono accedere alle loro applicazioni fino a quando non esaudono il requisito MFA multiplo. Il periodo di grazia si basa sulla data di inizio della data. Per gli utenti neo iscritti, il periodo di grazia inizia dopo la loro registrazione.
3. Selezionare almeno un provider di identità a cui si applica il requisito minimo MFA.
  Non è possibile salvare le modifiche fino a selezionare almeno un provider di identità. Selezionare la casella di controllo Identity provider per applicare il requisito a tutti i provider di identità.

Selezionare i fattori di autenticazione che si desidera abilitare o disabilitare per gli utenti Verify .

Nota:

Quando viene selezionato, viene abilitato il fattore di autenticazione per l'utilizzo di runtime e le relative impostazioni configurabili.
È possibile abilitare più fattori di autenticazione. Se lo si fa, gli utenti vengono spinti a scegliere il metodo preferito prima che la password one-time venga consegnata e convalidata.

Fattore di autenticazione	Descrizioni
Impostazioni generali di autenticazione a più fattori (MFA)	Quando non sono presenti fattori durante una sfida MFA Se l'accesso a un'applicazione richiede l'autenticazione a due fattori e non sono stati registrati fattori, selezionare se l'autenticazione fallisce o se consentire agli utenti di registrare un fattore di autenticazione. Consentire i secondi fattori dalle seguenti fonti Per impostazione predefinita, i secondi fattori sono consentiti sia dagli attributi del profilo utente che dai metodi iscritti. L'e-mail e il numero di cellulare del profilo dell'utente e tutti i metodi di autenticazione registrati sono disponibili per l'uso come secondo fattore di autenticazione. È anche possibile selezionare di limitare il secondo fattore ai metodi di autenticazione registrati in Verify.
Biometrica comportamentale	Rileva anomalie di digitazione comportamentale durante l'autenticazione tradizionale e l'autenticazione della password.
One-Time Password email	La password viene generata e inviata all'indirizzo email registrato dell'utente. Questa opzione viene abilitata per impostazione predefinita. Nota: L'utente deve avere un indirizzo email registrato. In caso contrario, questa opzione non viene presentata all'utente anche se viene selezionata perché la password one-time non può essere consegnata all'utente.
One-Time Password SMS	La password viene generata e inviata al numero mobile registrato dell'utente. Questa opzione viene abilitata per impostazione predefinita. Nota: L'utente deve avere un numero mobile registrato. In caso contrario, questa opzione non viene presentata all'utente anche se viene selezionata perché la password one-time non può essere consegnata all'utente.
One-time Password basata sul tempo	La password viene generata utilizzando l'algoritmo di password a tempo determinato standard. Le password non vengono consegnate o memorizzate. Vengono verificati come corrispondenza tra un server di convalida TOTP e un client, poiché vengono generati a intervalli regolari. Innanzitutto, l'utente deve registrare un account scansionando l'immagine di un codice QR o fornendo il segreto equivalente in un'applicazione mobile TOTP come IBM Verify o Google Authenticator. Nota: L'utente deve avere un numero mobile registrato, e scaricato e installato IBM Verify o Google Authenticator.
OTP (One-Time Password) vocale	La password viene generata e inviata al numero di telefono registrato dall'utente. Il numero di telefono può essere per un telefono cellulare o per telefono fisso.
Autenticazione IBM Verify	L'autenticazione viene eseguita attraverso una sfida di runtime che verifica che l'utente sia fisicamente presente al dispositivo. Può anche richiedere un'autenticazione di impronte digitali basata su dispositivi. Nota: l'utente deve scaricare e installare IBM Verify o un'applicazione mobile personalizzata che utilizza l'IBM Verify mobile SDK. L'utente deve avere anche un autenticatore mobile registrato.
Configurazione di accesso al codice QR	Un'applicazione può avviare una transazione di verifica qrlogin, quindi attende che tale richiesta di verifica venga completata dall'utente con IBM Verifye poi continua l'accesso al runtime. Vedi Autenticazione senza password tramite QR login.

Nota: per abilitare l'autenticazione tramite passkey, vedere Gestione dei dispositivi FIDO2.

Facoltativo: se hai abilitato la password monouso via e-mail o SMS, puoi configurare le seguenti impostazioni per controllarne il comportamento:

Tabella 1. Impostazioni password monouso via e-mail e SMS
Informazioni	Descrizioni
Scadenza (secondi)	Quanto tempo il codice di accesso è valido.
Lunghezza	Il numero di caratteri inclusi nel valore della parola d'ordine di una volta. Il valore minimo è `1`. Il valore massimo è `20`. Il valore predefinito è `6`.
Serie di caratteri della password	La serie di caratteri validi che possono essere inclusi nel valore della password one-time. Possono essere caratteri alfabetici e numerici. Il valore predefinito è `0123456789`.
Nuovi tentativi	Il numero di errori di autenticazione consentiti prima della scadenza della password e l'utente deve avviare una nuova transazione di autenticazione.
Domini consentiti	Specificare i domini email a cui è possibile inviare il messaggio di password OTP. È possibile specificare più domini. È possibile utilizzare modelli regex per specificare più domini.
Domini non consentiti	Specificare eventuali domini email che il messaggio di password OTP non deve essere inviato a. È possibile specificare più domini. È possibile utilizzare modelli regex per specificare più domini.

Opzionale: Se hai abilitato la password monouso basata sul tempo, puoi configurare le seguenti impostazioni per controllarne il comportamento:

Impostazioni Descrizioni

Algoritmo hash

L'algoritmo che genera la password one-time basata sul tempo. L'algoritmo TOTP utilizza il codice di autenticazione del messaggio basato su hash (HMAC) combinato con la funzione hash di SHA.

Selezionare dalle seguenti opzioni:

HMAC-SHA-1
HMAC-SHA-256
HMAC-SHA-512

HMAC-SHA-1 è l'algoritmo hash predefinito.

Intervallo di generazione (secondi)

Il numero massimo di secondi che l'OTP è valido prima che venga generato il prossimo TOTP. Dopo questo tempo, il generatore di TOTP e la validazione del server generano un nuovo TOTP.

Il valore predefinito è 30.

Nota: Modifiche all'intervallo interessano solo le iscrizioni che si verificano dopo la modifica. Le iscrizioni esistenti continuano ad utilizzare il valore precedente. Per utilizzare il nuovo valore, le iscrizioni esistenti devono essere eliminate e ricreate.

Intervalli di deviazione

L'intervallo di skew è il ± numero di intervalli dalla data / ora del dispositivo client, per il quale il server accetta l'OTP generato.

Ad esempio: Utilizzando la seguente tabella che elenca i valori OTP per intervalli di sette generazioni, si consideri una verifica OTP in cui l'ora corrente sul server corrisponde all'intervallo '0. Se Intervalli di disallineamento è impostato su 2, la convalida OTP può avere esito positivo se l'utente presenta uno qualsiasi dei valori OTP dagli intervalli 0 fino a 2.

Intervallo	Data/ora	OTP
3	`09:00:10`	`876 123`
ERROR! SEGMENT DATA CORRUPTED, SEGDATA=2	`09:00:40`	`543 456`
ERROR! SEGMENT DATA CORRUPTED, SEGDATA=1	`09:01:10`	`210 789`
da 0	`09:01:40`	`987 012`
ERROR! SEGMENT DATA CORRUPTED, SEGDATA=1	`09:02:10`	`654 345`
ERROR! SEGMENT DATA CORRUPTED, SEGDATA=2	`09:02:40`	`321 678`
3	`09:03:10`	`761901`

Il valore predefinito è 1 e il valore minimo consentito è 0.

Cifre

Il numero di caratteri inclusi nel valore della parola d'ordine di una volta.

Il valore minimo è 6.

Il valore massimo è 12.

URL chiave segreta

L' URL che fornisce la chiave segreta e genera il codice QR.

Il formato dell' URL potrebbe includere informazioni specifiche del vostro ambiente, come il nome della vostra azienda.

L' URL predefinito è: otpauth://totp/IBM%20Security%20Verify:@USER_NAME@?secret=@SECRET_KEY@&issuer=IBM%20Security%20Verify&algorithm=@ALGORITHM@&digits=@DIGITS@&period=@PERIOD@

Nota: l' URL NON deve contenere http o https. Deve sempre iniziare con otpauth://totp/

Utilizzo one-time

Indica se memorizzare nella cache la password one-time per il riutilizzo quando viene utilizzata per accedere correttamente ad una risorsa di destinazione.

Se abilitato, un valore TOTP valido può essere utilizzato al massimo una volta al server di validazione. Se non abilitato, un valore TOTP valido può essere convalidato più di una volta durante il suo periodo di validità.

Questa opzione viene selezionata per impostazione predefinita. Quando selezionato, gli utenti non possono riutilizzare la password mentre è in cache.

Iscrizioni per utente

Il numero massimo di iscrizioni che un utente specifico può iscrivere.

Il valore minimo è 1.

Il valore massimo è 5.

Opzionale: se hai abilitato la password vocale monouso, puoi configurare le seguenti impostazioni per controllarne il comportamento:

Tabella 3. Impostazioni password vocale monouso
Informazioni	Descrizione
Scadenza (secondi)	Quanto tempo il codice di accesso è valido.
Lunghezza	Quanti caratteri sono contenuti nel codice di accesso. La lunghezza deve essere di almeno un carattere.
Serie di caratteri	Quali caratteri possono essere utilizzati nel codice di passaggio. Possono essere caratteri alfabetici e numerici.
Nuovi tentativi	Il numero di errori di autenticazione consentiti prima della scadenza della password e l'utente deve avviare una nuova transazione di autenticazione.

Opzionale: Se hai abilitato IBM Verify l'autenticazione, puoi configurare le seguenti impostazioni per controllarne il comportamento:

Tabella 4. IBM Verify impostazioni di autenticazione
Informazioni	Descrizioni
Codice di correlazione	Nota: Per poter utilizzare un codice di correlazione, è necessario che almeno uno dei metodi Verify di autenticazione sia abilitato. Se hai personalizzato le tue pagine OTP, è necessario aggiornarle con la nuova logica del codice di correlazione. Questa opzione consente l'uso di un codice di correlazione in aggiunta a uno dei metodi di autenticazione. La sfida runtime richiede all'utente di inserire il codice di correlazione visualizzato sullo schermo IBM Verify nell'app prima di approvare o rifiutare la verifica.
IBM Verify metodi di autenticazione	I metodi di autenticazione sono supportati da IBM Verify o da un'app mobile personalizzata che utilizza l'SDK mobile IBM Verify. Forniscono una verifica di base fuori banda che conferma la presenza dell'utente e il possesso di un autenticatore mobile registrato. La registrazione è rappresentata dallo scambio di una chiave pubblica, generata sul programma di autenticazione mobile e 'registrata ' con Verify. Una verifica approvata viene indicata a Verify quando il programma di autenticazione mobile firma i dati della transazione di verifica con la chiave privata, memorizzata nel dispositivo mobile e associata con la chiave pubblica registrata. Ogni metodo di autenticazione consente la selezione degli algoritmi supportati e degli algoritmi preferiti. Algoritmi supportati Gli algoritmi crittografici che possono essere utilizzati durante le operazioni di registrazione e di verifica di runtime e le sfide. Queste impostazioni vengono trasferite agli autenticatori mobili durante il processo di registrazione. Algoritmi Preferiti L'algoritmo crittografico da preferire per le iscrizioni di generazione chiave. I metodi di autenticazione supportati sono: Presenza utente La sfida runtime richiede all'utente di approvare o rifiutare la verifica selezionando un prompt dell'interfaccia utente. Faccia L'utente è tenuto a completare un'autenticazione facciale basata sul dispositivo. Il tasto privato viene memorizzato dall'autenticatore mobile nella catena di chiavi del dispositivo ed è protetto dall'autenticazione del viso basato sul dispositivo. Impronta digitale L'utente è tenuto a completare un'autenticazione tramite impronta digitale basata sul dispositivo. Il tasto privato viene memorizzato dall'autenticatore mobile nella catena di chiavi del dispositivo ed è protetto dall'autenticazione delle impronte digitali basata sul dispositivo.

Opzionale: se hai abilitato la configurazione dell'accesso tramite codice QR, puoi configurare le seguenti impostazioni per controllarne il comportamento:

Tabella 5. Impostazioni di configurazione dell'accesso tramite codice QR
Informazioni	Descrizioni
Scadenza	Il numero di secondi in cui l'utente deve scansionare il codice QR prima che non sia più valido per completare il flusso di autenticazione.
Indice sessione accesso	Numero di caratteri Specifica il numero minimo di caratteri che devono essere utilizzati. Serie di caratteri Definisce la serie di caratteri alfabetici e numerici che possono essere utilizzati.
Indice sessione dispositivo	Numero di caratteri Specifica il numero minimo di caratteri che devono essere utilizzati. Serie di caratteri Definisce la serie di caratteri alfabetici e numerici che possono essere utilizzati.

Selezionare Salva.

Operazioni da eseguire successivamente

Impostare le policy di accesso per determinare quando far rispettare l'utilizzo di un secondo fattore per l'autenticazione. Vedi "Controllo dell'accesso al portale ".