外部 MFA プロバイダーとしての DUO セキュリティーの構成
IBM® Verifyは、外部 MFA プロバイダーとして DUO をサポートします。 Verifyは、ISV 固有の MFA 登録プロセスを通じてユーザーを駆動する必要なしに、DUO MFA と結合された SSO およびその他の機能に使用できます。 既に DUO モバイル・オーセンティケーターを使用しているユーザーは、Verifyを介してアプリケーション SSO を実行している間も、引き続きそれを MFA に使用できます。
始める前に
- DAO テナントに対する管理者権限を持っている
- ISV テナントに対する管理者権限を持っている
- DAO モバイル・オーセンティケーターに登録されたユーザー
- IBM Verifyユーザー・アカウントから Duo アカウントへのマッピング
DUO 要素を使用して MFA の要求を受けたユーザーは、ISV に通常のアカウントまたはフェデレーテッド・アカウントを持っている必要があります。 ユーザーは、federatedアカウントまたは通常のCloud
Directoryユーザーにすることができます。 ユーザー・アカウントは、以下のようなツールや機能を使用して、ISV で作成および管理できます。
- ISV UI および API
- フェデレーテッド SSO または OnPrem 認証ブリッジ・ログイン時のジャストインタイム・プロビジョニング
- ディレクトリー同期
どのユーザー管理方法を使用する場合でも、1 つ以上の ISV ユーザー・アカウント属性を固有の DUO ユーザー名にマップする方法を指定する必要があります。 ISV のDirectory Attributes機能は、この目的のために DUO 統合によってサポートされています。 例えば、1 つの解決策として、ISV ユーザーのemailディレクトリー属性が DUO ユーザー名にマップされることが考えられます。 これがソリューションの場合、ISV のすべてのユーザー・アカウントには、アカウントの作成時にemailの値が設定されている必要があります。
このタスクについて
DUO MFA 統合は、ランタイム MFA チャレンジおよび検証のみをサポートします。 この統合では、DUO MFA オーセンティケーターへのユーザーの登録はサポートされません。 ユーザーは、DUO 提供のインターフェースおよび対話を使用して DUO オーセンティケーターを登録する必要があります。 Verifyと DUO の統合は、ランタイム MFA チャレンジおよび検証を提供する目的で、ユーザーの既存の DUO 登録を参照します。
- Duo Push
- Duo Mobile のパスコード
- SMS パスコード
この統合は、 https://duo.com/docs/authapi を基盤としています。
手順
- Duo Security テナントを構成します。 「DUOテナントの設定」 を参照してください。
- IBM Verify テナントを設定します。 「 IBM Verify テナントの設定」 を参照してください。