config.json 파일

이 구성 파일은 JSON 형식이어야 하며, 여기에는 ibm-auth-api과(와) 신임 정보 제공자의 두 섹션이 포함되어 있습니다.

형식

{
    "ibm-auth-api":{
        "client-id":"????????-????-????-????-????????????",
        "ofb-client-secret":"**********",
        "protocol":"https",
        "host":"tenant.verify.ibm.com",
        "port":443,
        "max-handles":16
    },
    "credential-provider":{
        "username-format":"%D\\\\%U",
        /*"trace-file":"c:/credprov/credprov.log",*/
        "disable-builtin-password-logon": false,
        "auth-method":"winpwd-then-choice-then-otp"
    }
}

ibm-auth-api 구성


항목	샘플 값	설명
"client-id"	"84e8da25-d7ed-47cc-9782-b852cb64365c"	이 값은 필수입니다. IBM Verify Gateway for Windows™ 로그인에 사용할 IBM® Verify API 클라이언트를 작성해야 합니다.
"ofb-client-secret"	"KsjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA="	이 값은 필수입니다. API 클라이언트는 IBM Verify 생성 시 비밀번호가 할당되며, 이 비밀번호를 해당 구성 설정에 반드시 설정해야 합니다. obf-client-secret은 난독화된 양식으로 제공됩니다. 참고: 이 obf-client-secret는 대신 "client-secret" 옵션을 사용하여 일반 텍스트로 제공할 수도 있습니다. 예를 들면 다음과 같습니다. `"client-secret”:"XOpiba1XeP"` . `"obf-client-secret”: "asjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA=",`
"프로토콜"	"https"	이 값은 선택사항이며 기본적으로 "https"로 설정됩니다. 이 프로토콜은 서버와 Verify 통신하는 데 사용됩니다. 값 "http" 또는 "https"를 사용할 수 있습니다. https가 사용되고 cacert.pem 파일이 있는 경우, IBM Verify 서버 인증서 및 서버 이름의 유효성이 검증됩니다.
"host"	"tenant.verify.ibm.com"	이 값은 필수입니다. 사용 중인 서버를 Verify 식별합니다.
"port"	443	이 값은 선택사항이며 기본적으로 443으로 설정됩니다. 이 포트는 서버가 Verify 요청을 수신 대기하는 포트입니다.
"max-handles"	2	이 값은 선택사항이며 기본적으로 16으로 설정됩니다. 이 값은 Windows 로그인용 IBM Verify 게이트웨이가 사용자 인증을 위해 서버에 IBM Verify 설정하는 최대 병렬 연결 수입니다. 각 인증 정보 제공자 인터페이스에서는 연결이 두 개를 초과하여 동시에 사용되지 않으므로, 값 2가 적절합니다.
"proxy"	"http://proxy.ibm.com:1080"	이 값은 선택사항이며 기본적으로 프록시를 사용하지 않고 직접 연결을 사용하도록 설정됩니다. 테넌트에 Verify 액세스할 수 있도록 프록시를 설정하세요. 값은 호스트 이름 또는 점분리 숫자 IP 주소입니다. 숫자 IPV6 주소는 [대괄호] 안에 있어야 합니다. 이 문자열에 포트 번호를 지정하려면 호스트 이름 끝에 를 추가하십시오 `:[port]` . `port :1080`프록시의 포트 번호는 기본적으로.로 설정됩니다. 프록시 문자열은 사용되는 프록시 종류를 지정하기 위해 `[scheme]://`로 접두어를 지정할 수 있습니다. http:// HTTP 프록시. 스킴 또는 프록시 유형이 지정되지 않는 경우의 기본 유형입니다. https:// HTTPS 프록시. OpenSSL, Gnus 및 NSS의 경우 7.52.0에 추가됩니다. socks4:// SOCKS4 프록시. socks4a:// SOCKS4a 프록시. 프록시는 URL 호스트 이름을 분석합니다. socks5:// SOCKS5 프록시. socks5h:// SOCKS5 프록시. 프록시는 URL 호스트 이름을 분석합니다. 스키마 접두부가 없으면 `http://`(으)로 기본 설정됩니다. 프록시 문자열을 `""`(으)로 설정하면 환경 변수가 설정된 경우에도 비어 있는 문자열이 프록시 사용을 명시적으로 사용 불가능하게 합니다. 프록시 호스트 문자열에는 프로토콜 스킴 `http://` 및 임베디드 사용자 및 비밀번호가 포함될 수도 있습니다. `SSL_CERT_FILE`참고: HTTPS 프록시를 사용하는 경우, IBM Verify Gateway for Windows Login이 실행 중인 Windows 시스템에서 OpenSSL 환경 변수를 설정하십시오. 이 환경 변수는 CA 인증서 파일의 이름 및 위치를 나타냅니다. 제어판 > 시스템 및 보안 > 시스템 > 시스템 고급 설정 > 환경 변수 > 시스템 변수로 이동한 다음 변수를 지정하십시오. 예를 들면 다음과 같습니다. `SSL_CERT_FILE = C:\ Program Files\IBM\WindowsLogin\ cacert.pem`
"proxytunnel"	True	이 값은 선택사항이며 기본적으로 프록시가 사용되는 경우 true로 설정됩니다. 인수를 `proxytunnel` 로 `true` 설정하면 테넌트 작업이 HTTP 프록시를 통해 터널링되도록 합니다 Verify . 프록시를 사용한다는 것은 프록시를 통해 터널링한다는 것과 다릅니다. 터널링은 특정 포트 번호의 원격 호스트에 연결하도록 요청하는 HTTP CONNECT 요청이 프록시로 전송되고 트래픽이 프록시를 통해 전달된다는 의미입니다. 프록시는 CONNECT 요청을 허용하는 특정 포트 번호를 허용 목록으로 지정합니다. 일반적으로 포트 80과 443만 허용됩니다.
"connect-timeout"	10	이 값은 선택사항이며 기본적으로 10초로 설정됩니다. Verify 서버와의 연결을 시도하는 동안 대기할 시간(초 단위). 첫 번째 시도가 실패하면 한 번 재시도합니다.
"timeout"	20	이 값은 선택사항이며 기본적으로 20초로 설정됩니다. Windows 로그인용 IBM Verify 게이트웨이가 서버 연결을 Verify 통해 데이터 수신을 대기하는 시간(초 단위).
"토큰 유형"	"소지자"	"access-token"의 액세스 토큰 유형을 지정합니다.
"액세스 토큰"	"abced..."	테넌트에 사용할 액세스 토큰을 지정합니다. 액세스 토큰을 이미 알고 있는 경우, 이는 “client-id” 및 “client-secret” 옵션을 사용하는 대신 사용할 수 있는 방법입니다.
"ca-path"	""C:\Program\Files\IBM\WindowsLogin\cacert.pem"	테넌트 서버 인증서의 Verify 허용된 인증 기관 서명자 목록이 포함된 파일을 지정합니다. 이 텍스트 파일에는 base64 형식의 하나 이상의 PEM CA 공개 키 인증서가 포함되어 있습니다. 기본적으로 설정 파일 디렉터리에 있는 파일을 cacert.pem 사용합니다.
"origin-user-agent"	"IBM Verify"	푸시(기기) 트랜잭션을 시작하기 위해 요청에 포함될 사용자 에이전트를 지정합니다.
"proxy-ca-path"	""C:\Program\Files\IBM\WindowsLogin\cacert.pem"	프록시 서버 인증서의 허용된 인증 기관 서명자 목록이 포함된 파일을 지정합니다. 이 텍스트 파일에는 base64 형식의 하나 이상의 PEM CA 공개 키 인증서가 포함되어 있습니다. 기본적으로 설정 파일 디렉터리에 있는 파일을 cacert.pem 사용합니다.
"최선의 노력 원칙 철회"	false	TLS 가 테넌트 REST API와 Verify 통신하기 위해. 이는 해당 동작이 지원되는 TLS 백엔드에서 배포 지점이 없거나 오프라인 상태인 경우, 인증서 해지 확인을 무시할지 여부를 나타냅니다.
"취소 불가"	false	TLS 가 테넌트 REST API와 Verify 통신하기 위해. 이 설정은 해당 동작이 구현된 TLS 백엔드에 대해 인증서 해지 확인을 비활성화할지 여부를 나타냅니다. 이 옵션은 Windows에서만 지원되며, 우회할 수 없는 Windows 신뢰할 수 없는 게시자 차단 목록의 경우는 예외입니다. 이 옵션은 "revoke-best-effort"보다 우선합니다.

credential-provider 구성


항목	샘플 값	설명
"trace-file"	“C:\Temp\credprov.log”	이 값은 선택사항이며 기본적으로 추적하지 않도록 설정됩니다. 참고: 해당 파일이 C:\Program Files\IBM\WindowsLogin\credprov.log 존재하면 로깅이 자동으로 활성화되며, 이는 Login의 Verify Gateway for Windows 시작 단계보다 더 이른 시점에 이루어집니다.
"auth-method"	"winpwd-then-choice-then-otp"	이 값은 선택사항이며 기본적으로 "winpwd-then-choice-then-otp"로 설정됩니다. 이는 사용자 인증에 사용되는 MFA 메소드를 정의합니다. "winpwd" Windows 비밀번호만 입력하세요. "winpwd-and-totp" Windows 비밀번호와 시간 기반 일회용 비밀번호를 하나의 입력란에 함께 입력합니다. "winpwd-then-smsotp" Windows 비밀번호를 입력한 후 SMS로 받은 일회용 인증 코드를 입력합니다. "winpwd-then-emailotp" Windows 비밀번호에 이어 이메일 일회용 인증 코드를 입력합니다. "winpwd-then-choice-then-otp" Windows 비밀번호를 입력한 후, 사용 가능한 ‘ 2FA ’ 방법 중 하나를 선택하고, 이어서 선택된 일회용 비밀번호를 입력하거나 기기 알림을 기다립니다. 참고: 선택할 수 있는 옵션이 하나뿐인 경우, ‘선택’ 단계는 건너뜁니다. "winpwd-then-device" Windows 비밀번호 입력 후, 장치 알림을 기다립니다. 사용자에 대해 디바이스가 두 개 이상 등록된 경우에는 선택 단계가 표시됩니다. "winpwd-then-transient" Windows 비밀번호를 입력한 후 일회용 비밀번호를 입력합니다. 사용자에 대해 transient가 두 개 이상 등록된 경우에는 선택 단계가 표시됩니다.
"accept-on-missing-auth-method"	false	이 값은 선택사항이며 기본적으로 false로 설정됩니다. true로 설정되어 있고 auth-method로 적절하게 등록된 2FA가 없는 경우에는 사용자가 자신의 비밀번호로만 로그온할 수 있습니다.
"password-first"	false	이 값은 선택사항이며 기본적으로 false로 설정됩니다. true로 설정되어 있고 auth-method가 winpwd-and-totp인 경우, 결합된 비밀번호인 totp 값 입력에 비밀번호를 먼저 제공해야 합니다. false일 경우 totp 값을 결합된 입력에 먼저 제공해야 합니다.
"otp-prompt"	“Enter the One Time Passcode %C-”	이 값은 선택사항이며 기본값은 “Enter the One Time Passcode %C-”입니다. 이 프롬프트는 사용자에게 일회성 비밀번호를 입력하라는 메시지가 표시될 때 표시됩니다. %C 문자열(프롬프트에 제공된 경우)은 OTP 메소드의 상관 값으로 대체됩니다. 시간 기반 OTP의 경우에는 빈 문자열입니다.
"password-separator"	“,”	이 값은 선택적이며 기본값은 "`,`입니다. "windpwd-and-totp" 인증 방법의 경우 이 문자는 비밀번호 및 TOTP 결합 입력 사이에 있어야 합니다.
"verify-method-order"	["fingerprint","userPresence"]	이 값은 선택사항이며 기본적으로 ["fingerprint","userPresence"]로 설정됩니다.
"verify-message"	“winhost.ibm.com의 요청을 승인하시겠습니까?”	이 값은 선택사항이며 기본적으로 "{hostname}의 요청을 승인하시겠습니까?"로 설정됩니다. 여기서 {hostname}은(는) Verify Gateway for Windows 로그인이 실행 중인 유추된 호스트 이름으로 대체됩니다. “device” auth_method가 사용된 경우 사용자에게 액세스 확인을 요구할 때 사용자의 디바이스에 이 메시지가 표시됩니다.
"choices"	["기기", "일시적", "SMS OTP", "이메일 OTP", "음성 OTP"]	이 값은 "winpwd-then-choice-then-otp" auth-method의 경우 사용자에게 표시되는 2FA의 유형을 정의합니다.
"transient-choices"	[ {"choice": "phoneNumbers", "sub-choices": ["mobile", "work"]}, "emails" ]	이 값은 선택사항이며 기본적으로 ["phoneNumbers","emails"]로 설정됩니다. 이 값은 임시 2FA가 사용으로 설정된 경우 사용자에게 표시되는 임시 OTP 메소드의 유형을 정의합니다. "phoneNumbers"에 대한 하위 선택사항을 지정할 수 있습니다. 고객은 일반적으로 이 옵션을 사용하여 전화번호를 "모바일"로 제한합니다. 이전 버전과의 호환성을 허용하기 위해 "임시 선택 배열" 에서 문자열 또는 자세한 오브젝트를 상호 혼합할 수 있습니다.
"no-mfa-on-unlock"	true \| false	이 항목의 기본값은 false입니다. true로 설정하면 2FA 입력이 요청되지 않습니다. 데스크탑을 잠금 해제하려면 비밀번호만 필요합니다.
"poll-timeout"	60	이 값은 선택사항이며 기본적으로 60초로 설정됩니다. 이 값은 디바이스의 푸시 알림이 사용자의 승인 또는 거부를 기다리는 시간을 지정합니다. 제한시간에 도달하면 요청이 자동으로 거부됩니다.
"poll-rate-ms"	1000	이 값은 선택사항이며 기본적으로 1000밀리초로 설정됩니다. 이 값은 로그인이 Verify Gateway for Windows 서버에 Verify 확인을 요청하여 해당 기기의 푸시 알림이 거부되었는지 승인되었는지 확인하는 빈도를 지정합니다. 이는 Windows 로그인용 IBM Verify 게이트웨이가 기기의 푸시 알림에 얼마나 신속하게 반응하는지에 영향을 미칩니다. 참고: 폴링 빈도를 낮게 설정하면 초당 많은 요청이 서버로 전송되어 서버 Verify 부하가 증가합니다.
"ignore-isvalidated"	false	이 값은 선택사항이며 기본적으로 false로 설정됩니다. true로 설정하면, 로그인 기능은 Verify Gateway for Windows 유효성 검증을 거치지 않은 2FA 메서드를 허용합니다.
"username-format"	“%D\\%U”	이 값은 선택사항이며 기본적으로 “%D\\%U”로 설정됩니다. Windows 사용자 도메인과 이름을 사용자 Verify 이름에 매핑하는 방법을 정의합니다. 제공된 문자열에서 는 `%D` Windows 사용자의 도메인으로, 는 `%U` Windows 사용자 이름으로 대체됩니다. `%D` 및 `%U` 값은 문자열에서 선택사항입니다.
"disable-builtin-password-logon"	false	이 값은 선택사항이며 기본적으로 false로 설정됩니다. true로 설정하면 Windows 기본 제공 암호 자격 증명 공급자가 비활성화되고, 로그인 자격 증명 공급자만 Verify Gateway for Windows 남게 됩니다. false로 설정하면, 두 가지 모두 Windows 로그온 화면에서 선택 항목으로 제공됩니다. 프로덕션 환경에서는 사용자가 Windows 자격 증명 공급자를 선택하여 로그인 자격 증명 공급자를 Verify Gateway for Windows 우회하지 못하도록 하려면 이 값을 true로 설정하십시오.
“rdp-only”	false	이 값은 선택사항이며 기본적으로 false로 설정됩니다. true로 설정하면 로그인 자격 증명 공급자는 Verify Gateway for Windows 원격 데스크톱 로그온 시에만 사용됩니다. 로컬 데스크탑 로그온과 같은 다른 로그온 유형에는 사용되지 않습니다.
“no-mfa-account”	“DOMAIN\\User”	이 값은 선택사항이며 기본적으로 계정이 MFA를 무시하지 않도록 설정됩니다. 설정된 경우, 사용자 로그온마다 이 계정과 비교됩니다. 비교 시 대소문자를 구분하지 않습니다. 일치하는 경우, 사용자는 “winpwd” 인증 방식을 사용하게 되며, 이 방식은 2FA 이나 서버에 Verify 대한 접속 권한이 필요하지 않습니다. 로그인하려면 Windows 비밀번호만 입력하면 됩니다. 이 계정은 서비스에 Verify 접속할 수 없는 경우에도 기기에 접근할 수 있도록 해주는 특별 계정입니다. 참고: 이 계정의 RDP 접속을 차단하는 것이 좋습니다. Windows 관리자는 이 액세스를 차단할 수 있습니다.
"username-table"	`"username-table": [ { "from": "testuser1", "to": "testuser1@x.y.com" }, { "from": "testuser2", "to": "testuser2@x.y.com" } ]`	이 속성은 사용자 이름을 새 값에 맵핑합니다. 사용자 이름이 테이블에 없는 경우 그대로 사용됩니다.
"트레이스-롤오버"	0	파일이 저장되고 새로운 빈 추적 파일이 생성될 때, 추적 파일의 대략적인 최대 크기를 바이트 단위로 지정합니다. 추적 파일은 현재 타임스탬프를 끝에 추가하여 이름을 변경한 후 저장됩니다.
"trace-localtime"	false	추적 파일의 타임스탬프를 현지 시간으로 표시할지 여부를 지정합니다. 기본적으로 타임스탬프는 UTC를 사용합니다.
"trace-prefix-all"	false	모든 추적 라인 앞에 타임스탬프를 추가할지 여부를 지정합니다. 기본적으로 REST API 요청/응답 추적 캡처 행에는 Verify 첫 번째 행에만 접두사가 붙습니다.
"안전하지 않은 오류 처리 방식"	false	테넌트 REST API에 Verify 연결할 수 없는 경우, 사용자 이름( 2FA ) 없이 비밀번호만 사용하여 로그인할 수 있습니다.
"사용자 이름 속성"	uid	Active Directory 를 사용할 때, 2FA 에 접속할 때 사용할 사용자 Verify 이름은 현재 로그인된 Active Directory 사용자의 속성에서 가져올 수 있습니다.
"사용자 이름-CD 속성"	"urn:ietf:params:scim:schemas:extension: ibm:2.0:User:customAttributes.userAlias "	2FA 속성을 가진 사용자는 Verify , 이 속성의 값이 Windows 로그인 사용자 이름과 일치하는 사용자를 Verify 찾아서 식별됩니다.
"username-attr-strict"	false	이 값을 false로 설정하면, Active Directory 사용자에게 "username-attr" 속성이 없는 경우, 로그인 시 Windows 사용자 이름을 사용하여 2FA 의 사용자를 Verify 찾게 됩니다.
"사용자 이름 속성 형식"	"%A"	"username-attr" 값을 매핑할 문자열입니다. %A는 모두 속성 값으로 대체되므로, 문자열 상수를 접두사 및/또는 접미사로 추가할 수 있습니다. 기본값은 "%A"이며, 이는 아무런 수정도 가하지 않은 상태입니다.