外部多要素認証の統合

オンラインで編集

以下の情報とガイダンスを使用して、外部多要素認証 (MFA) 統合用に IBM® Verify Webhook 機能をカスタマイズします。

外部 MFA の概要

IBM Verify は、他の外部 MFA プロバイダーとの統合を可能にする統合フレームワークをサポートし、提供します。 以下の図は、エンドツーエンドの外部 MFA 統合フローの主なコンポーネントを示しています。

このイメージは、ブラウザー内のアプリケーションから外部 MFA プロバイダーへのフローを示しています。

外部 MFA ランタイム・チャレンジ・ユーザー・エクスペリエンスは、Verify MFA 機能およびその他の外部 MFA プロバイダーと統合できます。 ランタイム・エクスペリエンスは、Verify 連携シングル・サインオン機能とアクセス・ポリシー機能 (テンプレート・ページのカスタマイズを含む) によって促進できます。 さらに、外部 MFA チャレンジは、新しい Verify MFA API によって駆動および開始することができます。

以下の 2 つの構成オブジェクトを構成して、ISV で外部 MFA プロバイダーを有効にします。
MFA プロバイダー
外部 MFA プロバイダのための Verify パブリックアクセスとランタイムを提供し、リアルタイムウェ ブフック構成インスタンスと関連付けられなければならない。
リアルタイム・ウェブフック
Verify 内部コンポーネントがパブリック・インターネット経由でターゲット MFA プロバイダーにアクセスできるようにします。 Webhook により、外部 MFA プロバイダーに HTTPS クライアント接続ができるようにします。 構成では、以下のような側面が処理されます。
  • プロバイダーに接続できるパブリック・インターネット・ロケーション・アドレス。
  • 外部プロバイダー Web API へのセキュア認証および接続。
  • 要求と応答の変換およびマッピング。
  • Verify 内部ランタイム・コンポーネントが開始できる API リソースのセット。

多くの外部 MFA 統合は、これら 2 つのコンポーネントによって提供される構成およびデータ変換機能を使用して実現できます。 一部の統合および外部プロバイダーは、この方法を使用できない場合があります。 Verify Webhook とターゲット外部 MFA プロバイダーの間の「メディエーター」コンポーネントの実装、デプロイメント、およびサポートに外部プロバイダー API を適合させることが必要になる場合があります。 メディエーターは、Verify とは別のインフラストラクチャーで実行され、場合によってはターゲット MFA プロバイダーとも別のインフラストラクチャーで実行されます。 このようなメディエーターについてのディスカッションおよび説明は、Verify がプロバイダーのクライアントとして外部プロバイダーと統合できるようにするために実装する必要がある API 規約の説明を除いて、本書の対象外です。

MFA 統合パターン

Verify 内の MFA フレームワークとランタイムは、統合パターンをサポートする概念と機能に基づいています。 MFA パターンには、以下の機能が含まれています。
MFA 登録のルックアップ
ユーザーが MFA を対処していると、Verify は、既知の MFA 要素、登録済みの MFA 要素、または使用可能な MFA 要素の選択をユーザーに提供できます。 Verify は、外部 MFA プロバイダーからの認証済みユーザーの MFA 機能および要素の「ルックアップ」を実行します。
検証のみ
通常、この MFA パターンは TOTP です。 ユーザーは、検証対象の値またはトークンを既に所有しており、それらを検証チャネル (通常は、ブラウザーなどのユーザーの現在の認証済みチャネル) に送信します。 この MFA パターンの場合、実行時に別個のトークン「配信」は行われません。
開始 (または配信) + 検証
この MFA パターンは、SMS や E メール OTP などの要素で一般的に使用されます。 これは、以下の 2 段階の対話です。
  1. ユーザーの排他的所有権または所有権を持つ配信チャネルを介して、一時的な秘密鍵の値またはその他のトークンのユーザーへの配信を開始します。 このステップは、チャネル (通常はブラウザーなどの現在認証済みのチャネル) によって実行されます。このチャネルは、配信後に秘密鍵も検証します。
  2. ユーザーが前のステップからの正しい秘密鍵の値を受け取ったことを検証します。 通常、データ入力プロンプトが表示され、ユーザーは受け取った値を入力できるようになります。 検証は通常、現在認証済みのユーザーのチャネルで実行されます。
開始 (または送信) + 結果の待機
このパターンは、モバイル・プッシュ・オーセンティケーターの典型的なパターンです。 依拠チャネルの観点からは、これは 2 段階の対話です。
  1. 現在認証されている 1 次チャネルは、モバイル・プッシュ通知またはその他の通知のユーザー登録済みモバイル・デバイスへの配信を開始します。
  2. その後、1 次チャネルは、通常はポーリングによって、2 番目のチャネルからの完了状態を待機します。 MFA 検証は通常、別のチャネル (モバイル・デバイス・チャネル) で実行され、完了します。

新しい外部 MFA 統合を設計および開発する場合は、これらの統合パターンに従ってください。 ほとんどすべての統合は、MFA 登録のルックアップおよび他の 3 つのパターンのうち少なくとも 1 つをサポートする必要があります。 これらのパターンは、Verify 外部 MFA API 規約の基礎を形成します。 外部MFA統合API契約を IBM Verify 参照してください。