인증 요인 구성

온라인에서 편집하기

Verify 2단계 인증을 지원합니다. 일반적으로 해당 ID를 증명하기 위해 사용자가 제공해야 하는 시스템 생성 코드인 2단계 인증 사용이 포함되는 다단계 인증의 한 유형입니다. Verify사용자가.NET으로 개발 및 통합된 애플리케이션에 로그인할 때 보안 통제를 강화하기 위해 두 번째 인증 요소의 사용을 의무화합니다. 사용자를 프롬프트할 2단계 인증 요인을 선택하십시오.

시작하기 전에

  • IBM 보안 학습 아카데미에서 Verify 다중 요소 인증 비디오를 보십시오.
  • 이 태스크를 완료하려면 관리 권한이 있어야 합니다.
  • 관리자 계정으로 관리 콘솔에 IBM® Verify 로그인하십시오.

이 태스크에 대한 정보

일반적으로 첫 번째 인증 요소는 사용자 이름과 비밀번호, QR 코드 또는 스키입니다.
참고: 사용자의 편의를 위해 ‘FIDO 장치’ 대신 ‘패스키’라는 용어를 사용합니다.
두 번째 인증 요소는 사용자가 소지하고 있는 것으로, 일반적으로 사용자에게 전송되는 자동 생성된 숫자 또는 영숫자 코드입니다. Verify IBM Verify 앱, 인증기 앱, 패스키 및 일회용 비밀번호(OTP)를 2단계 인증 수단으로 사용합니다. OTP는 이메일, SMS, 음성을 통해 전달될 수 있으며 시간 기반이고 전달 메커니즘 없이 유효성을 검증할 수 있습니다.

OTP는 특정 시간 동안 유효합니다. 이는 사용자가 로그인에 성공하거나 만료되면 유효하지 않게 됩니다.

참고: 중국의 통신 규정에 따른 새로운 제한 조치로 인해, IBM Verify 는 SMS 및 음성 메시지가 중국으로 안정적으로 전달되도록 보장해 드릴 수 없습니다. 이러한 제한 사항으로 인해, Verify 현재 중국으로 전송되는 음성 및 SMS 메시지는 지원되지 않습니다. SMS 및 음성 메시지를 지원하는 Verify 국가 목록을 보려면 ‘SMS 및 음성 메시지 지원 국가’를 참조하십시오.

프로시저

  1. ‘인증 ’ > ‘인증 요소’를 선택합니다.
  2. 일반 다중 요소 인증 설정을 설정합니다.
    1. 사용자에 대한 인증 요인이 없는 경우 조치를 선택하십시오.
      • 인증을 거부합니다.
      • 사용자에게 요소를 등록할 수 있는 옵션을 제공합니다.
    2. 인증 요인에 대해 허용된 소스를 선택하십시오.
      • 사용자가 등록한 인증 방법: 사용자가 ‘사용자 런치패드 > 프로필 및 설정 > 보안 ’에서 선택한 인증 방법입니다.
      • 사용자 프로필 속성 및 등록된 메서드: 사용자가 직접 등록한 메서드 외에도, ‘디렉토리 > 사용자 및 그룹’ 아래의 프로 필에 저장된 사용자 정보가 고려됩니다.
    3. 변경사항이 MFA 설정을 변경할 때 사용자에게 알릴지 여부를 선택합니다.
      • 알림 없음
      • 이메일 알림
      • SMS로 알림
      • 사용 가능한 방법으로 사용자에게 알림
      • 사용 가능한 모든 방법으로 사용자에게 알림
    4. 사용자가 변경 알림을 대체할 수 있는지 여부를 지정합니다.
      사용자 겹쳐쓰기를 허용하지 않음
      테넌트에 설정된 MFA 변경 알림 옵션을 사용해야 합니다.
      사용자가 대체할 수 있도록 허용
      사용자는 MFA 변경 알림 옵션을 변경하여 해당 경험을 사용자 정의할 수 있다.
      필수
      사용자가 MFA 변경 알림을 끌 수 없습니다. 사용자에게는 MFA 변경 알림에 사용할 수 있는 최소한 하나의 메소드가 있어야 합니다.
  3. 인증을 위해 여러 개의 MFAs를 사용해야 하는지 여부를 선택합니다.
    참고: 등록 정보는 중복되지 않아야 합니다. 예를 들어, SMS 및 VOTP에 동일한 전화번호를 사용하는 경우에는 하나의 등록일 뿐이다. SMS의 휴대전화 번호와 VOTP의 사무실 전화번호를 사용하면 두 개의 등록이 됩니다.
    1. ‘최소 등록 횟수 설정’ 확인란을 선택하여 사용자가 반드시 보유해야 하는 다단계 인증 등록 횟수를 설정합니다.
      최소 요건은 1개입니다. 최대치는 25입니다. 요구사항에는 현재 날짜가 있는 시간소인이 표시됩니다. 해당 날짜 이후 사용자는 애플리케이션에 로그인할 때 최소 다중 MFA 등록을 설정해야 합니다.
      참고: Verify 최소 필수 등록 건수를 산정할 때 DUO나 기타 지원되는 제공업체와 같은 외부 MFA 등록 건수도 포함됩니다.
    2. 선택 사항: ‘최종 사용자가 등록을 건너뛸 수 있도록 허용’ 확인란을 선택하여 기존 사용자에 대한 유예 기간을 설정할 수 있습니다.
      참고: 이 옵션을 사용하면 사용자가 이미 2단계 인증을 수행하기 위한 등록 정보가 하나 이상 있는 경우에만 등록 절차를 건너뛸 수 있습니다. 그렇지 않은 경우, 이 옵션을 사용하려면 최소한 하나의 2단계 인증 방식을 등록해야 합니다.
      유예 기간 동안 사용자는 필요한 MFA 등록 없이도 여전히 애플리케이션에 로그인할 수 있습니다. 유예 기간이 만료되면 사용자는 다중 MFA 요구사항을 충족할 때까지 애플리케이션에 액세스할 수 없습니다. 유예 기간은 시작 날짜 시간소인을 기반으로 합니다. 새로 등록된 사용자의 경우 등록 후 유예 기간이 시작됩니다.
    3. 최소 MFA 요구사항이 적용되는 최소한 하나의 식별 제공자를 선택하십시오.
      최소한 하나의 식별 제공자를 선택할 때까지 변경사항을 저장할 수 없습니다. 모든 ID 제공자에 요구사항을 적용하려면 ID 제공자 선택란을 선택하십시오.
  4. 사용자에게 Verify 적용할 인증 요소를 선택하십시오.
    참고:
    • 선택한 경우 런타임 사용을 위해 인증 요인이 사용으로 설정되고 구성 가능한 설정이 표시됩니다.
    • 다단계 인증 요인을 사용으로 설정할 수 있습니다. 이를 수행하면 일회성 비밀번호가 전달되고 유효성 검증되기 전에 사용자가 선호 메소드를 선택하도록 프롬프트됩니다.
    인증 요인 설명
    일반 다단계 인증(MFA) 설정
    MFA 인증 확인 동안 요인이 없는 경우
    애플리케이션에 액세스할 때 2단계 인증이 필요하지만 등록된 인증 요소가 없는 경우, 인증을 실패로 처리할지 아니면 사용자가 인증 요소를 등록할 수 있도록 허용할지 선택하십시오.
    다음 소스에서 두 번째 요인 허용
    기본적으로 2단계 인증은 두 사용자 프로파일 속성 및 등록된 메소드에서 허용됩니다. 사용자 프로필에 등록된 이메일 주소와 휴대폰 번호, 그리고 등록된 모든 인증 방법은 2단계 인증 수단으로 사용할 수 있습니다. Verify또한 두 번째 인증 요소를 에 등록된 인증 방법으로만 제한하도록 선택할 수 있습니다.
    행동 생체 인식 기존의 사용자 이름 및 비밀번호 인증 과정에서 나타나는 행동 입력 이상 징후를 감지합니다. authentication.Detects 기존의 사용자 이름 및 비밀번호 인증 과정에서 나타나는 행동 입력 이상 징후를 감지합니다.
    이메일 일회성 비밀번호

    비밀번호가 생성되고 사용자의 등록된 이메일 주소로 전송됩니다.

    이 옵션은 기본적으로 사용으로 설정됩니다.

    참고: 사용자는 등록된 이메일 주소를 가지고 있어야 합니다. 그렇지 않으면 사용자에게 일회성 비밀번호를 전달할 수 없어 이 옵션을 선택해도 사용자에게 표시되지 않습니다.
    SMS 일회성 비밀번호

    비밀번호가 생성되고 사용자의 등록된 휴대전화 번호로 전송됩니다.

    이 옵션은 기본적으로 사용으로 설정됩니다.

    참고: 사용자는 등록된 휴대폰 번호를 가지고 있어야 합니다. 그렇지 않으면 사용자에게 일회성 비밀번호를 전달할 수 없어 이 옵션을 선택해도 사용자에게 표시되지 않습니다.
    시간 기반 일회성 비밀번호

    비밀번호는 표준 시간 기반 일회성 비밀번호 알고리즘을 사용하여 생성됩니다.

    비밀번호는 전송되거나 저장되지 않습니다. 이 코드는 일정한 간격으로 생성되므로, TOTP 인증 서버와 클라이언트 간의 일치 여부가 검증됩니다.

    먼저, 사용자는 QR 코드를 스캔하거나 IBM Verify 또는 Google Authenticator와 같은 TOTP 모바일 앱에서 해당 비밀번호를 입력하여 계정을 등록해야 합니다.
    참고: 사용자는 등록된 휴대폰 번호를 보유하고 있어야 하며, IBM Verify 또는 Google 에서 인증기 앱을 다운로드하여 설치해야 합니다.
    음성 일회성 비밀번호

    비밀번호가 생성되고 사용자의 등록된 전화번호로 전송됩니다. 전화번호는 휴대전화 또는 유선전화일 수 있습니다.
    IBM Verify 인증 인증은 사용자가 현재 디바이스에 실제로 있는지 확인하는 런타임 인증 확인을 통해 수행됩니다. 디바이스 기반의 지문 인증도 필요할 수 있습니다.
    참고: 사용자는 IBM Verify 를 다운로드하여 설치하거나, IBM Verify 모바일 SDK를 사용하는 맞춤형 모바일 앱을 설치해야 합니다. 사용자는 등록된 모바일 인증자도 있어야 합니다.
    QR 코드 로그인 구성

    애플리케이션이 qrlogin 검증 트랜잭션을 시작할 수 있으며, IBM Verify에서 사용자가 검증 요청을 완료하기를 기다린 후 계속해서 런타임 액세스를 수행합니다. ‘QR 로그인’을 통한 비밀번호 없는 인증을 참조하십시오.
    참고: 패스키 를 사용한 인증을 활성화하려면 ‘ FIDO2 기기 관리’를 참조하십시오.
  5. 선택 사항: 이메일 일회용 비밀번호 또는 SMS 일회용 비밀번호를 활성화한 경우, 다음 설정을 구성하여 해당 기능을 제어할 수 있습니다:
    표 1. 이메일 및 SMS 일회용 비밀번호 설정
    정보 설명
    만료(초) 패스코드의 유효 기간입니다.
    길이

    일회성 비밀번호 값에 포함할 수 있는 문자 수입니다.

    최소값은 1.

    최대값은 20.

    6기본값은.입니다.
    비밀번호 문자 세트

    일회성 비밀번호 값에 포함할 수 있는 유효한 문자 세트입니다. 알파벳 및 숫자 문자 세트일 수 있습니다.

    0123456789기본값은.입니다.
    재시도 횟수 비밀번호가 만료되고 사용자가 새 인증 트랜잭션을 시작해야 하기 전에 허용되는 인증 실패 횟수입니다.
    허용된 도메인 OTP 비밀번호 메시지를 보낼 수 있는 이메일 도메인을 지정하십시오. 여러 도메인을 지정할 수 있습니다. 정규식 패턴을 사용하여 추가 도메인을 지정할 수 있습니다.
    거부된 도메인 OTP 비밀번호 메시지를 보내지 않아야 하는 이메일 도메인을 지정하십시오. 여러 도메인을 지정할 수 있습니다. 정규식 패턴을 사용하여 추가 도메인을 지정할 수 있습니다.
  6. 선택 사항: 시간 기반 일회용 비밀번호를 활성화한 경우, 다음 설정을 구성하여 해당 기능을 제어할 수 있습니다:
    표 2. 시간 기반 일회용 비밀번호 설정
    설정 설명
    해시 알고리즘

    시간 기반 일회성 비밀번호를 생성하는 알고리즘입니다. TOTP 알고리즘은 SHA 해시 함수와 결합된 해시 기반 메시지 인증 코드(HMAC)를 사용합니다.

    다음 옵션에서 선택하십시오.
    • HMAC-SHA-1
    • HMAC-SHA-256
    • HMAC-SHA-512

    HMAC-SHA-1은 기본 해시 알고리즘입니다.
    생성 간격(초)

    다음 TOTP가 생성되기 전에 OTP가 유효한 최대 시간(초)입니다. 이 시간 후에 TOTP 생성기 및 서버 유효성 검증이 새 TOTP를 생성합니다.

    30기본값은.입니다.

    참고: 기간 변경 사항은 변경 이후에 이루어지는 등록에만 적용됩니다. 기존 등록은 이전 값을 계속 사용합니다. 새 값을 사용하려면 기존 등록을 삭제하거나 재작성해야 합니다.
    스큐 간격

    스큐 간격은 서버가 생성된 OTP를 승인하는 클라이언트 디바이스의 타임스탬프로부터의 다수의 간격입니다.

    0예를 들어, 7세대 간격별 OTP 값을 나열한 다음 표를 참고하여, 서버의 현재 시간이 간격 에 해당하는 OTP 인증을 고려해 보십시오. 스큐 간격2로 설정되면 사용자가 간격 0 - 2의 OTP 값을 제공하는 경우 OTP 유효성 검증이 성공할 수 있습니다.
    간격 시간소인 OTP
    3 09:00:10 876 123
    2 09:00:40 543 456
    1 09:01:10 210 789
    0 09:01:40 987 012
    1 09:02:10 654 345
    2 09:02:40 321 678
    3 09:03:10 761901

    기본값은 1이며 허용되는 최소값은 0입니다.
    숫자

    일회성 비밀번호 값에 포함할 수 있는 문자 수입니다.

    최소값은 6.

    최대값은 12.
    비밀 키 URL

    비밀 키를 전달하고 QR 코드를 생성하는 URL입니다.

    URL 형식은 회사 이름과 같이 사용자의 환경에 고유한 정보를 포함할 수 있습니다.

    기본 URL: otpauth://totp/IBM%20Security%20Verify:@USER_NAME@?secret=@SECRET_KEY@&issuer=IBM%20Security%20Verify&algorithm=@ALGORITHM@&digits=@DIGITS@&period=@PERIOD@

    https참고: ` URL `에는 또는 가 포함되어서는 http 안 됩니다. 또한 항상 otpauth://totp/로 시작해야 합니다.
    일회용

    대상 리소스에 로그인하는 데 사용되는 경우 재사용을 위해 일회성 비밀번호를 캐시할지 여부를 표시합니다.

    사용으로 설정된 경우 유효한 TOTP 값은 유효성 검증 서버에서 최대 한 번 사용할 수 있습니다. 사용으로 설정되지 않은 경우 유효한 TOTP 값은 유효 기간 동안 두 번 이상 유효성 검증할 수 있습니다.

    이 옵션은 기본적으로 선택되어 있습니다. 선택한 경우 사용자는 캐시에 있는 동안 비밀번호를 재사용할 수 없습니다.
    사용자당 등록 건수

    특정 사용자가 등록할 수 있는 최대 인원 수.

    최소값은 1.

    최대값은 5.
  7. 선택 사항: 음성 일회용 비밀번호를 활성화한 경우, 다음 설정을 구성하여 해당 기능을 제어할 수 있습니다:
    표 3. 음성 일회용 비밀번호 설정
    정보 설명
    만료(초) 패스코드의 유효 기간입니다.
    길이 패스코드에 포함된 문자 수입니다. 길이는 1자 이상이어야 합니다.
    문자 세트 패스코드에 사용할 수 있는 문자입니다. 알파벳 및 숫자 문자 세트일 수 있습니다.
    재시도 횟수 비밀번호가 만료되고 사용자가 새 인증 트랜잭션을 시작해야 하기 전에 허용되는 인증 실패 횟수입니다.
  8. 선택 사항: IBM Verify 인증을 활성화한 경우, 다음 설정을 구성하여 해당 동작을 제어할 수 있습니다:
    표 4. IBM Verify 인증 설정
    정보 설명
    상관 코드
    참고:
    • 상관 코드를 사용하려면 인증 방법 Verify 중 적어도 하나는 활성화되어 있어야 합니다.
    • OTP 페이지를 사용자 지정하신 경우, 새로운 상관 코드 로직에 맞춰 해당 페이지를 업데이트해야 합니다.
    이 옵션을 사용하면 인증 방법 중 하나에 더해 상관 코드를 사용할 수 있습니다. 런타임 챌린지는 앱이 인증을 승인하거나 거부하기 전에 사용자에게 화면에 표시된 상관 코드를 앱에IBM Verify 입력하도록 요청합니다.
    IBM Verify 인증 방법 이 인증 방법은 IBM Verify 에서 지원되거나, IBM Verify 모바일 SDK를 사용하는 맞춤형 모바일 앱을 통해 지원됩니다. 이는 사용자가 실제로 존재하며 등록된 모바일 인증기를 보유하고 있음을 확인하는 기본적인 대역 외 검증 기능을 제공합니다. 등록은 모바일 인증기에서 생성된 공개 키를 교환하는 과정을 통해 이루어지며, 이 키가 해당 기기에 Verify'등록'됩니다. 승인된 인증은 모바일 인증기가 등록된 공개 키와 연동되어 모바일 기기에 저장된 개인 키로 인증 거래 데이터를 서명할 때 이루어집니다Verify . 각 인증 방식에서는 지원되는 알고리즘과 우선순위 알고리즘을 선택할 수 있습니다.
    지원되는 알고리즘
    등록, 런타임 검증 트랜잭션 및 인증 확인 중에 사용할 수 있는 암호화 알고리즘입니다. 이러한 설정은 등록 프로세스 중에 모바일 인증자에게 전송됩니다.
    선호되는 알고리즘
    키 생성 등록에 선호되는 암호화 알고리즘입니다.

    지원되는 인증 방법은 다음과 같습니다:

    사용자 인식
    런타임 챌린지에서는 사용자가 UI 프롬프트를 선택하여 인증을 승인하거나 거부해야 합니다.
    안면
    사용자는 기기 기반 얼굴 인증을 완료해야 합니다. 개인 키는 디바이스 키 체인의 모바일 인증자에 의해 저장되고 디바이스 기반 안면 인증으로 보호됩니다.
    지문
    사용자는 기기 기반 지문 인증을 완료해야 합니다. 개인 키는 디바이스 키 체인의 모바일 인증자에 의해 저장되고 디바이스 기반 지문 인증으로 보호됩니다.
  9. 선택 사항: QR 코드 로그인 구성을 활성화한 경우, 다음 설정을 구성하여 해당 기능을 제어할 수 있습니다:
    표 5. QR 코드 로그인 설정
    정보 설명
    만료 사용자가 인증 절차를 완료하기 위해 QR 코드를 스캔해야 하는 시간(초)으로, 이 시간이 지나면 QR 코드가 더 이상 유효하지 않게 됩니다.
    로그인 세션 색인
    문자 수
    사용해야 하는 최소 문자 수를 지정합니다.
    문자 세트
    사용할 수 있는 알파벳 및 숫자 문자 세트를 정의합니다.
    디바이스 세션 색인
    문자 수
    사용해야 하는 최소 문자 수를 지정합니다.
    문자 세트
    사용할 수 있는 알파벳 및 숫자 문자 세트를 정의합니다.
  10. ‘저장’을 선택하세요.

다음에 수행할 작업

액세스 정책을 설정하여 2단계 인증의 사용을 적용할 시기를 판별하십시오. “포털 액세스 관리”를 참조하십시오.