외부 다단계 인증 통합

온라인에서 편집하기

다음 정보 및 안내를 사용하여 외부 MFA(다단계 인증) 통합을 위한 IBM® Verify 웹훅 기능을 사용자 정의할 수 있습니다.

외부 MFA 개요

IBM Verify는 다른 외부 MFA 제공자와의 통합을 사용으로 설정하는 통합 프레임워크를 지원하고 제공합니다. 다음 다이어그램은 엔드투엔드 외부 MFA 통합 플로우의 주요 구성요소를 보여줍니다.

이 이미지는 브라우저 내 애플리케이션에서 외부 MFA 제공업체로 이어지는 흐름을 보여줍니다.

외부 MFA 런타임 인증 확인 사용자 환경은 Verify MFA 기능 및 기타 외부 MFA 제공자와 통합될 수 있습니다. 런타임 환경은 템플리트 페이지 사용자 정의를 포함하는 Verify 연합 싱글 사인온 및 액세스 정책 기능으로 구동될 수 있습니다. 또한 새로운 Verify MFA API를 통해 외부 MFA 인증 확인을 구동하고 시작할 수 있습니다.

다음 두 개의 구성 오브젝트를 구성하여 ISV에서 외부 MFA 제공자를 사용으로 설정하십시오.
MFA 제공자
외부 MFA 공급자에 대한 공개 액세스 Verify 및 런타임을 제공하며, 실시간 웹훅 구성 인스턴스와 연결되어야 합니다.
실시간 웹훅
공용 인터넷을 통해 대상 MFA 제공자에 대한 액세스 권한이 있는 Verify 내부 구성요소를 제공합니다. 웹훅은 외부 MFA 제공자에 대한 HTTPS 클라이언트 연결을 제공합니다. 구성은 다음과 같은 측면을 처리합니다.
  • 제공자가 접속할 수 있는 공용 인터넷 위치 주소
  • 외부 제공자 웹 API에 대한 보안 인증 및 연결
  • 요청과 응답 변환 및 맵핑
  • Verify 내부 런타임 구성요소가 시작할 수 있는 API 자원 세트

이러한 두 개의 구성요소에서 제공하는 구성 및 데이터 변환 기능을 사용하여 많은 외부 MFA 통합을 달성할 수 있습니다. 일부 통합 및 외부 제공자는 해당 메소드를 사용하지 못할 수 있습니다. Verify 웹훅 및 대상 외부 MFA 제공자 간의 "중개자" 구성요소의 구현, 배치 및 지원을 통해 외부 제공자 API를 조정해야 할 수도 있습니다. 중개자는 Verify와 별도의 인프라에서 실행되며 대상 MFA 제공자와도 별도로 실행될 수 있습니다. 이러한 중개자에 대한 논의 및 설명은 Verify가 제공자의 클라이언트로 외부 제공자와 통합할 수 있도록 구현해야 하는 API 계약에 대한 논의를 제외하고 이 문서의 범위를 벗어납니다.

MFA 통합 패턴

Verify 내의 MFA 프레임워크 및 런타임은 통합 패턴을 지원하는 개념 및 기능을 기반으로 합니다. MFA 패턴에는 다음 기능이 포함되어 있습니다.
MFA 등록 검색
사용자에 대해 MFA 인증이 요청되면 Verify에서 사용자에게 알려진 MFA 요소, 등록된 MFA 요소 또는 사용 가능한 MFA 요소의 선택사항을 제공할 수 있습니다. Verify는 외부 MFA 제공자로부터 인증된 사용자의 MFA 기능 및 요소에 대한 "검색"을 수행합니다.
유효성 검증만
이 MFA 패턴은 일반적으로 TOTP입니다. 사용자는 유효성 검증될 값 또는 토큰을 이미 소유하고 있으며 이를 유효성 검증 채널에 제출합니다. 이 채널은 일반적으로 사용자의 현재 인증된 채널(예: 브라우저)입니다. 런타임 시 이 MFA 패턴에 대해 별도의 토큰 "전달"이 발생하지 않습니다.
초기화(또는 전달) + 유효성 검증
이 MFA 패턴은 일반적으로 SMS 및 이메일 OTP와 같은 요소와 함께 사용됩니다. 이는 2단계 상호작용입니다.
  1. 사용자가 독점적으로 소유하거나 소유권을 가지는 일부 전달 채널을 통해 사용자에게 단기 시크릿 값 또는 기타 토큰의 전달을 시작합니다. 이 단계는 채널(일반적으로 브라우저와 같이 사용자의 현재 인증된 채널)에서 수행되며 전달 후 시크릿의 유효성도 검증합니다.
  2. 사용자가 이전 단계에서 올바른 시크릿 값을 수신했는지 유효성 검증합니다. 일반적으로 사용자가 수신된 값을 입력할 수 있도록 일부 데이터 입력 프롬프트를 표시합니다. 유효성 검증은 일반적으로 사용자의 현재 인증된 채널에서 수행됩니다.
시작(또는 전달) + 결과 대기
이 패턴은 모바일 푸시 인증자에게 일반적인 패턴입니다. 신뢰 채널의 관점에서 보면 이는 2단계 상호작용입니다.
  1. 현재 인증된 기본 채널이 사용자가 등록한 모바일 디바이스로의 모바일 푸시 또는 기타 알림의 전달을 시작합니다.
  2. 그런 다음 기본 채널이 일반적으로 폴링을 통해 두 번째 채널의 완료 상태를 대기합니다. MFA 유효성 검증은 일반적으로 별도의 채널(모바일 디바이스 채널)에서 수행되고 완료됩니다.

새 외부 MFA 통합을 설계하고 개발할 때 이러한 통합 패턴을 준수하십시오. 거의 모든 통합이 MFA 등록 검색 및 다른 세 가지 패턴 중 하나 이상을 지원해야 합니다. 이러한 패턴이 Verify 외부 MFA API 계약의 기초를 형성합니다. IBM Verify 의 외부 MFA 통합 API 계약서를 참조하십시오.