Integração de autenticação de diversos fatores externa

Editar online

Use as seguintes informações e orientações para customizar o recurso Webhooks IBM® Verify para integração de autenticação de diversos fatores externa (MFA).

Visão geral da autenticação de diversos fatores externa

IBM Verify suporta e fornece uma estrutura de integração para permitir a integração com outros provedores de Autenticação de diversos fatores externa. O diagrama a seguir ilustra os principais componentes de um fluxo de integração de Autenticação de diversos fatores externa de ponta a ponta.

A imagem mostra o fluxo da aplicação no navegador até o provedor externo de MFA.

As experiências do usuário do desafio de tempo de execução de Autenticação de diversos fatores externa podem ser integradas aos recursos de Autenticação de diversos fatores do Verify e a qualquer outro provedor de Autenticação de diversos fatores externa. A experiência de tempo de execução pode ser orientada por recursos de política de acesso e logon único federados do Verify, que incluem customizações de página de modelo. Além disso, os desafios externos de Autenticação de diversos fatores podem ser conduzidos e iniciados por novas APIs de Autenticação de diversos fatores do Verify.

Ative um provedor de Autenticação de diversos fatores externa no ISV configurando estes dois objetos de configuração:
Provedor de Autenticação de diversos fatores
Fornece o Verify acesso público e o ambiente de execução para o provedor externo de MFA e deve estar associado a uma instância de configuração de webhook em tempo real.
Webhook em tempo real
Fornece os componentes internos do Verify com acesso ao provedor de Autenticação de diversos fatores de destino sobre a internet pública. O webhook fornece conectividade do cliente de HTTPS para o provedor de Autenticação de diversos fatores externa. A configuração trata dos seguintes aspectos:
  • Os endereços de localização da internet pública onde o provedor pode ser contatado.
  • Autenticação segura e conexão com APIs da web do provedor externo.
  • Solicitação e conversão de resposta e mapeamento.
  • Um conjunto de recursos de API que os componentes internos de tempo de execução do Verify podem iniciar.

Muitas integrações externas de Autenticação de diversos fatores podem ser alcançadas usando os recursos de configuração e conversão de dados fornecidos por esses dois componentes. Algumas integrações e provedores externos podem não ser capazes de utilizar esse método. Pode ser necessário adaptar a API do provedor externo com a implementação, implantação e suporte de um componente "mediador" entre os Webhooks Verify e o provedor de Autenticação de diversos fatores externa de destino. O mediador é executado em uma infraestrutura separada do Verify e possivelmente separada do provedor de Autenticação de diversos fatores de destino. A discussão e descrição de tais mediadores está além do escopo deste documento, exceto a discussão do contrato de API que deve ser implementado que permite que o Verify se integre-a um provedor externo como cliente do provedor.

Padrões de integração da Autenticação de diversos fatores

A estrutura e o tempo de execução da Autenticação de diversos fatores no Verify são baseados nos conceitos e na capacidade de suportar padrões de integração. Os padrões de Autenticação de diversos fatores incluem as seguintes capacidades:
Inscrições de Autenticação de diversos fatores de Consulta
Quando um usuário é desafiado para Autenticação de diversos fatores, o Verifypode oferecer ao usuário uma seleção de seus fatores de Autenticação de diversos fatores conhecidos, registrados ou disponíveis. Verify executa uma "pesquisa" dos recursos e fatores de Autenticação de diversos fatores do usuário autenticado de um provedor de Autenticação de diversos fatores externa.
Validar apenas
Este padrão de Autenticação de diversos fatores é tipicamente um TOTP. O usuário já possui os valores ou tokens a serem validados e os envia para o canal de validação, que normalmente é o canal autenticado atual do usuário, por exemplo, um navegador. Nenhuma "entrega" de token separada ocorre em tempo de execução para esse padrão de Autenticação de diversos fatores.
Iniciar (ou entregar) + Validar
Esse padrão de Autenticação de diversos fatores é comumente usado com fatores como SMS e OTP de e-mail. Trata-se de uma interação de duas etapas:
  1. Inicia a entrega de um valor secreto de curta duração ou outro token para o usuário por meio de algum canal de entrega de posse ou propriedade exclusiva do usuário. A etapa é realizada pelo canal, normalmente o canal de usuários atualmente autenticado, como um navegador, que também valida o segredo após sua entrega.
  2. Valida se o usuário recebeu o valor secreto correto da etapa anterior. Normalmente exibe algum prompt de entrada de dados para permitir que o usuário digite o valor recebido. A validação é tipicamente realizada no canal atualmente autenticado pelos usuários.
Iniciar (ou entregar) + Espera por resultado
Este padrão é típico para os autenticadores de push móvel. Da perspectiva do canal de confiança, é uma interação em duas etapas.
  1. O canal principal atualmente autenticado inicia a entrega de um push móvel ou outra notificação para o dispositivo móvel registrado dos usuários.
  2. O canal principal então espera, normalmente por pesquisa, por um estado de conclusão de um segundo canal. A validação da Autenticação de diversos fatores geralmente é realizada e concluída em um canal separado (o canal do dispositivo móvel).

Ao projetar e desenvolver novas integrações de Autenticação de diversos fatores externas, respeite esses padrões de integração. Quase todas as integrações devem apoiar Inscrições de Autenticação de diversos fatores de Consulta e pelo menos um dos outros três padrões. Esses padrões formam a base do contrato de API de Autenticação de diversos fatores externa do Verify. Consulte o contrato da API de integração externa do MFA em IBM Verify.