将 DUO 安全性配置为外部 MFA 提供者

在线编辑

IBM® Verify 支持 DUO 作为外部 MFA 提供者。 您可以将 Verify 用于 SSO 以及与 DUO MFA 组合的其他功能,而无需通过特定于 ISV 的 MFA 注册过程来驱动用户。 已使用 DUO 手机认证程序的用户可以继续将其用于 MFA,同时通过 Verify 执行应用程序 SSO。

准备工作

您必须满足以下条件。
  • 具有对 DUO 租户的管理员访问权
  • 具有对 ISV 租户的管理员访问权
  • 已向 DUO 手机认证程序注册的用户
  • IBM Verify 用户帐户到 Duo 帐户的映射

使用 DUO 因子对 MFA 进行提问的用户必须在 ISV 中具有常规或联合帐户。 用户可以是 federated 帐户或常规 Cloud Directory 用户。 通过使用工具和功能部件,可以在 ISV 中创建和管理用户帐户,例如,

  • ISV UI 和 API
  • 联合 SSO 或 OnPrem 认证网桥登录期间的即时配置
  • 目录同步

无论使用什么用户管理方法,都必须解决一个或多个 ISV 用户帐户属性如何映射到唯一 DUO 用户名的问题。 为了实现此目的,DUO 集成支持 ISV 中的 Directory Attributes 功能部件。 例如,一个解决方案可能是将 ISV 用户 email 目录属性映射到 DUO 用户名。 如果这是一个解决方案,那么在创建帐户时,ISV 中的每个用户帐户都必须具有为 email 设置的值。

关于此任务

DUO MFA 集成仅支持运行时 MFA 提问和验证。 该集成不支持或便利用户使用 DUO MFA 认证程序进行注册。 用户必须使用 DUO 提供的界面和交互来注册其 DUO 认证程序。 Verify 与 DUO 的集成将引用用户的现有 DUO 注册,以便提供运行时 MFA 提问和验证。

此集成支持以下 DUO MFA 因子。
  • Duo 推送
  • Duo 手机密码
  • 短信密码
其他 DUO 系数不受支持。

该集成基于 https://duo.com/docs/authapi

过程

  1. 配置 Duo Security 租户。 请参阅 “配置 DUO 租户 ”。
  2. 配置一个 IBM Verify 租户。 请参阅 《配置 IBM Verify 租户》