Configurando fatores de autenticação

Editar online

Verify suporta autenticação de dois fatores. Trata-se de um tipo de autenticação de diversos fatores que envolve o uso de um segundo fator, geralmente um código gerado pelo sistema que o usuário deve fornecer para provar sua identidade. Aplicar o uso de um segundo fator de autenticação para mais controle de segurança nos usuários quando eles se firam em qualquer aplicativo que seja desenvolvido e integrado com Verify. Escolha o segundo fator de autenticação para solicitar usuários.

Antes de começar

  • Assista a um vídeo Verify sobre autenticação multifatorial na Academia de IBM Aprendizagem em Segurança.
  • Deve-se ter permissão administrativa para concluir esta tarefa.
  • Faça login no console de administração IBM® Verify como um Administrador.

Sobre esta tarefa

O primeiro fator de autenticação geralmente é o nome do usuário e a senha, um código QR ou uma senha.
Nota: para usuários, o termo passkey é usado em vez do dispositivo FIDO para fornecer uma experiência mais amigável ao consumidor.
O segundo fator de autenticação é algo que o usuário possui, normalmente um código numérico ou alfanumérico gerado automaticamente que é enviado ao usuário. O Verify usa o app IBM Verify , o Authenticator App, a passkeye a senha descartável (OTP) como o segundo fator para autenticação. O OTP pode ser entregue por e-mail, SMS, Voz ou pode ser baseado em tempo e validado sem mecanismo de entrega.

Uma OTP é válida por um tempo específico. Ela se torna inválida após um login de usuário bem-sucedido ou quando ela expira.

Observação: devido às novas restrições nas regulamentações de telecomunicações da China, o ' IBM Verify não pode ajudar a garantir que as mensagens SMS e de voz sejam entregues de forma confiável na China. Por causa dessas restrições, Verify atualmente não pode suportar mensagens de Voz e SMS que são enviadas para a China. Para obter uma lista de países que o site Verify suporta para mensagens de SMS e voz, consulte Países suportados para SMS e voz.

Procedimento

  1. Selecione Autenticação > Fatores de autenticação.
  2. Definir as configurações gerais de autenticação de diversos fatores
    1. Selecione a ação quando não existirem fatores de autenticação para o usuário.
      • Negue a autenticação.
      • Dê ao usuário a opção de inscrever um fator.
    2. Selecione a origem permitida para o fator de autenticação.
      • Métodos registrados pelo usuário: Os métodos de verificação escolhidos pelo usuário na barra de lançamento do usuário > Perfil e configurações > Segurança.
      • Atributos do perfil do usuário e métodos registrados: Além dos métodos registrados pelo usuário, são consideradas as informações do usuário armazenadas em seu perfil em Diretório > Usuários e grupos.
    3. Selecione se os usuários devem ser notificados quando mudanças são feitas em suas configurações de MFA.
      • Sem notificações
      • Notificar por e-mail
      • Notificação por SMS
      • Notificar os usuários por qualquer método disponível
      • Notificar por todos os métodos disponíveis
    4. Especificar se o usuário pode substituir notificações de mudança
      Não permitir substituições do usuário
      As opções de notificação de mudança do MFA configuradas no locatário devem ser usadas.
      Permitir que os usuários substituam
      Os usuários podem mudar as opções de notificação de mudança do MFA para customizar sua experiência.
      Obrigatório
      As notificações de mudança do MFA não podem ser desligadas pelo usuário. O usuário deve ter pelo menos um método disponível para notificação de mudança do MFA.
  3. Selecione se exigirá que os usuários tenham vários MFAs para autenticação.
    Nota: As inscrições devem ser exclusivas. Por exemplo, se você usa o mesmo número de telefone para SMS e VOTP, ele é apenas uma inscrição. Se você usa o número do seu celular para SMS e o número do seu telefone comercial para VOTP, então são duas inscrições.
    1. Selecione a caixa de opção Configurar número mínimo de inscrições para configurar o número de inscrições de múltiplos fatores que o usuário deve ter.
      O requisito mínimo é um. O máximo é 25. O requisito tem o registro de data e hora com a data atual. A partir dessa data, os usuários são obrigados a configurar suas inscrições mínimas de MFA múltipla quando efetuarem o login em seus aplicativos.
      Observação: o site Verify considera os registros de MFA externos, como DUO ou outros provedores compatíveis, ao avaliar os registros mínimos necessários.
    2. Opcional: você pode marcar a caixa de seleção Permitir que usuários finais ignorem inscrições para definir um período de carência para usuários existentes.
      Nota: Essa opção permite que os usuários ignorem os registros somente quando já tiverem um ou mais registros para executar a autenticação de segundo fator. Caso contrário, eles devem se inscrever em pelo menos um registro de segundo fator para ativar essa opção.
      Durante o período de carência, os usuários ainda podem efetuar login em seus aplicativos sem as inscrições do MFA necessárias. Após o período de carência expirar, os usuários não podem acessar seus aplicativos até que cumpram o requisito de MFA múltipla. O período de carência é baseado no registro de data e hora de data de início. Para os usuários recém-inscritos, o período de carência começa após seu registro.
    3. Selecione pelo menos um provedor de identidade ao qual o requisito mínimo de MFA se aplique.
      Não é possível salvar suas mudanças até selecionar pelo menos um provedor de identidade. Selecione a caixa de seleção Provedores de identidade para aplicar o requisito a todos os provedores de identidade.
  4. Selecione os fatores de autenticação que você deseja ativar ou desativar para seus usuários Verify .
    Nota:
    • Quando selecionada, o fator de autenticação é ativado para uso no tempo de execução e suas definições configuráveis são exibidas.
    • É possível ativar múltiplos fatores de autenticação. Se fizer isso, os usuários serão solicitados a escolher seu método preferencial antes de a senha descartável ser entregue e validada.
    Fator de AutenticaçãoDescrições
    Configurações gerais de autenticação de diversos fatores (MFA)
    Quando nenhum fator está presente durante um desafio de MFA
    Se o acesso a um aplicativo exigir autenticação de dois fatores e nenhum fator estiver registrado, selecione se a autenticação falhará ou se permitirá que os usuários registrem um fator de autenticação.
    Permitir segundos fatores a partir das origens a seguir
    Por padrão, os segundos fatores são permitidos a partir de atributos de perfil do usuário e de métodos registrados. O e-mail e o número de celular do perfil do usuário e quaisquer métodos de autenticação registrados estão disponíveis para uso como autenticação de segundo fator. Você também pode selecionar para limitar os segundos fatores a esses métodos de autenticação que são registrados em Verify.
    Biometria comportamental Detecta anomalias de digitação comportamental durante a autenticação tradicional de nome de usuário e senha.
    Senha descartável por e-mail

    A senha é gerada e enviada para o endereço de e-mail registrado do usuário.

    Essa opção é ativada por padrão.

    Nota: O usuário deve ter um endereço de e-mail registrado. Caso contrário, essa opção não é apresentada ao usuário mesmo que esteja selecionada, pois a senha descartável não pode ser entregue ao usuário.
    Senha descartável baseada em SMS

    A senha é gerada e enviada para o número do dispositivo móvel registrado do usuário.

    Essa opção é ativada por padrão.

    Nota: O usuário deve ter um número móvel registrado. Caso contrário, essa opção não é apresentada ao usuário mesmo que esteja selecionada, pois a senha descartável não pode ser entregue ao usuário.
    Senha descartável baseada em tempo

    A senha é gerada usando o algoritmo de senha descartável baseada em tempo padrão.

    As senhas não são entregues ou armazenadas. Eles são verificados como uma correspondência entre um servidor de validação TOTP e um cliente, pois são gerados em intervalos regulares.

    Primeiro, o usuário deve registrar uma conta digitalizando uma imagem de código QR ou fornecendo o segredo equivalente em um aplicativo móvel TOTP, como o IBM Verify ou Google Authenticator.
    Nota: O usuário deve ter um número de celular registrado, e baixado e instalado IBM Verify ou Google Authenticator.
    Senha descartável de voz

    A senha é gerada e enviada para o número de telefone registrado do usuário. O número de telefone pode ser para um telefone celular ou para um telefone fixo.
    IBM Verificar Autenticação A autenticação é executada por meio de um desafio de tempo de execução que verifica se o usuário está fisicamente presente no dispositivo. Isso também pode requerer uma autenticação de impressão digital baseada em dispositivo.
    Observação: O usuário deve fazer download e instalar IBM Verify ou um aplicativo móvel personalizado que utilize o IBM Verify mobile SDK. O usuário também deve ter um autenticador móvel registrado.
    Configuração de login do Código Quick Response

    Um aplicativo pode iniciar uma transação de verificação de qrlogin, em seguida, aguardar que essa solicitação de verificação seja concluída pelo usuário com o IBM Verify e, então, continuar o acesso ao tempo de execução. Veja autenticação sem senha por QR login.
    Observação: para habilitar a autenticação usando uma senha, consulte Gerenciamento FIDO2 de dispositivos.
  5. Opcional: se você ativou a senha de uso único por e-mail ou SMS, é possível definir as seguintes configurações para controlar seu comportamento:
    Tabela 1. Configurações de senha única por e-mail e SMS
    Informações Descrições
    Validade (segundos) Por quanto tempo a senha é válida.
    Comprimento

    O número de caracteres que estão incluídos no valor da senha descartável.

    O valor mínimo é 1.

    O valor máximo é 20.

    O padrão é 6.
    Conjunto de Caracteres da Senha

    O conjunto de caracteres válidos que podem ser incluídos no valor da senha descartável. Eles podem ser caracteres alfabéticos e numéricos.

    O valor padrão é 0123456789.
    Novas tentativas O número de falhas de autenticação permitidas antes que a senha expire e o usuário tenha que iniciar uma nova transação de autenticação.
    Domínios permitidos Especifique os domínios de e-mail para os quais a mensagem de senha do OTP pode ser enviada. É possível especificar vários domínios. É possível usar padrões de expressão regular para especificar mais domínios.
    Domínios negados Especifique os domínios de e-mail para os quais a mensagem de senha do OTP não deve ser enviada. É possível especificar vários domínios. É possível usar padrões de expressão regular para especificar mais domínios.
  6. Opcional: se você ativou a senha única baseada em tempo, pode definir as seguintes configurações para controlar seu comportamento:
    Tabela 2. Configurações de senha única baseada em tempo
    Configurações Descrições
    Algoritmo Hash

    O algoritmo que gera a senha descartável baseada em tempo. O algoritmo TOTP usa o código de autenticação de mensagem baseada em hash (HMAC) combinado com a função hash SHA.

    Selecione dentre as seguintes opções:
    • HMAC-SHA-1
    • HMAC-SHA-256
    • HMAC-SHA-512

    HMAC-SHA-1 é o algoritmo hash padrão.
    Intervalo de Geração (segundos)

    O número máximo de segundos em que a OTP é válida antes de a próxima TOTP ser gerada. Após esse tempo, o gerador de TOTP e a validação do servidor gerarão um novo TOTP.

    O valor padrão é 30.

    Nota: As mudanças no intervalo afetam apenas as inscrições que ocorrem após a mudança. Os registros existentes continuam a usar o valor anterior. Para usar o novo valor, os registros existentes devem ser excluídos e recriados.
    Intervalos de Defasagem

    O intervalo de defasagem é ± o número de intervalos do registro de data e hora do dispositivo do cliente, para o qual o servidor aceita a OTP gerada.

    Por exemplo: Usando a tabela a seguir, que lista os valores de OTP para intervalos de sete gerações, considere uma verificação de OTP em que a hora atual no servidor corresponde ao intervalo ' 0. Se Intervalos de defasagem for configurado como 2, a validação de OTP poderá ser bem-sucedida se o usuário apresentar qualquer um dos valores de OTP de intervalos 0 a 2.
    Intervalo Registro de data e hora OTP
    3 09:00:10 876 123
    2 09:00:40 543 456
    1 09:01:10 210 789
    0 09:01:40 987 012
    1 09:02:10 654 345
    2 09:02:40 321 678
    3 09:03:10 761901

    O valor padrão é 1 e o valor mínimo permitido é 0.
    Dígitos

    O número de caracteres que estão incluídos no valor da senha descartável.

    O valor mínimo é 6.

    O valor máximo é 12.
    URL da chave secreta

    A URL que entrega a chave secreta e gera o Código Quick Response.

    O formato da URL pode incluir informações específicas para seu ambiente, como o nome da sua empresa.

    A URL padrão é: otpauth://totp/IBM%20Security%20Verify:@USER_NAME@?secret=@SECRET_KEY@&issuer=IBM%20Security%20Verify&algorithm=@ALGORITHM@&digits=@DIGITS@&period=@PERIOD@

    Observação: O URL NÃO deve conter http ou https. Ele deve sempre começar com otpauth://totp/
    Uso Único

    Indica se a senha descartável deve ser armazenada em cache para ser reutilizada quando for usada para efetuar login com sucesso em um recurso de destino.

    Se ativada, um valor de TOTP válido poderá ser usado no máximo uma vez no servidor de validação. Se não for ativada, um valor de TOTP válido poderá ser validado mais de uma vez durante o seu período de validade.

    Esta opção é selecionada por padrão. Quando selecionada, os usuários não podem reutilizar a senha enquanto ela estiver no cache.
    Registros Por usuário

    O número máximo de registros que um usuário específico pode inscrever.

    O valor mínimo é 1.

    O valor máximo é 5.
  7. Opcional: se você ativou a senha de voz única, pode definir as seguintes configurações para controlar seu comportamento:
    Tabela 3. Configurações da senha de uso único por voz
    Informações Descrição
    Validade (segundos) Por quanto tempo a senha é válida.
    Comprimento Quantos caracteres estão contidos na senha. O comprimento deve ser de pelo menos um caractere.
    Conjunto de caracteres Quais caracteres podem ser usados na senha. Eles podem ser caracteres alfabéticos e numéricos.
    Novas tentativas O número de falhas de autenticação permitidas antes que a senha expire e o usuário tenha que iniciar uma nova transação de autenticação.
  8. Opcional: se você ativou IBM Verify a autenticação, pode definir as seguintes configurações para controlar seu comportamento:
    Tabela 4. IBM Verify configurações de autenticação
    Informações Descrições
    Código de correlação
    Nota:
    • Pelo menos um dos métodos de autenticação Verify deve estar ativado para usar um código de correlação.
    • Se você personalizou suas páginas OTP, elas precisam ser atualizadas com a nova lógica de código de correlação.
    Essa opção permite o uso de um código de correlação além de um dos métodos de autenticação. O desafio de tempo de execução solicita que o usuário insira o código de correlação que é exibido na tela no aplicativo IBM Verify antes de aprovar ou negar a verificação.
    IBM Verify métodos de autenticação Os métodos de autenticação são suportados pelo site IBM Verify ou por um aplicativo móvel personalizado que usa o SDK móvel IBM Verify. Eles fornecem uma verificação básica, fora de banda, de que um usuário está presente e possui um autenticador móvel registrado. O cadastro é embasado pela troca de uma chave pública, que é gerada no autenticador móvel e 'cadastrado' com Verify. Uma verificação aprovada é indicada ao Verify quando o autenticador móvel assina dados da transação de verificação com a chave privada, que é armazenada no dispositivo móvel e está associada com a chave pública cadastrada. Cada método de autenticação permite a seleção dos algoritmos suportados e dos algoritmos preferidos.
    Algoritmos Suportados
    Os algoritmos criptográficos que podem ser usados durante as transações e os desafios do registro e do tempo de execução. Estas configurações serão transferidas para autenticadores de dispositivos móveis durante o processo de registro.
    Algoritmos Preferencial
    O algoritmo criptográfico a ser usado de modo preferencial para registros de geração de chave.

    Os métodos de autenticação compatíveis são os seguintes:

    Presença do usuário
    O desafio de tempo de execução exige que o usuário aprove ou negue a verificação selecionando um prompt da interface do usuário.
    Face
    O usuário deve concluir uma autenticação facial baseada no dispositivo. A chave privada é armazenada pelo autenticador móvel na cadeia de chaves do dispositivo e é protegida por autenticação de face baseada em dispositivo.
    Impressão digital
    O usuário deve concluir uma autenticação de impressão digital baseada no dispositivo. A chave privada é armazenada pelo autenticador móvel na cadeia de chaves do dispositivo e é protegida pela autenticação de impressão digital baseada em dispositivo.
  9. Opcional: se você ativou a configuração de login por código QR, pode definir as seguintes opções para controlar seu comportamento:
    Tabela 5. Configurações de login por código QR
    Informações Descrições
    Expiração O número de segundos que o usuário deve ler o código QR antes que ele não seja mais válido para concluir o fluxo de autenticação.
    Índice de sessão do login
    Número de Caracteres
    Especifica o número mínimo de caracteres que devem ser usados.
    Conjunto de caracteres
    Define o conjunto de caracteres alfabéticos e numéricos que podem ser usados.
    Índice de sessão do dispositivo
    Número de Caracteres
    Especifica o número mínimo de caracteres que devem ser usados.
    Conjunto de caracteres
    Define o conjunto de caracteres alfabéticos e numéricos que podem ser usados.
  10. Selecione Salvar.

O quê fazer em seguida

Configure políticas de acesso para determinar quando aplicar o uso de um segundo fator para autenticação. Consulte Gerenciando o acesso ao portal.