Configurando fatores de autenticação

Editar online

Verify suporta a autenticação de dois fatores. Trata-se de um tipo de autenticação de diversos fatores que envolve o uso de um segundo fator, geralmente um código gerado pelo sistema que o usuário deve fornecer para provar sua identidade. Exigir o uso de um segundo fator de autenticação para aumentar o controle de segurança dos usuários ao fazerem login em qualquer aplicativo desenvolvido e integrado com Verify. Escolha o segundo fator de autenticação para solicitar usuários.

Antes de começar

Assista a um Verify vídeo sobre autenticação multifatorial na Academia de Aprendizagem de Segurança do IBM.
Deve-se ter permissão administrativa para concluir esta tarefa.
Faça login no console IBM® Verify de administração como administrador.

Sobre esta tarefa

O primeiro fator de autenticação é normalmente o nome de usuário e a senha, um código QR ou uma chave de acesso.

Observação: Para os usuários, utiliza-se o termo “chave de acesso” em vez de “dispositivo FIDO” para proporcionar uma experiência mais intuitiva.

O segundo fator de autenticação é algo que o usuário possui, geralmente um código numérico ou alfanumérico gerado automaticamente e enviado ao usuário. Verify utiliza o aplicativo " IBM Verify ", o aplicativo Authenticator, a chave de acesso e a senha de uso único (OTP) como segundo fator de autenticação. O OTP pode ser entregue por e-mail, SMS, Voz ou pode ser baseado em tempo e validado sem mecanismo de entrega.

Uma OTP é válida por um tempo específico. Ela se torna inválida após um login de usuário bem-sucedido ou quando ela expira.

Observação: devido às novas restrições na regulamentação das telecomunicações da China, IBM Verify não é possível garantir que as mensagens SMS e de voz sejam entregues de forma confiável na China. Devido a essas restrições, Verify atualmente não é possível enviar mensagens de voz e SMS para a China. Para obter uma lista dos países que Verify oferecem suporte a mensagens SMS e de voz, consulte Países compatíveis com SMS e voz.

Procedimento

Selecione Autenticação > Fatores de autenticação.
Definir as configurações gerais de autenticação de diversos fatores
1. Selecione a ação quando não existirem fatores de autenticação para o usuário.
  - Negue a autenticação.
  - Dê ao usuário a opção de inscrever um fator.
2. Selecione a origem permitida para o fator de autenticação.
  - Métodos cadastrados pelo usuário: Os métodos de verificação escolhidos pelo usuário em Painel de controle do usuário > Perfil e configurações > Segurança.
  - Atributos do perfil do usuário e métodos registrados: além dos métodos registrados pelo usuário, são consideradas as informações do usuário armazenadas em seu perfil, na seção Diretório > Usuários e grupos.
3. Selecione se os usuários devem ser notificados quando mudanças são feitas em suas configurações de MFA.
  - Sem notificações
  - Notificar por e-mail
  - Notificação por SMS
  - Notificar os usuários por qualquer método disponível
  - Notificar por todos os métodos disponíveis
4. Especificar se o usuário pode substituir notificações de mudança
  
  Não permitir substituições do usuário
  
  As opções de notificação de mudança do MFA configuradas no locatário devem ser usadas.
  
  Permitir que os usuários substituam
  
  Os usuários podem mudar as opções de notificação de mudança do MFA para customizar sua experiência.
  
  Obrigatório
  
  As notificações de mudança do MFA não podem ser desligadas pelo usuário. O usuário deve ter pelo menos um método disponível para notificação de mudança do MFA.
Selecione se exigirá que os usuários tenham vários MFAs para autenticação.

Observação: as inscrições devem ser únicas. Por exemplo, se você usa o mesmo número de telefone para SMS e VOTP, ele é apenas uma inscrição. Se você usa o número do seu celular para SMS e o número do seu telefone comercial para VOTP, então são duas inscrições.
1. Marque a caixa de seleção “Definir número mínimo de inscrições” para definir o número de inscrições de autenticação multifatorial que o usuário deve ter.
  O requisito mínimo é um. O máximo é 25. O requisito tem o registro de data e hora com a data atual. A partir dessa data, os usuários são obrigados a configurar suas inscrições mínimas de MFA múltipla quando efetuarem o login em seus aplicativos.
  Observação: Verify leva em consideração as inscrições de autenticação de multifator (MFA) externas, como DUO ou outros provedores compatíveis, ao avaliar o número mínimo de inscrições exigido.
2. Opcional: você pode marcar a caixa de seleção “Permitir que os usuários finais ignorem as inscrições ” para definir um período de carência para os usuários existentes.
  
  Observação: esta opção permite que os usuários ignorem os registros apenas quando já tiverem um ou mais registros para realizar a autenticação de dois fatores. Caso contrário, eles devem se inscrever em pelo menos um método de autenticação de dois fatores para ativar essa opção.
  Durante o período de carência, os usuários ainda podem efetuar login em seus aplicativos sem as inscrições do MFA necessárias. Após o período de carência expirar, os usuários não podem acessar seus aplicativos até que cumpram o requisito de MFA múltipla. O período de carência é baseado no registro de data e hora de data de início. Para os usuários recém-inscritos, o período de carência começa após seu registro.
3. Selecione pelo menos um provedor de identidade ao qual o requisito mínimo de MFA se aplique.
  Não é possível salvar suas mudanças até selecionar pelo menos um provedor de identidade. Selecione a caixa de seleção Provedores de identidade para aplicar o requisito a todos os provedores de identidade.

Selecione os fatores de autenticação que você deseja ativar ou desativar para seus Verify usuários.

Nota:

Quando selecionada, o fator de autenticação é ativado para uso no tempo de execução e suas definições configuráveis são exibidas.
É possível ativar múltiplos fatores de autenticação. Se fizer isso, os usuários serão solicitados a escolher seu método preferencial antes de a senha descartável ser entregue e validada.


Fator de Autenticação	Descrição
Configurações gerais de autenticação de diversos fatores (MFA)	Quando nenhum fator está presente durante um desafio de MFA Se o acesso a um aplicativo exigir autenticação de dois fatores e nenhum fator estiver registrado, selecione se a autenticação deve falhar ou se os usuários devem poder registrar um fator de autenticação. Permitir segundos fatores a partir das origens a seguir Por padrão, os segundos fatores são permitidos a partir de atributos de perfil do usuário e de métodos registrados. O e-mail e o número de celular do perfil do usuário, bem como quaisquer métodos de autenticação cadastrados, estão disponíveis para uso como autenticação de dois fatores. Você também pode optar por limitar os fatores secundários aos métodos de autenticação registrados em Verify.
Biometria comportamental	Detecta anomalias de digitação comportamental durante a autenticação tradicional por nome de usuário e sen authentication.Detects a anomalias de digitação comportamental durante a autenticação tradicional por nome de usuário e senha.
Senha descartável por e-mail	A senha é gerada e enviada para o endereço de e-mail registrado do usuário. Essa opção é ativada por padrão. Observação: O usuário deve ter um endereço de e-mail cadastrado. Caso contrário, essa opção não é apresentada ao usuário mesmo que esteja selecionada, pois a senha descartável não pode ser entregue ao usuário.
Senha descartável baseada em SMS	A senha é gerada e enviada para o número do dispositivo móvel registrado do usuário. Essa opção é ativada por padrão. Observação: O usuário deve ter um número de celular cadastrado. Caso contrário, essa opção não é apresentada ao usuário mesmo que esteja selecionada, pois a senha descartável não pode ser entregue ao usuário.
Senha descartável baseada em tempo	A senha é gerada usando o algoritmo de senha descartável baseada em tempo padrão. As senhas não são transmitidas nem armazenadas. Eles são verificados como uma correspondência entre um servidor de validação TOTP e um cliente, uma vez que são gerados em intervalos regulares. Primeiro, o usuário deve cadastrar uma conta digitalizando um código QR ou inserindo a senha de um aplicativo móvel TOTP, como o IBM Verify ou o Google Authenticator. Observação: O usuário deve ter um número de celular cadastrado e ter baixado e instalado o aplicativo Authenticator disponível em IBM Verify ou Google.
Senha descartável de voz	A senha é gerada e enviada para o número de telefone registrado do usuário. O número de telefone pode ser para um telefone celular ou para um telefone fixo.
IBM Verificar Autenticação	A autenticação é executada por meio de um desafio de tempo de execução que verifica se o usuário está fisicamente presente no dispositivo. Isso também pode requerer uma autenticação de impressão digital baseada em dispositivo. Observação: O usuário deve baixar e instalar o aplicativo móvel " IBM Verify " ou um aplicativo móvel personalizado que utilize o SDK móvel " IBM Verify ". O usuário também deve ter um autenticador móvel registrado.
Configuração de login do Código Quick Response	Um aplicativo pode iniciar uma transação de verificação de qrlogin, em seguida, aguardar que essa solicitação de verificação seja concluída pelo usuário com o IBM Verify e, então, continuar o acesso ao tempo de execução. Consulte a autenticação sem senha por QR.

Observação: Para habilitar a autenticação por meio de uma senha de acesso, consulte “Gerenciamento de dispositivos d FIDO2 ”.

Opcional: Se você ativou a senha de uso único por e-mail ou a senha de uso único por SMS, é possível definir as seguintes configurações para controlar o funcionamento:

Tabela 1. Configurações de senha de uso único por e-mail e SMS
Informações	Descrições
Validade (segundos)	Por quanto tempo a senha é válida.
Comprimento	O número de caracteres que estão incluídos no valor da senha descartável. O valor mínimo é `1`. O valor máximo é `20`. O padrão é `6`.
Conjunto de Caracteres da Senha	O conjunto de caracteres válidos que podem ser incluídos no valor da senha descartável. Eles podem ser caracteres alfabéticos e numéricos. O valor padrão é `0123456789`.
Novas tentativas	O número de falhas de autenticação permitidas antes que a senha expire e o usuário tenha que iniciar uma nova transação de autenticação.
Domínios permitidos	Especifique os domínios de e-mail para os quais a mensagem de senha do OTP pode ser enviada. É possível especificar vários domínios. É possível usar padrões de expressão regular para especificar mais domínios.
Domínios negados	Especifique os domínios de e-mail para os quais a mensagem de senha do OTP não deve ser enviada. É possível especificar vários domínios. É possível usar padrões de expressão regular para especificar mais domínios.

Opcional: Se você ativou a Senha Única Baseada no Tempo, é possível definir as seguintes configurações para controlar seu funcionamento:

Configurações Descrições

Algoritmo Hash

O algoritmo que gera a senha descartável baseada em tempo. O algoritmo TOTP usa o código de autenticação de mensagem baseada em hash (HMAC) combinado com a função hash SHA.

Selecione dentre as seguintes opções:

HMAC-SHA-1
HMAC-SHA-256
HMAC-SHA-512

HMAC-SHA-1 é o algoritmo hash padrão.

Intervalo de Geração (segundos)

O número máximo de segundos em que a OTP é válida antes de a próxima TOTP ser gerada. Após esse tempo, o gerador de TOTP e a validação do servidor gerarão um novo TOTP.

O valor padrão é 30.

Observação: as alterações no intervalo afetam apenas as matrículas realizadas após a alteração. Os registros existentes continuam a usar o valor anterior. Para usar o novo valor, os registros existentes devem ser excluídos e recriados.

Intervalos de Defasagem

O intervalo de defasagem é ± o número de intervalos do registro de data e hora do dispositivo do cliente, para o qual o servidor aceita a OTP gerada.

Por exemplo: utilizando a tabela a seguir, que lista os valores de OTP para intervalos de sete gerações, considere uma verificação de OTP em que a hora atual no servidor corresponda ao intervalo 0. Se Intervalos de defasagem for configurado como 2, a validação de OTP poderá ser bem-sucedida se o usuário apresentar qualquer um dos valores de OTP de intervalos 0 a 2.

Intervalo	Registro de data e hora	OTP
3	`09:00:10`	`876 123`
2	`09:00:40`	`543 456`
1	`09:01:10`	`210 789`
0	`09:01:40`	`987 012`
1	`09:02:10`	`654 345`
2	`09:02:40`	`321 678`
3	`09:03:10`	`761901`

O valor padrão é 1 e o valor mínimo permitido é 0.

Dígitos

O número de caracteres que estão incluídos no valor da senha descartável.

O valor mínimo é 6.

O valor máximo é 12.

URL da chave secreta

A URL que entrega a chave secreta e gera o Código Quick Response.

O formato da URL pode incluir informações específicas para seu ambiente, como o nome da sua empresa.

A URL padrão é: otpauth://totp/IBM%20Security%20Verify:@USER_NAME@?secret=@SECRET_KEY@&issuer=IBM%20Security%20Verify&algorithm=@ALGORITHM@&digits=@DIGITS@&period=@PERIOD@

Observação: O arquivo ` URL ` NÃO deve conter http ou https. Ele deve sempre começar com otpauth://totp/

Uso Único

Indica se a senha descartável deve ser armazenada em cache para ser reutilizada quando for usada para efetuar login com sucesso em um recurso de destino.

Se ativada, um valor de TOTP válido poderá ser usado no máximo uma vez no servidor de validação. Se não for ativada, um valor de TOTP válido poderá ser validado mais de uma vez durante o seu período de validade.

Esta opção é selecionada por padrão. Quando selecionada, os usuários não podem reutilizar a senha enquanto ela estiver no cache.

Inscrições por usuário

O número máximo de inscrições que um usuário específico pode realizar.

O valor mínimo é 1.

O valor máximo é 5.

Opcional: Se você ativou a Senha Única por Voz, pode definir as seguintes configurações para controlar seu funcionamento:

Tabela 3. Configurações da senha de uso único por voz
Informações	Descrição
Validade (segundos)	Por quanto tempo a senha é válida.
Comprimento	Quantos caracteres estão contidos na senha. O comprimento deve ser de pelo menos um caractere.
Conjunto de caracteres	Quais caracteres podem ser usados na senha. Eles podem ser caracteres alfabéticos e numéricos.
Novas tentativas	O número de falhas de autenticação permitidas antes que a senha expire e o usuário tenha que iniciar uma nova transação de autenticação.

Opcional: Se você ativou a autenticação do tipo “ IBM Verify ”, é possível definir as seguintes configurações para controlar seu comportamento:

Tabela 4. IBM Verify configurações de autenticação
Informações	Descrições
Código de correlação	Nota: É necessário ativar pelo menos um dos métodos Verify de autenticação para usar um código de correlação. Se você personalizou suas páginas de OTP, elas precisam ser atualizadas com a nova lógica do código de correlação. Esta opção permite o uso de um código de correlação, além de um dos métodos de autenticação. O desafio de tempo de execução solicita que o usuário insira o código de correlação exibido na tela noIBM Verify aplicativo antes de aprovar ou recusar a verificação.
IBM Verify métodos de autenticação	Os métodos de autenticação são compatíveis com o IBM Verify ou com um aplicativo móvel personalizado que utilize o SDK móvel IBM Verify. Elas oferecem uma verificação básica, fora do canal normal, de que o usuário está presente e possui um autenticador móvel registrado. O cadastro é concretizado pela troca de uma chave pública, que é gerada no autenticador móvel e com a qual o cadastroVerify é realizado. Considera-se queVerify a verificação foi aprovada quando o autenticador móvel assina os dados da transação de verificação com a chave privada, que está armazenada no dispositivo móvel e está associada à chave pública cadastrada. Cada método de autenticação permite a seleção de algoritmos compatíveis e algoritmos preferenciais. Algoritmos Suportados Os algoritmos criptográficos que podem ser usados durante as transações e os desafios do registro e do tempo de execução. Estas configurações serão transferidas para autenticadores de dispositivos móveis durante o processo de registro. Algoritmos Preferencial O algoritmo criptográfico a ser usado de modo preferencial para registros de geração de chave. Os métodos de autenticação compatíveis são: Presença do usuário O desafio de tempo de execução exige que o usuário aprove ou rejeite a verificação selecionando uma opção na interface do usuário. Face O usuário deve realizar uma autenticação facial no dispositivo. A chave privada é armazenada pelo autenticador móvel na cadeia de chaves do dispositivo e é protegida por autenticação de face baseada em dispositivo. Impressão digital O usuário deve realizar uma autenticação por impressão digital no dispositivo. A chave privada é armazenada pelo autenticador móvel na cadeia de chaves do dispositivo e é protegida pela autenticação de impressão digital baseada em dispositivo.

Opcional: Se você ativou a configuração de login por código QR, é possível definir as seguintes opções para controlar seu funcionamento:

Tabela 5. Configurações de login por código QR
Informações	Descrições
Expiração	O número de segundos durante os quais o usuário deve escanear o código QR antes que ele deixe de ser válido para concluir o processo de autenticação.
Índice de sessão do login	Número de Caracteres Especifica o número mínimo de caracteres que devem ser usados. Conjunto de caracteres Define o conjunto de caracteres alfabéticos e numéricos que podem ser usados.
Índice de sessão do dispositivo	Número de Caracteres Especifica o número mínimo de caracteres que devem ser usados. Conjunto de caracteres Define o conjunto de caracteres alfabéticos e numéricos que podem ser usados.

Selecione “Salvar ”.

O quê fazer em seguida

Configure políticas de acesso para determinar quando aplicar o uso de um segundo fator para autenticação. Consulte “Gerenciamento do acesso ao portal ”.