config.json 파일

이 구성 파일은 JSON 형식이어야 하며, 여기에는 ibm-auth-api과(와) 신임 정보 제공자의 두 섹션이 포함되어 있습니다.

형식

{
    "ibm-auth-api":{
        "client-id":"????????-????-????-????-????????????",
        "ofb-client-secret":"**********",
        "protocol":"https",
        "host":"tenant.verify.ibm.com",
        "port":443,
        "max-handles":16
    },
    "credential-provider":{
        "username-format":"%D\\\\%U",
        /*"trace-file":"c:/credprov/credprov.log",*/
        "disable-builtin-password-logon": false,
        "auth-method":"winpwd-then-choice-then-otp"
    }
}

ibm-auth-api 구성

항목	샘플 값	설명
"client-id"	"84e8da25-d7ed-47cc-9782-b852cb64365c"	이 값은 필수입니다. IBM Security Verify Gateway for Windows 로그인에 사용할 IBM® Security Verify API 클라이언트를 작성해야 합니다.
"ofb-client-secret"	"KsjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA="	이 값은 필수입니다. IBM Security Verify API 클라이언트는 작성될 때 비밀번호가 제공되며 이 구성 설정에서 설정되어야 합니다. obf-client-secret은 난독화된 양식으로 제공됩니다. 참고: 대신 "client-secret" 옵션을 사용하여 이 obf-client-secret을 일반 텍스트로 제공할 수도 있습니다. 예를 들면 다음과 같습니다. `"client-secret”:"XOpiba1XeP"` . `"obf-client-secret”: "asjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA=",`
"프로토콜"	"https"	이 값은 선택사항이며 기본적으로 "https"로 설정됩니다. 이 프로토콜은 Verify 서버와 통신하는 데 사용됩니다. 값 "http" 또는 "https"를 사용할 수 있습니다. https가 사용되고 cacert.pem 파일이 있는 경우, IBM Security Verify 서버 인증서 및 서버 이름의 유효성이 검증됩니다.
"host"	"tenant.verify.ibm.com"	이 값은 필수입니다. 사용 중인 Verify 서버를 식별합니다.
"port"	443	이 값은 선택사항이며 기본적으로 443으로 설정됩니다. 이 포트는 Verify 서버가 요청을 청취하는 포트입니다.
"max-handles"	2	이 값은 선택사항이며 기본적으로 16으로 설정됩니다. 이 값은 IBM Verify 게이트웨이 로그인이 사용자 인증을 위해 IBM Security Verify 서버에 대해 작성하는 최대 병렬 연결 수입니다. 각 인증 정보 제공자 인터페이스에서는 연결이 두 개를 초과하여 동시에 사용되지 않으므로, 값 2가 적절합니다.
"proxy"	"http://proxy.ibm.com:1080"	이 값은 선택사항이며 기본적으로 프록시를 사용하지 않고 직접 연결을 사용하도록 설정됩니다. Verify 테넌트에 액세스하도록 프록시를 설정하십시오. 값은 호스트 이름 또는 점분리 숫자 IP 주소입니다. 숫자 IPV6 주소는 [대괄호] 안에 있어야 합니다. 이 문자열에 포트 번호를 지정하려면 호스트 이름 끝에 `:[port]` 를 추가하십시오. 프록시의 포트 기본값은 `port :1080`입니다. 프록시 문자열은 사용되는 프록시 종류를 지정하기 위해 `[scheme]://`로 접두어를 지정할 수 있습니다. http:// HTTP 프록시. 스킴 또는 프록시 유형이 지정되지 않는 경우의 기본 유형입니다. https:// HTTPS 프록시. OpenSSL, Gnus 및 NSS의 경우 7.52.0에 추가됩니다. socks4:// SOCKS4 프록시. socks4a:// SOCKS4a 프록시. 프록시는 URL 호스트 이름을 분석합니다. socks5:// SOCKS5 프록시. socks5h:// SOCKS5 프록시. 프록시는 URL 호스트 이름을 분석합니다. 스키마 접두부가 없으면 `http://`(으)로 기본 설정됩니다. 프록시 문자열을 `""`(으)로 설정하면 환경 변수가 설정된 경우에도 비어 있는 문자열이 프록시 사용을 명시적으로 사용 불가능하게 합니다. 프록시 호스트 문자열에는 프로토콜 스킴 `http://` 및 임베디드 사용자 및 비밀번호가 포함될 수도 있습니다. 참고: HTTPS 사용하는 경우, IBM Verify 실행되는 Windows 시스템에서 OpenSSL 환경 변수 `SSL_CERT_FILE` 를 설정하십시오. 이 환경 변수는 CA 인증서 파일의 이름 및 위치를 나타냅니다. 제어판 > 시스템 및 보안 시스템 > 고급 시스템 설정 > 환경 변수 > 시스템 변수 으로 이동하여 변수를 지정하십시오. 예를 들면 다음과 같습니다. `SSL_CERT_FILE = C:\ Program Files\IBM\WindowsLogin\ cacert.pem`
"proxytunnel"	True	이 값은 선택사항이며 기본적으로 프록시가 사용되는 경우 true로 설정됩니다. `proxytunnel` 인수를 `true` 로 설정하여 Verify xml-ph-0000@deepl.internal 인수를 xml-ph-0001@deepl.internal로 설정하여 프록시를 사용한다는 것은 프록시를 통해 터널링한다는 것과 다릅니다. 터널링은 특정 포트 번호의 원격 호스트에 연결하도록 요청하는 HTTP CONNECT 요청이 프록시로 전송되고 트래픽이 프록시를 통해 전달된다는 의미입니다. 프록시는 CONNECT 요청을 허용하는 특정 포트 번호를 허용 목록으로 지정합니다. 일반적으로 포트 80과 443만 허용됩니다.
"connect-timeout"	10	이 값은 선택사항이며 기본적으로 10초로 설정됩니다. Verify 서버에 대한 연결을 열려고 시도하는 동안 대기하는 시간 (초) 입니다. 첫 번째 시도가 실패하면 한 번 재시도합니다.
"timeout"	20	이 값은 선택사항이며 기본적으로 20초로 설정됩니다. Windows 로그인용 IBM Verify 게이트웨이가 Verify 서버 연결에서 데이터가 수신될 때까지 기다리는 시간(초)입니다.
"토큰 유형"	"베어러"	"access-token" 의 액세스 토큰 유형을 지정합니다.
"액세스 토큰"	"이상 종료됨 ..."	테넌트에 사용할 액세스 토큰을 지정합니다. 이는 액세스 토큰이 이미 알려진 경우 "client-id" 및 "client-secret" 옵션을 사용하는 대신 사용할 수 있습니다.
"ca-path"	""C:\Program\Files\IBM\WindowsLogin\cacert.pem"	Verify 테넌트 서버 인증서의 허용된 인증 기관 서명자 목록이 있는 파일을 지정합니다. 이 텍스트 파일에는 base64 형식의 하나 이상의 PEM CA 공개 키 인증서가 포함되어 있습니다. 기본적으로 구성 파일 디렉토리에 있는 cacert.pem 파일을 사용합니다.
"오리진 사용자 에이전트"	"IBM Security Verify"	푸시 (디바이스) 트랜잭션을 시작하기 위한 요청에서 사용자 에이전트 전송을 지정합니다.
"프록시-ca-path"	""C:\Program\Files\IBM\WindowsLogin\cacert.pem"	프록시 서버 인증서의 허용된 인증 기관 서명자 목록이 있는 파일을 지정합니다. 이 텍스트 파일에는 base64 형식의 하나 이상의 PEM CA 공개 키 인증서가 포함되어 있습니다. 기본적으로 구성 파일 디렉토리에 있는 cacert.pem 파일을 사용합니다.
"최선 노력 취소"	false	Verify 테넌트 REST API에 대한 TLS 통신의 경우. 이는 이러한 동작이 존재하는 해당 TLS 백엔드에 대한 누락 또는 오프라인 분배 지점의 경우 인증서 폐기 검사를 무시해야 하는지 여부를 표시합니다.
"취소하지 않음"	false	Verify 테넌트 REST API에 대한 TLS 통신의 경우. 이는 이러한 동작이 있는 TLS 백엔드에 대한 인증서 폐기 검사를 사용 안함으로 설정해야 하는지 여부를 표시합니다. 이 옵션은 Windows에서만 지원되며, 무시할 수 없는 Windows 비신뢰 Publishers 블록 목록의 경우에는 예외입니다. 이 옵션은 "revoke-best-effort" 보다 우선합니다.

credential-provider 구성

항목	샘플 값	설명
"trace-file"	“C:\Temp\credprov.log”	이 값은 선택사항이며 기본적으로 추적하지 않도록 설정됩니다. 참고: C:\Program Files\IBM\WindowsLogin\credprov.log 파일이 있으면 로깅이 자동으로 사용으로 설정되고 Verify Gateway for Windows 로그인 시작의 이전 단계에서 로깅이 사용으로 설정됩니다.
"auth-method"	"winpwd-then-choice-then-otp"	이 값은 선택사항이며 기본적으로 "winpwd-then-choice-then-otp"로 설정됩니다. 이는 사용자 인증에 사용되는 MFA 메소드를 정의합니다. "winpwd" Windows 비밀번호 전용입니다. "winpwd-and-totp" 단일 입력에서 시간 기반 일회성 패스코드와 결합된 Windows 비밀번호입니다. "winpwd-then-smsotp" SMS 일회성 패스코드가 뒤에 오는 Windows 비밀번호입니다. "winpwd-then-emailotp" Windows 비밀번호 다음에 이메일 일회성 패스코드가 옵니다. "winpwd-then-choice-then-otp" Windows 비밀번호와 사용 가능한 2FA 메소드의 선택사항, 선택한 일회성 패스코드 또는 디바이스 알림 대기 중인 항목이 차례로 표시됩니다. 참고: 하나의 선택사항만 사용 가능한 경우 선택사항 단계를 건너뜁니다. "winpwd-then-device" 디바이스 알림 대기가 뒤에 오는 Windows 비밀번호입니다. 사용자에 대해 디바이스가 두 개 이상 등록된 경우에는 선택 단계가 표시됩니다. "winpwd-then-transient" Windows 비밀번호 다음에 일회성 비밀번호가 옵니다. 사용자에 대해 transient가 두 개 이상 등록된 경우에는 선택 단계가 표시됩니다.
"accept-on-missing-auth-method"	false	이 값은 선택사항이며 기본적으로 false로 설정됩니다. true로 설정되어 있고 auth-method로 적절하게 등록된 2FA가 없는 경우에는 사용자가 자신의 비밀번호로만 로그온할 수 있습니다.
"password-first"	false	이 값은 선택사항이며 기본적으로 false로 설정됩니다. true로 설정되어 있고 auth-method가 winpwd-and-totp인 경우, 결합된 비밀번호인 totp 값 입력에 비밀번호를 먼저 제공해야 합니다. false일 경우 totp 값을 결합된 입력에 먼저 제공해야 합니다.
"otp-prompt"	“Enter the One Time Passcode %C-”	이 값은 선택사항이며 기본값은 “Enter the One Time Passcode %C-”입니다. 이 프롬프트는 사용자에게 일회성 비밀번호를 입력하라는 메시지가 표시될 때 표시됩니다. %C 문자열(프롬프트에 제공된 경우)은 OTP 메소드의 상관 값으로 대체됩니다. 시간 기반 OTP의 경우에는 빈 문자열입니다.
"password-separator"	“,”	이 값은 선택적이며 기본값은 "`,`입니다. "windpwd-and-totp" 인증 방법의 경우 이 문자는 비밀번호 및 TOTP 결합 입력 사이에 있어야 합니다.
"verify-method-order"	["fingerprint","userPresence"]	이 값은 선택사항이며 기본적으로 ["fingerprint","userPresence"]로 설정됩니다.
"verify-message"	“winhost.ibm.com의 요청을 승인하시겠습니까?”	이 값은 선택사항이며 기본적으로 "{hostname}의 요청을 승인하시겠습니까?"로 설정됩니다. 여기서 {hostname}은(는) Verify Gateway for Windows 로그인이 실행 중인 유추된 호스트 이름으로 대체됩니다. “device” auth_method가 사용된 경우 사용자에게 액세스 확인을 요구할 때 사용자의 디바이스에 이 메시지가 표시됩니다.
"choices"	["device", "transient", "totp", "smsotp", "emailotp", "voiceotp"]	이 값은 "winpwd-then-choice-then-otp" auth-method의 경우 사용자에게 표시되는 2FA의 유형을 정의합니다.
"transient-choices"	[ {"choice": "phoneNumbers", "sub-choices": ["mobile", "work"]}, "emails" ]	이 값은 선택사항이며 기본적으로 ["phoneNumbers","emails"]로 설정됩니다. 이 값은 임시 2FA가 사용으로 설정된 경우 사용자에게 표시되는 임시 OTP 메소드의 유형을 정의합니다. "phoneNumbers"에 대한 하위 선택사항을 지정할 수 있습니다. 고객은 일반적으로 이 옵션을 사용하여 전화번호를 "모바일"로 제한합니다. 이전 버전과의 호환성을 허용하기 위해 "임시 선택 배열" 에서 문자열 또는 자세한 오브젝트를 상호 혼합할 수 있습니다.
"no-mfa-on-unlock"	true \| false	이 항목의 기본값은 false입니다. true로 설정하면 2FA 입력이 요청되지 않습니다. 데스크탑을 잠금 해제하려면 비밀번호만 필요합니다.
"poll-timeout"	60	이 값은 선택사항이며 기본적으로 60초로 설정됩니다. 이 값은 디바이스의 푸시 알림이 사용자의 승인 또는 거부를 기다리는 시간을 지정합니다. 제한시간에 도달하면 요청이 자동으로 거부됩니다.
"poll-rate-ms"	1000	이 값은 선택사항이며 기본적으로 1000밀리초로 설정됩니다. 이 값은 Verify Gateway for Windows Login이 디바이스 PUSH가 거부되었는지 또는 승인되었는지 여부를 판별하기 위해 Verify 서버를 사용하여 확인하는 빈도를 지정합니다. 이는 IBM Verify 게이트웨이 로그인이 디바이스 PUSH에 대해 응답하는 방식에 영향을 줍니다. 주: 작은 폴링 비율 값은 Verify 서버에 초당 많은 요청을 보내며, 이는 해당 로드를 증가시킵니다.
"ignore-isvalidated"	false	이 값은 선택사항이며 기본적으로 false로 설정됩니다. true로 설정되면 Verify Gateway for Windows Login은 유효성 검증되지 않은 2FA 메소드를 허용합니다.
"username-format"	“%D\\%U”	이 값은 선택사항이며 기본적으로 “%D\\%U”로 설정됩니다. Windows 사용자 도메인 및 이름을 Verify 사용자 이름에 맵핑하는 방법을 정의합니다. `%D` 의 발생은 Windows 사용자의 도메인으로 대체되고, `%U` 의 발생은 제공된 문자열에서 Windows 사용자 이름으로 대체됩니다. `%D` 및 `%U` 값은 문자열에서 선택사항입니다.
"disable-builtin-password-logon"	false	이 값은 선택사항이며 기본적으로 false로 설정됩니다. true로 설정하면 Windows 기본 제공 비밀번호 신임 정보 제공자가 사용 안함으로 설정되고 Verify Gateway for Windows 로그인 신임 정보 제공자만 남습니다. false로 설정되면 둘 다 Windows 로그온에서 선택사항으로 사용 가능하게 됩니다. 프로덕션 환경에서 사용자가 Windows 신임 정보 제공자를 선택하여 Verify Gateway for Windows 로그인 신임 정보 제공자를 생략할 수 없도록 하려면 이 값을 true로 설정하십시오.
“rdp-only”	false	이 값은 선택사항이며 기본적으로 false로 설정됩니다. true로 설정되면 Verify Gateway for Windows 로그인 신임 정보 제공자는 원격 데스크탑 로그온에서만 사용됩니다. 로컬 데스크탑 로그온과 같은 다른 로그온 유형에는 사용되지 않습니다.
“no-mfa-account”	“DOMAIN\\User”	이 값은 선택사항이며 기본적으로 계정이 MFA를 무시하지 않도록 설정됩니다. 설정된 경우, 사용자 로그온마다 이 계정과 비교됩니다. 비교 시 대소문자를 구분하지 않습니다. 일치하는 경우 사용자는 2FA 또는 Verify 서버에 대한 액세스가 필요하지 않은 " winpwd의 auth-method를 사용합니다. 로그온하려면 Windows 암호만 필요합니다. 이는 Verify 서비스에 액세스할 수 없는 경우에도 디바이스에 대한 액세스를 허용하는 특수 계정입니다. 주: RDP 액세스에서 이 계정을 차단할 수 있습니다. Windows 관리자가 이 액세스를 차단할 수 있습니다.
"username-table"	`"username-table": [ { "from": "testuser1", "to": "testuser1@x.y.com" }, { "from": "testuser2", "to": "testuser2@x.y.com" } ]`	이 속성은 사용자 이름을 새 값에 맵핑합니다. 사용자 이름이 테이블에 없는 경우 그대로 사용됩니다.
"추적 롤오버"	0	파일이 저장되고 비어 있는 새 추적 파일이 작성될 때 추적 파일의 대략적인 최대 크기 (바이트) 를 지정합니다. 추적 파일은 현재 시간소인을 추가하여 이름을 바꾸면 저장됩니다.
"추적 로컬 시간"	false	추적 파일 시간소인이 로컬 시간이어야 하는지 여부를 지정합니다. 기본적으로 시간소인은 UTC를 사용합니다.
"추적-접두사-모두"	false	모든 추적 행에 시간소인을 접두부로 사용해야 하는지 여부를 지정합니다. 기본적으로 Verify REST API 요청/응답 추적 캡처 줄은 첫 번째 줄에만 접두사가 붙습니다.
"failmode-비보안"	false	Verify 테넌트 REST API에 연결할 수 없는 경우 2FA 없이 비밀번호만 사용하여 로그인할 수 있습니다.
"사용자 이름 속성"	uid	Active Directory 을 사용하는 경우 2FA 을 사용할 Verify 사용자 아이디는 로그인 중인 Active Directory 사용자의 속성에서 가져올 수 있습니다.
"사용자 이름-cd-attr"	"urn:ietf:params: scim:schemas: extension: ibm:2.0:User:customAttributes.userAlias"	2FA 속성을 가진 Verify 사용자는 Windows 로그인 사용자 이름과 일치하는 값을 가진 이 속성을 가진 Verify 사용자를 찾아서 찾습니다.
"사용자 이름-속성-엄격"	false	False로 설정하면 Active Directory 사용자에 "username-attr" 속성이 없는 경우 로그인 시 Windows 사용자 이름을 사용하여 2FA 에 대한 Verify 사용자를 찾습니다.
"사용자 이름-속성-형식"	"%A"	"username-attr" 값을 맵핑할 문자열입니다. 모든 %A은 (는) 문자열 상수가 접두부 및/또는 접미부로 추가될 수 있도록 허용하는 속성 값으로 대체됩니다. 기본값은 "%A" 뿐이며 수정되지 않습니다.