認証要素の構成

Verify は、2 要素認証をサポートします。 これは、多要素認証の一種であり、第 2 要素を使用する必要があります。第 2 要素は、ユーザーが自分のアイデンティティーを証明するために提供する必要があり、通常はシステムによって生成されるコードです。 Verifyと統合して開発されたアプリケーションにユーザーがサインオンするときに、ユーザーに対するセキュリティー管理を強化するために、第 2 認証要素の使用を強制します。 ユーザーにプロンプトを出す第 2 認証要素を選択します。 IBM セキュリティー・トレーニング・アカデミー

始める前に

  • Verify 多要素認証の動画を IBM Security Learning Academy でご覧ください。
  • このタスクを完了するには管理者権限が必要です。
  • 管理者として IBM® Security Verify 管理コンソールにログインします。

このタスクについて

最初の認証要素は通常、ユーザー名とパスワード、QR コード、または パスキーです。
注: ユーザーにとっては、より使いやすいエクスペリエンスを提供するために、FIDO デバイスの代わりにパスキーという用語が使用されます。
第 2 認証要素は、ユーザーが所有するものです。通常は、ユーザーに送信される自動生成された数値コードまたは英数字コードです。 Verify は、 IBM Verify アプリ、オーセンティケーター・アプリ、 パスキー、およびワンタイム・パスワード (OTP) を認証の第 2 要素として使用します。 OTP は E メール、SMS、音声を介して送信すること、または送達機構を使用せずに時刻ベースで認証することができます。

OTP が有効なのは特定の期間です。 ユーザー・ログインが成功するか期限が切れると無効になります。

注: 中国の通信規制における新しい制限により、 IBM Security Verify は SMS および音声メッセージが確実に中国に配信されるようにすることができません。 これらの制限のため、 Verify は現在、中国に送信される音声メッセージと SMS メッセージをサポートできません。 Verify が SMS メッセージおよび音声メッセージに対してサポートする国のリストについては、 SMS および音声でサポートされる国を参照してください。

手順

  1. 「認証」 > 「認証要素」を選択します。
  2. 一般的な多要素認証設定の設定
    1. ユーザーの認証要素が存在しない場合のアクションを選択します。
      • 認証を拒否します。
      • 要素を登録するオプションをユーザーに提供します。
    2. 認証要素に使用できるソースを選択します。
      • ユーザー登録方式
      • ユーザー・プロファイルの属性および登録された方式
    3. MFA 設定の変更が行われたときにユーザーに通知するかどうかを選択します。
      • 通知なし
      • E メールで通知
      • SMS で通知
      • いずれかの使用可能な方法で通知
      • 使用可能なすべての方法で通知
    4. ユーザーが変更通知をオーバーライドできるかどうかの指定
      ユーザーによるオーバーライドを許可しない
      テナントに設定された MFA 変更通知オプションを使用する必要があります。
      ユーザーによるオーバーライドを許可
      ユーザーは、MFA 変更通知オプションを変更して、エクスペリエンスをカスタマイズできます。
      必須
      MFA 変更通知をユーザーがオフにすることはできません。 ユーザーは、MFA 変更通知に使用可能な方法を少なくとも 1 つ持っている必要があります。
  3. 認証のために複数の MFA をユーザーに要求するかどうかを選択します。
    注: 登録は固有でなければなりません。 例えば、SMS と VOTP に同じ電話番号を使用する場合、登録は 1 つだけです。 SMS に携帯電話番号を使用し、VOTP にオフィスの電話番号を使用する場合、それらは 2 つの登録です。 同様に、ユーザー名と E メール・アドレスが同じ場合は、1 つの登録になります。 ただし、複数の E メール・アドレスをリストすると、それらはそれぞれ登録になります。 例えば、johndoe@outlook.com、johndoe@gmail.com、johndoe@mycompany.com は 3 つの固有の登録です。
    1. 「登録の最小数の設定 (Set minimum number of enrollments)」 チェック・ボックスを選択して、ユーザーが持つ必要がある多要素登録の数を設定します。
      要件には、現在日付のタイム・スタンプが付けられます。 その時点で、ユーザーは、アプリケーションにログインするときに、複数の MFA 登録を最低限セットアップする必要があります。
    2. オプション: 「エンド・ユーザーに登録のスキップを許可する」 チェック・ボックスを選択して、既存のユーザーの猶予期間を設定できます。
      猶予期間中も、ユーザーは必要な MFA 登録を行わなくてもアプリケーションにログインできます。 猶予期間が経過すると、ユーザーは複数の MFA 要件を満たすまでアプリケーションにアクセスできなくなります。 猶予期間は、開始日のタイム・スタンプに基づきます。 新規登録されたユーザーの場合、登録後に猶予期間が開始されます。
    3. 最小 MFA 要件が適用される ID プロバイダーを少なくとも 1 つ選択してください。
      少なくとも 1 つの ID プロバイダーを選択するまで、変更を保存することはできません。 要件をすべての ID プロバイダーに適用するには、ID プロバイダーチェック・ボックスを選択します。
  4. Verify ユーザーに対して有効または無効にする認証要素を選択します。
    注:
    • 選択すると、その認証要素が実行時の使用のために有効になり、構成可能な設定が表示されます。
    • 複数の認証要素を有効にできます。 その場合、ユーザーは、希望する方法を選択するように求められます。その後、ワンタイム・パスワードが送信および検証されます。
    認証要素 説明
    多要素認証 (MFA) の一般設定
    MFA チャレンジのときに、要素が存在しないとき (When no factors are present during an MFA challenge)
    アプリケーションへのアクセスに 2 要素認証が必要とされていて要素が登録されていない場合に、認証を失敗させるか、ユーザーが認証要素を登録できるようにするかを選択します。
    以下のソースからの第 2 要素を許可する
    デフォルトでは、ユーザー・プロファイル属性と登録された方式の両方の第 2 要素が許可されます。 ユーザー・プロファイルの E メールおよび携帯電話番号、および登録された認証方式が、第 2 要素認証として使用できます。 Verifyに登録されている認証方式に第 2 要素を制限することもできます。
    行動バイオメトリクス 従来のユーザー名とパスワードによる認証中の動作タイプの異常を検出します。
    メール・ワンタイム・パスワード

    パスワードが生成されて、ユーザーの登録済み E メール・アドレスに送信されます。

    このオプションはデフォルトで有効になっています。

    注: ユーザーは登録済みの E メール・アドレスを持っている必要があります。 そうでないと、ワンタイム・パスワードを送信できないため、このオプションを選択してもユーザーに提示されません。
    SMS ワンタイム・パスワード

    パスワードが生成されて、ユーザーの登録済み携帯電話番号に送信されます。

    このオプションはデフォルトで有効になっています。

    注: ユーザーは登録済みの携帯電話番号を持っている必要があります。 そうでないと、ワンタイム・パスワードを送信できないため、このオプションを選択してもユーザーに提示されません。
    時刻ベースのワンタイム・パスワード

    パスワードは、標準の時刻ベース・ワンタイム・パスワード・アルゴリズムを使用して生成されます。

    パスワードは送信または保管されませんが、一定間隔で生成されるたびに、TOTP 検証サーバーとクライアントの間で照合することによって検証されます。

    ユーザーは QR コード・イメージをスキャンするか、IBM Verify や Google Authenticator などの TOTP モバイル・アプリケーションで同等の秘密鍵を提供することによって、最初にアカウントを登録する必要があります。
    注: ユーザーは、登録済みの携帯電話番号を持ち、 IBM Verify または Google Authenticator をダウンロードしてインストールする必要があります。
    音声によるワンタイム・パスワード

    パスワードが生成されて、ユーザーの登録済み電話番号に送信されます。 この電話番号は携帯電話でも固定電話でも構いません。
    IBM Verify 認証 認証は、ユーザーが物理的に存在することをデバイスで確認するランタイム・チャレンジを介して実行されます。 デバイス・ベースの指紋認証が要求される場合もあります。
    注: ユーザーは、 IBM Verify または IBM Verify モバイル SDK を使用するカスタム・モバイル・アプリをダウンロードしてインストールしておく必要があります。 ユーザーには登録済みのモバイル・オーセンティケーターも必要です。
    QR コード・ログイン構成

    アプリケーションは、qrlogin 検証トランザクションを開始し、ユーザーが IBM Verify を使用してその検証要求を完了するまで待機してから、ランタイム・アクセスを続行できます。 QR ログインのパスワードなし認証を参照してください。
    注: パスキーを使用した認証を有効にするには、 FIDO2 デバイスの管理を参照してください。
  5. オプション: 「E メール・ワンタイム・パスワード (Email One-Time Password)」 または 「SMS ワンタイム・パスワード (SMS One-Time Password)」を有効にした場合は、以下の設定を構成してその動作を制御できます。
    表 1. E メールおよび SMS のワンタイム・パスワードの設定
    情報 説明
    有効期間 (秒) パスコードの有効期限。
    長さ

    ワンタイム・パスワードの値に含まれる文字数。

    最小値は 1です。

    最大値は 20です。

    デフォルトは 6です。
    パスワードの文字セット

    ワンタイム・パスワードの値に使用できる有効な文字のセット。 英字と数字を使用できます。

    デフォルト値は 0123456789です。
    再試行 許容される認証失敗回数。これを超えると、パスワードの有効期限が切れ、ユーザーは新しい認証トランザクションを開始しなければならなくなります。
    使用可能なドメイン OTP パスワード・メッセージの送信先となる E メール・ドメインを指定します。 複数のドメインを指定できます。 正規表現パターンを使用して、追加のドメインを指定できます。
    拒否されたドメイン OTP パスワード・メッセージの送信先にしてはならない E メール・ドメインを指定します。 複数のドメインを指定できます。 正規表現パターンを使用して、追加のドメインを指定できます。
  6. オプション: 「時間ベースのワンタイム・パスワード」を有効にした場合は、以下の設定を構成してその動作を制御できます。
    表 2. 時刻ベースのワンタイム・パスワードの設定
    設定 説明
    ハッシュ・アルゴリズム

    時刻ベースのワンタイム・パスワードを生成するアルゴリズム。 TOTP アルゴリズムでは、SHA ハッシュ関数と組み合わされたハッシュ・ベースのメッセージ認証コード (HMAC) を使用します。

    以下のオプションから選択します。
    • HMAC-SHA-1
    • HMAC-SHA-256
    • HMAC-SHA-512

    HMAC-SHA-1 がデフォルトのハッシュ・アルゴリズムです。
    生成間隔 (秒)

    次の TOTP が生成される前に、TOTP が有効である最大秒数。 この時間が経過した後に、TOTP 生成プログラムおよびサーバー検証によって新しい TOTP が生成されます。

    デフォルト値は 30です。

    注: 間隔の変更は、変更後に行われる登録にのみ影響します。 既存の登録は、前の値を使用し続けます。 新しい値を使用するには、既存の登録を削除して再作成する必要があります。
    スキュー間隔

    スキュー間隔は、生成された OTP をサーバーが受け入れるクライアント・デバイスのタイム・スタンプからの間隔の ± 数です。

    例: 7 つの生成間隔の OTP 値をリストする以下の表を使用して、サーバー上の現在時刻が間隔0に対応する OTP 検証を検討します。 「スキュー間隔」2 に設定されている場合に、ユーザーが間隔 0 から 2 までの OTP 値を提示すると、OTP 検証は成功します。
    間隔 タイム・スタンプ OTP
    3 09:00:10 876 123
    ※2 09:00:40 543 456
    1 09:01:10 210 789
    0 09:01:40 987 012
    1 09:02:10 654 345
    ※2 09:02:40 321 678
    3 09:03:10 761901

    デフォルト値は 1、許容される最小値は 0 です。

    ワンタイム・パスワードの値に含まれる文字数。

    最小値は 6です。

    最大値は 12です。
    秘密鍵 URL

    秘密鍵の送信および QR コード生成用の URL。

    URL 形式には、ご使用の環境に固有の情報 (会社名など) を含めることができます。

    デフォルト URL を以下に示します。 otpauth://totp/IBM%20Security%20Verify:@USER_NAME@?secret=@SECRET_KEY@&issuer=IBM%20Security%20Verify&algorithm=@ALGORITHM@&digits=@DIGITS@&period=@PERIOD@

    注: URL に http または httpsを含めることはできません。 常に otpauth://totp/ で開始する必要があります。
    ワンタイム使用

    ターゲット・リソースへのワンタイム・パスワードを使用したログインが成功した場合に、ワンタイム・パスワードを再使用のためにキャッシュに入れるかどうかを示します。

    有効にすると、検証サーバーで有効な TOTP 値を最大 1 回使用できます。 無効にすると、有効な TOTP 値が検証期間中に複数回検証される場合があります。

    デフォルトでは、このオプションが選択されています。 選択すると、ユーザーはキャッシュされている間はパスワードを再使用できません。
    ユーザーごとの登録

    特定のユーザーが登録することができる登録の最大数。

    最小値は 1です。

    最大値は 5です。
  7. オプション: 「音声ワンタイム・パスワード (Voice One-Time Password)」を有効にした場合は、以下の設定を構成してその動作を制御できます。
    表 3. 音声によるワンタイム・パスワードの設定
    情報 説明
    有効期間 (秒) パスコードの有効期限。
    長さ パスコードに含める文字数。 1 文字以上でなければなりません。
    文字セット パスコードに使用する文字セット。 英字と数字を使用できます。
    再試行 許容される認証失敗回数。これを超えると、パスワードの有効期限が切れ、ユーザーは新しい認証トランザクションを開始しなければならなくなります。
  8. オプション: IBM Verify 認証」を有効にした場合は、以下の設定を構成してその動作を制御できます。
    表 4. IBM Verify 認証設定
    情報 説明
    ユーザー存在 この認証要素は、IBM Verify によって、または IBM Verify Mobile SDK を使用するカスタム・モバイル・アプリケーションによってサポートされています。 この認証要素は、ユーザーが存在し、登録済みのモバイル・オーセンティケーターを所有していることの基本的なアウト・オブ・バンド検証を提供します。 ランタイム・チャレンジでは、ユーザーが UI プロンプトを選択することによって検証を承認または拒否することだけが必要です。 ユーザーは、モバイル認証登録プロセスの一環としてこの認証要素に登録されます。 登録は、公開鍵の交換によって具体化されます。公開鍵は、モバイル・オーセンティケーターで生成され、 Verifyに「登録」されます。 モバイル・オーセンティケーターが秘密鍵を使用して検証トランザクション・データに署名すると、承認された検証が Verify に通知されます。秘密鍵は、モバイル・デバイスに保管され、登録された公開鍵に関連付けられます。
    サポート対象アルゴリズム
    登録およびランタイム検証トランザクションならびにチャレンジ中に使用できる暗号アルゴリズム。 これらの設定は、登録プロセス時にモバイル・オーセンティケーターに転送されます。
    優先アルゴリズム
    鍵生成登録に優先される暗号アルゴリズム。
    指紋 この認証要素は、IBM Verify によって、または IBM Verify Mobile SDK を利用するカスタム・モバイル・アプリケーションによってサポートされています。 この認証要素は、ユーザーが存在し、登録済みのモバイル・オーセンティケーターを所有していることのアウト・オブ・バンド検証を提供します。 さらに、ユーザーは、デバイス・ベースの指紋認証を正常に完了する必要があります。 ユーザーは、モバイル認証登録プロセスの一環としてこの認証要素に登録されます。 登録は、公開鍵の交換によって具体化されます。公開鍵は、モバイル・オーセンティケーターで生成され、 Verifyに「登録」されます。 秘密鍵はモバイル・オーセンティケーターによってデバイス鍵チェーン内に保管され、デバイス・ベースの指紋認証によって保護されます。 モバイル・オーセンティケーターが秘密鍵を使用して検証トランザクション・データに署名すると、承認された検証が Verify に通知されます。秘密鍵は、モバイル・デバイスに保管され、登録された公開鍵に関連付けられます。
    サポート対象アルゴリズム
    登録およびランタイム検証トランザクションならびにチャレンジ中に使用できる暗号アルゴリズム。 これらの設定は、登録プロセス時にモバイル・オーセンティケーターに転送されます。
    優先アルゴリズム
    鍵生成登録に優先される暗号アルゴリズム。
    この認証要素は、IBM Verify によって、または IBM Verify Mobile SDK を利用するカスタム・モバイル・アプリケーションによってサポートされています。 この認証要素は、ユーザーが存在し、登録済みのモバイル・オーセンティケーターを所有していることのアウト・オブ・バンド検証を提供します。 さらに、ユーザーは、デバイス・ベースの顔認証を正常に完了する必要があります。 ユーザーは、モバイル認証登録プロセスの一環としてこの認証要素に登録されます。 登録は、公開鍵の交換によって具体化されます。公開鍵は、モバイル・オーセンティケーターで生成され、 Verifyに「登録」されます。 秘密鍵はモバイル・オーセンティケーターによってデバイス鍵チェーン内に保管され、デバイス・ベースの顔認証によって保護されます。 モバイル・オーセンティケーターが秘密鍵を使用して検証トランザクション・データに署名すると、承認された検証が Verify に通知されます。秘密鍵は、モバイル・デバイスに保管され、登録された公開鍵に関連付けられます。
    サポート対象アルゴリズム
    登録およびランタイム検証トランザクションならびにチャレンジ中に使用できる暗号アルゴリズム。 これらの設定は、登録プロセス時にモバイル・オーセンティケーターに転送されます。
    優先アルゴリズム
    鍵生成登録に優先される暗号アルゴリズム。
  9. オプション: 「QR コード・ログイン構成 (QR Code Login Configuration)」を有効にした場合は、以下の設定を構成してその動作を制御できます。
    表 5. QR コード・ログイン構成の設定
    情報 説明
    有効期限 ユーザーが QR コードをスキャンするまでの秒数。この時間が過ぎると無効になり、認証フローを完了できなくなります。
    ログイン・セッション索引
    文字数
    使用する必要がある最小文字数を指定します。
    文字セット
    使用できる英数字のセットを定義します。
    デバイス・セッション索引
    文字数
    使用する必要がある最小文字数を指定します。
    文字セット
    使用できる英数字のセットを定義します。
  10. 「保存」を選択します。

次の手順

アクセス・ポリシーをセットアップし、どのような場合に認証の第 2 要素を使用するかを決定します。 「 ポータル・アクセスの管理」を参照してください。