인증 요인 구성

온라인 편집

Verify 는 이중 인증을 지원합니다. 일반적으로 해당 ID를 증명하기 위해 사용자가 제공해야 하는 시스템 생성 코드인 2단계 인증 사용이 포함되는 다단계 인증의 한 유형입니다. 사용자가 Verify와 통합되어 개발된 애플리케이션에 사인온할 때 사용자에 대한 추가 보안 제어를 위해 2차 인증 요인을 사용하도록 적용합니다. 사용자를 프롬프트할 2단계 인증 요인을 선택하십시오.

시작하기 전에

IBM 보안 학습 아카데미에서 Verify 다중 요소 인증 비디오를 보십시오.
이 태스크를 완료하려면 관리 권한이 있어야 합니다.
IBM® Verify 관리 콘솔에 관리자로 로그인하십시오.

이 태스크에 대한 정보

첫 번째 인증 요인은 일반적으로 사용자 이름 및 비밀번호, QR 코드 또는 패스키입니다.

참고: 사용자의 경우, 보다 소비자 친화적인 경험을 제공하기 위해 FIDO 디바이스 대신 패스키라는 용어가 사용됩니다.

두 번째 인증 요소는 사용자가 가지고 있는 것으로, 일반적으로 사용자에게 전송되는 자동 생성된 숫자 또는 영숫자 코드입니다. Verify 는 인증을 위한 두 번째 요인으로 IBM Verify 앱, 인증자 앱, 패스키및 일회성 비밀번호 (OTP) 를 사용합니다. OTP는 이메일, SMS, 음성을 통해 전달될 수 있으며 시간 기반이고 전달 메커니즘 없이 유효성을 검증할 수 있습니다.

OTP는 특정 시간 동안 유효합니다. 이는 사용자가 로그인에 성공하거나 만료되면 유효하지 않게 됩니다.

참고: 중국 통신 규정의 새로운 제한으로 인해 ' IBM Verify '은 중국에 SMS 및 음성 메시지가 안정적으로 전달되는 데 도움을 줄 수 없습니다. 이러한 제한사항으로 인해 Verify 은 현재 중국으로 전송되는 음성 및 SMS 메시지를 지원할 수 없습니다. Verify 에서 SMS 및 음성 메시지를 지원하는 국가 목록은 SMS 및 음성 지원 국가를 참조하세요.

프로시저

인증 > 인증 요소를 선택합니다.
일반 다중 요소 인증 설정을 설정합니다.
1. 사용자에 대한 인증 요인이 없는 경우 조치를 선택하십시오.
  - 인증을 거부합니다.
  - 사용자에게 요소를 등록할 수 있는 옵션을 제공합니다.
2. 인증 요인에 대해 허용된 소스를 선택하십시오.
  - 사용자가 등록한 방법: 사용자 런치패드 > 프로필 및 설정 > 보안에서 사용자가 선택한 인증 방법입니다.
  - 사용자 프로필 속성 및 등록된 메소드: 사용자가 등록한 방법 외에도 디렉토리 > 사용자 및 그룹 아래의 프로필에 저장된 사용자 정보가 고려됩니다.
3. 변경사항이 MFA 설정을 변경할 때 사용자에게 알릴지 여부를 선택합니다.
  - 알림 없음
  - 이메일 알림
  - SMS로 알림
  - 사용 가능한 방법으로 사용자에게 알림
  - 사용 가능한 모든 방법으로 사용자에게 알림
4. 사용자가 변경 알림을 대체할 수 있는지 여부를 지정합니다.
  
  사용자 겹쳐쓰기를 허용하지 않음
  
  테넌트에 설정된 MFA 변경 알림 옵션을 사용해야 합니다.
  
  사용자가 대체할 수 있도록 허용
  
  사용자는 MFA 변경 알림 옵션을 변경하여 해당 경험을 사용자 정의할 수 있다.
  
  필수
  
  사용자가 MFA 변경 알림을 끌 수 없습니다. 사용자에게는 MFA 변경 알림에 사용할 수 있는 최소한 하나의 메소드가 있어야 합니다.
인증을 위해 여러 개의 MFAs를 사용해야 하는지 여부를 선택합니다.

주: 등록은 고유해야 합니다. 예를 들어, SMS 및 VOTP에 동일한 전화번호를 사용하는 경우에는 하나의 등록일 뿐이다. SMS의 휴대전화 번호와 VOTP의 사무실 전화번호를 사용하면 두 개의 등록이 됩니다.
1. 사용자가 가지고 있어야 하는 다중 요소 등록 수를 설정하려면 최소 등록 수 설정 선택란을 선택하십시오.
  최소 요구 사항은 1개입니다. 최대 25개입니다. 요구사항에는 현재 날짜가 있는 시간소인이 표시됩니다. 해당 날짜 이후 사용자는 애플리케이션에 로그인할 때 최소 다중 MFA 등록을 설정해야 합니다.
  참고: Verify 에서는 최소 필수 등록을 평가할 때 DUO 또는 기타 지원되는 제공업체와 같은 외부 MFA 등록을 고려합니다.
2. 선택 사항: 기존 사용자에게 유예 기간을 설정하려면 '최종 사용자가 등록을 건너뛰도록 허용' 확인란을 선택할 수 있습니다.
  주: 이 옵션을 사용하면 사용자가 이미 하나 이상의 2단계 인증을 등록한 경우에만 등록을 건너뛰고 2단계 인증을 수행할 수 있습니다. 그렇지 않으면 이 옵션을 사용하려면 최소 하나의 2차 인증기관 등록에 등록해야 합니다.
  유예 기간 동안 사용자는 필요한 MFA 등록 없이도 여전히 애플리케이션에 로그인할 수 있습니다. 유예 기간이 만료되면 사용자는 다중 MFA 요구사항을 충족할 때까지 애플리케이션에 액세스할 수 없습니다. 유예 기간은 시작 날짜 시간소인을 기반으로 합니다. 새로 등록된 사용자의 경우 등록 후 유예 기간이 시작됩니다.
3. 최소 MFA 요구사항이 적용되는 최소한 하나의 식별 제공자를 선택하십시오.
  최소한 하나의 식별 제공자를 선택할 때까지 변경사항을 저장할 수 없습니다. 모든 ID 제공자에 요구사항을 적용하려면 ID 제공자 선택란을 선택하십시오.

Verify 사용자에 대해 사용 또는 사용 안함으로 설정할 인증 요인을 선택하십시오.

참고:

선택한 경우 런타임 사용을 위해 인증 요인이 사용으로 설정되고 구성 가능한 설정이 표시됩니다.
다단계 인증 요인을 사용으로 설정할 수 있습니다. 이를 수행하면 일회성 비밀번호가 전달되고 유효성 검증되기 전에 사용자가 선호 메소드를 선택하도록 프롬프트됩니다.

인증 요인	설명
일반 다단계 인증(MFA) 설정	MFA 인증 확인 동안 요인이 없는 경우 애플리케이션에 액세스하려면 2단계 인증이 필요한데 등록된 요소가 없는 경우 인증 실패 여부를 선택하거나 사용자가 인증 요소를 등록할 수 있도록 허용합니다. 다음 소스에서 두 번째 요인 허용 기본적으로 2단계 인증은 두 사용자 프로파일 속성 및 등록된 메소드에서 허용됩니다. 사용자 프로필의 이메일 및 휴대폰 번호와 등록된 모든 인증 방법을 2단계 인증으로 사용할 수 있습니다. Verify에 등록된 인증 메소드로 두 번째 요인을 제한하도록 선택할 수도 있습니다.
행동 생체 인식	일반 사용자 이름 및 비밀번호 인증 중에 동작 입력 이상을 발견합니다.
이메일 일회성 비밀번호	비밀번호가 생성되고 사용자의 등록된 이메일 주소로 전송됩니다. 이 옵션은 기본적으로 사용으로 설정됩니다. 참고: 사용자에게 등록된 이메일 주소가 있어야 합니다. 그렇지 않으면 사용자에게 일회성 비밀번호를 전달할 수 없어 이 옵션을 선택해도 사용자에게 표시되지 않습니다.
SMS 일회성 비밀번호	비밀번호가 생성되고 사용자의 등록된 휴대전화 번호로 전송됩니다. 이 옵션은 기본적으로 사용으로 설정됩니다. 참고: 사용자는 등록된 휴대전화 번호를 가지고 있어야 합니다. 그렇지 않으면 사용자에게 일회성 비밀번호를 전달할 수 없어 이 옵션을 선택해도 사용자에게 표시되지 않습니다.
시간 기반 일회성 비밀번호	비밀번호는 표준 시간 기반 일회성 비밀번호 알고리즘을 사용하여 생성됩니다. 비밀번호는 전달되거나 저장되지 않습니다. TOTP 유효성 검사 서버와 클라이언트가 일정한 간격으로 생성되므로 일치하는지 확인합니다. 먼저, 사용자는 QR코드 이미지를 스캔하거나 IBM Verify 또는 Google 인증자와 같은 TOTP 모바일 애플리케이션에서 이에 상응하는 비밀번호를 입력하여 계정을 등록해야 합니다. 참고: 사용자는 등록된 휴대전화 번호를 가지고 있어야 하며 IBM Verify 또는 Google Authenticator를 다운로드하여 설치해야 합니다.
음성 일회성 비밀번호	비밀번호가 생성되고 사용자의 등록된 전화번호로 전송됩니다. 전화번호는 휴대전화 또는 유선전화일 수 있습니다.
IBM Verify 인증	인증은 사용자가 현재 디바이스에 실제로 있는지 확인하는 런타임 인증 확인을 통해 수행됩니다. 디바이스 기반의 지문 인증도 필요할 수 있습니다. 참고: 사용자는 IBM Verify 또는 IBM Verify 모바일 SDK를 사용하는 사용자 지정 모바일 앱을 다운로드하여 설치해야 합니다. 사용자는 등록된 모바일 인증자도 있어야 합니다.
QR 코드 로그인 구성	애플리케이션이 qrlogin 검증 트랜잭션을 시작할 수 있으며, IBM Verify에서 사용자가 검증 요청을 완료하기를 기다린 후 계속해서 런타임 액세스를 수행합니다. QR 로그인 비밀번호 없는 인증 참조.

참고: 패스키 를 사용한 인증을 활성화하려면 기기 FIDO2 관리를 참조하십시오.

선택 사항: 이메일 일회용 비밀번호 또는 SMS 일회용 비밀번호를 활성화한 경우, 다음 설정을 구성하여 동작을 제어할 수 있습니다:

표 1. 이메일 및 SMS 일회용 비밀번호 설정
정보	설명
만료(초)	패스코드의 유효 기간입니다.
길이	일회성 비밀번호 값에 포함할 수 있는 문자 수입니다. 최소값은 `1`입니다. 최대값은 `20`입니다. 기본값은 `6`입니다.
비밀번호 문자 세트	일회성 비밀번호 값에 포함할 수 있는 유효한 문자 세트입니다. 알파벳 및 숫자 문자 세트일 수 있습니다. 기본값은 `0123456789`입니다.
재시도 횟수	비밀번호가 만료되고 사용자가 새 인증 트랜잭션을 시작해야 하기 전에 허용되는 인증 실패 횟수입니다.
허용된 도메인	OTP 비밀번호 메시지를 보낼 수 있는 이메일 도메인을 지정하십시오. 여러 도메인을 지정할 수 있습니다. 정규식 패턴을 사용하여 추가 도메인을 지정할 수 있습니다.
거부된 도메인	OTP 비밀번호 메시지를 보내지 않아야 하는 이메일 도메인을 지정하십시오. 여러 도메인을 지정할 수 있습니다. 정규식 패턴을 사용하여 추가 도메인을 지정할 수 있습니다.

선택 사항: 시간 기반 일회용 비밀번호를 활성화한 경우, 다음 설정을 구성하여 동작을 제어할 수 있습니다:

설정 설명

해시 알고리즘

시간 기반 일회성 비밀번호를 생성하는 알고리즘입니다. TOTP 알고리즘은 SHA 해시 함수와 결합된 해시 기반 메시지 인증 코드(HMAC)를 사용합니다.

다음 옵션에서 선택하십시오.

HMAC-SHA-1
HMAC-SHA-256
HMAC-SHA-512

HMAC-SHA-1은 기본 해시 알고리즘입니다.

생성 간격(초)

다음 TOTP가 생성되기 전에 OTP가 유효한 최대 시간(초)입니다. 이 시간 후에 TOTP 생성기 및 서버 유효성 검증이 새 TOTP를 생성합니다.

기본값은 30입니다.

주: 간격을 변경하면 변경 후에 발생하는 등록에만 영향을 줍니다. 기존 등록은 이전 값을 계속 사용합니다. 새 값을 사용하려면 기존 등록을 삭제하거나 재작성해야 합니다.

스큐 간격

스큐 간격은 서버가 생성된 OTP를 승인하는 클라이언트 디바이스의 타임스탬프로부터의 다수의 간격입니다.

예를 들어 예를 들어, 7세대 간격에 대한 OTP 값이 나열된 다음 표를 사용하여 서버의 현재 시간이 ' 0 간격에 해당하는 OTP 확인을 고려합니다. 스큐 간격이 2로 설정되면 사용자가 간격 0 - 2의 OTP 값을 제공하는 경우 OTP 유효성 검증이 성공할 수 있습니다.

간격	시간 소인	OTP
3	`09:00:10`	`876 123`
2	`09:00:40`	`543 456`
1	`09:01:10`	`210 789`
0	`09:01:40`	`987 012`
1	`09:02:10`	`654 345`
2	`09:02:40`	`321 678`
3	`09:03:10`	`761901`

기본값은 1이며 허용되는 최소값은 0입니다.

숫자

일회성 비밀번호 값에 포함할 수 있는 문자 수입니다.

최소값은 6입니다.

최대값은 12입니다.

비밀 키 URL

비밀 키를 전달하고 QR 코드를 생성하는 URL입니다.

URL 형식은 회사 이름과 같이 사용자의 환경에 고유한 정보를 포함할 수 있습니다.

기본 URL: otpauth://totp/IBM%20Security%20Verify:@USER_NAME@?secret=@SECRET_KEY@&issuer=IBM%20Security%20Verify&algorithm=@ALGORITHM@&digits=@DIGITS@&period=@PERIOD@

참고: URL http 또는 https 가 포함되어서는 안 됩니다. 또한 항상 otpauth://totp/로 시작해야 합니다.

일회용

대상 리소스에 로그인하는 데 사용되는 경우 재사용을 위해 일회성 비밀번호를 캐시할지 여부를 표시합니다.

사용으로 설정된 경우 유효한 TOTP 값은 유효성 검증 서버에서 최대 한 번 사용할 수 있습니다. 사용으로 설정되지 않은 경우 유효한 TOTP 값은 유효 기간 동안 두 번 이상 유효성 검증할 수 있습니다.

이 옵션은 기본적으로 선택되어 있습니다. 선택한 경우 사용자는 캐시에 있는 동안 비밀번호를 재사용할 수 없습니다.

사용자당 등록

특정 사용자가 등록할 수 있는 최대 등록 수입니다.

최소값은 1입니다.

최대값은 5입니다.

선택 사항: 음성 일회용 비밀번호를 활성화한 경우, 다음 설정을 구성하여 동작을 제어할 수 있습니다:

표 3. 음성 일회용 비밀번호 설정
정보	설명
만료(초)	패스코드의 유효 기간입니다.
길이	패스코드에 포함된 문자 수입니다. 길이는 1자 이상이어야 합니다.
문자 세트	패스코드에 사용할 수 있는 문자입니다. 알파벳 및 숫자 문자 세트일 수 있습니다.
재시도 횟수	비밀번호가 만료되고 사용자가 새 인증 트랜잭션을 시작해야 하기 전에 허용되는 인증 실패 횟수입니다.

선택 사항: 인증을 IBM Verify 활성화한 경우, 다음 설정을 구성하여 동작을 제어할 수 있습니다:

표 4. IBM Verify 인증 설정
정보	설명
상관 코드	참고: 상관 관계 코드를 사용하려면 Verify 인증 방법 중 하나 이상이 활성화되어 있어야 합니다. OTP 페이지를 사용자 정의한 경우, 새로운 상관 관계 코드 논리로 업데이트해야 합니다. 이 옵션을 사용하면 인증 방법 중 하나에 상관 코드 사용이 가능합니다. 런타임 챌린지는 확인을 승인하거나 거부하기 전에 화면에 표시되는 상관관계 코드를 IBM Verify 앱에 입력하라는 메시지를 사용자에게 표시합니다.
IBM Verify 인증 방식	인증 방법은 IBM Verify 또는 IBM Verify 모바일 SDK를 사용하는 맞춤형 모바일 앱에서 지원됩니다. 사용자가 존재하고 등록된 모바일 인증기를 가지고 있다는 것을 기본적으로 대역 외 방식으로 확인합니다. 등록은 모바일 인증자에서 생성되고 Verify에 '등록된' 공개 키의 교환으로 구현됩니다. 모바일 인증자가 모바일 디바이스에 저장되고 등록된 공개 키와 연관된 개인 키를 사용하여 검증 트랜잭션 데이터에 서명할 때 승인된 검증이 Verify 에 표시됩니다. 각 인증 방식은 지원되는 알고리즘과 선호하는 알고리즘을 선택할 수 있도록 합니다. 지원되는 알고리즘 등록, 런타임 검증 트랜잭션 및 인증 확인 중에 사용할 수 있는 암호화 알고리즘입니다. 이러한 설정은 등록 프로세스 중에 모바일 인증자에게 전송됩니다. 선호되는 알고리즘 키 생성 등록에 선호되는 암호화 알고리즘입니다. 지원되는 인증 방법은 다음과 같습니다: 사용자 인식 실행 시간 문제는 사용자가 UI 프롬프트를 선택하여 확인을 승인하거나 거부해야 합니다. 안면 사용자는 장치 기반의 얼굴 인증을 완료해야 합니다. 개인 키는 디바이스 키 체인의 모바일 인증자에 의해 저장되고 디바이스 기반 안면 인증으로 보호됩니다. 지문 사용자는 장치 기반 지문 인증을 완료해야 합니다. 개인 키는 디바이스 키 체인의 모바일 인증자에 의해 저장되고 디바이스 기반 지문 인증으로 보호됩니다.

선택 사항: QR 코드 로그인 구성을 활성화한 경우, 다음 설정을 구성하여 동작을 제어할 수 있습니다:

표 5. QR 코드 로그인 구성 설정
정보	설명
만료	인증 절차를 완료하기 위해 더 이상 유효하지 않게 되기 전에 사용자가 QR 코드를 스캔해야 하는 시간(초)입니다.
로그인 세션 색인	문자 수 사용해야 하는 최소 문자 수를 지정합니다. 문자 세트 사용할 수 있는 알파벳 및 숫자 문자 세트를 정의합니다.
디바이스 세션 색인	문자 수 사용해야 하는 최소 문자 수를 지정합니다. 문자 세트 사용할 수 있는 알파벳 및 숫자 문자 세트를 정의합니다.

저장을 선택하십시오.

다음에 수행할 작업

액세스 정책을 설정하여 2단계 인증의 사용을 적용할 시기를 판별하십시오. 포털 액세스 관리 참조.