外部多重认证集成

在线编辑

使用以下信息和指南来定制用于外部多重认证 (MFA) 集成的 IBM® Verify Webhook 功能部件。

外部 MFA 概述

IBM Verify 支持并提供一个集成框架,以实现与其他外部 MFA 提供程序的集成。 下图说明了端到端外部 MFA 集成流程的主要组件。

该图展示了从浏览器中的应用程序到外部多因素身份验证(MFA)提供商的流程。

外部 MFA 运行时质询用户体验可以与 Verify MFA 功能部件和任何其他外部 MFA 提供程序集成。 运行时体验可以由 Verify 联合单点登录和访问策略功能驱动,其中包括模板页面自定义。 此外,新的 Verify MFA API 也可推动和启动外部 MFA 质询。

通过配置以下两个配置对象在 ISV 中启用外部 MFA 提供程序:
MFA 提供程序
为外部多因素身份验证(MFA)提供商提供公共访问接口 Verify 和运行时环境,并且必须与一个实时 webhook 配置实例相关联。
实时 webhook
Verify 内部组件提供通过公共 Internet 访问目标 MFA 提供程序的权限。 Webhook 提供与外部 MFA 提供程序的 HTTPS 客户机连接。 配置将处理以下方面:
  • 可以联系提供程序的公用互联网位置地址。
  • 安全认证以及与外部提供程序 Web API 的连接。
  • 请求和响应变换及映射。
  • Verify 内部运行时组件可以启动的一组 API 资源。

通过使用这两个组件提供的配置和数据转换功能,可以实现许多外部 MFA 集成。 某些集成和外部提供程序可能无法使用此方法。 可能需要使用 Verify Webhook 和目标外部 MFA 提供者之间的“介体”组件的实现、部署和支持来调整外部提供程序 API。 介体在独立于 Verify 和(可能)目标 MFA 提供程序的基础架构中运行。 对此类介体的讨论和描述超出了本文档的范围,除了讨论必须实现的 API 合同之外,该合同使 Verify 能够与作为提供程序客户端的外部提供程序集成。

MFA 集成模式

Verify 中的 MFA 框架和运行时基于支持集成模式的概念和能力。 MFA 模式包含下列功能:
查找 MFA 注册
用户遇到对应 MFA 的质询时,Verify 可向用户提供一组已知、已注册或可用 MFA 因子。 Verify 对来自外部 MFA 提供程序的已认证用户的 MFA 功能和因子执行“查找”。
仅验证
此 MFA 模式通常是 TOTP。 用户已经拥有要验证的值或令牌,并将它们提交到验证通道,该通道通常是用户当前经过认证的通道,例如,浏览器。 对于此 MFA 模式,在运行时不会发生单独的令牌“交付”。
启动(或交付)+ 验证
此 MFA 模式通常与 SMS 和电子邮件 OTP 之类的因子配合使用。 这是包含两个步骤的交互:
  1. 通过用户独占或拥有的某个交付渠道向用户交付短期私钥值或其他令牌。 该步骤由通道执行,通常是用户当前经过认证的通道(例如,浏览器),该通道也在其传递后验证私钥。
  2. 验证用户是否从上一步接收到正确的私钥值。 通常会显示一些数据输入提示以允许用户输入接收到的值。 通常在当前已认证的用户通道中执行验证。
启动(或交付)+ 等待结果
对于移动推送认证程序,此模式是典型的。 从依赖通道的角度看,这是包含两个步骤的交互。
  1. 当前已验证的主通道向用户的已注册移动设备交付移动推送或其他通知。
  2. 然后,主通道通常通过轮询等待来自第二个通道的完成状态。 MFA 验证通常在单独的通道(移动设备通道)中执行和完成。

在设计和开发新的外部 MFA 集成时,请遵循这些集成模式。 几乎所有集成都必须支持查找 MFA 注册以及其他三种模式中的至少一种模式。 这些模式构成了 Verify 外部 MFA API 合同的基础。 请参阅 IBM Verify 中的外部 MFA 集成 API 契约