配置认证因子

在线编辑

Verify 支持双因子认证。 这是多因子认证中的一种,需要使用第二因子,通常为系统生成的代码,用户必须提供此代码以证明其身份。 强制使用第二个认证因子,以便在用户登录到与 Verify开发和集成的任何应用程序时对其进行更多安全控制。 选择要提示用户提供的第二认证因子。

准备工作

  • 安全学习 IBM 学院观看多因素认证 Verify 视频。
  • 您必须具有管理许可权,才能完成此任务。
  • 以管理员身份登录到 IBM® Verify 管理控制台。

关于此任务

第一个认证因子通常是用户名和密码, QR 代码或 passkey
注: 对于用户,将使用术语 "密码" 来代替 FIDO 设备,以提供更便于用户使用的体验。
第二个身份验证因素是用户拥有的东西,通常是自动生成并发送给用户的数字或字母数字代码。 Verify 使用 IBM Verify 应用程序,认证程序应用程序, passkey和一次性密码 (OTP) 作为第二因子进行认证。 OTP 可通过电子邮件、SMS 或语音传递,或者可以基于时间且不通过传递机制验证。

OTP 在特定时间内有效。 它在用户成功登录后或者到期后会变为无效。

注:由于中国电信法规的新限制,"IBM Verify无法帮助确保短信和语音信息可靠地发送到中国。 由于这些限制, Verify 当前无法支持发送到中国的语音和短信消息。 有关 Verify 支持短信和语音信息的国家列表,请参阅短信和语音支持的国家

过程

  1. 选择身份验证 > 身份验证因素
  2. 设置常规多因子认证设置
    1. 如果用户不存在任何认证因素,请选择该操作。
      • 拒绝认证。
      • 为用户提供用于注册因子的选项。
    2. 为认证因素选择允许的源。
      • 用户注册方法:用户从用户启动板 > 个人资料和设置 > 安全选择的验证方法。
      • 用户配置文件属性和注册方法:除了用户注册方法之外,还会考虑目录 > 用户和组下配置文件中存储的用户信息。
    3. 选择是否在对其 MFA 设置更改时通知用户。
      • 无通知
      • 通过电子邮件通知
      • SMS 通知
      • 通过任一可用方法通知用户
      • 通过所有可用方法通知用户
    4. 指定用户是否可以覆盖更改通知
      不允许用户覆盖
      必须使用租户上设置的 MFA 更改通知选项。
      允许用户覆盖
      用户可以更改 MFA 更改通知选项以定制其体验。
      必需
      用户无法关闭 MFA 更改通知。 用户必须具有至少一种可用于 MFA 更改通知的方法。
  3. 选择是否要求用户具有多个 MFA 用于认证。
    注: 注册必须唯一。 例如,如果您对 SMS 和 VOTP 使用相同的电话号码,那么它只是一个注册。 如果您将手机号码用于短信,将办公电话号码用于 VOTP,那么他们是两个注册。
    1. 选中 设置最小注册数 复选框以设置用户必须具有的多因子注册数。
      最低要求是一个。 最多为 25 个。 该需求带有当前日期的时间戳记。 从该日期开始,用户需要在登录其应用程序时设置基本多重 MFA 注册。
      注: Verify 在评估所需最低注册人数时会考虑外部 MFA 注册人数,如 DUO 或其他受支持的提供商。
    2. 可选: 您可以勾选 “允许最终用户跳过注册 ”复选框,为现有用户设置宽限期。
      注意: 只有当用户已经有一个或多个注册以执行第二因素身份验证时,此选项才允许用户跳过注册。 否则,他们必须至少注册一次第二因素注册才能启用此选项。
      在宽限期内,用户仍可以登录其应用程序,而无需进行必需的 MFA 注册。 宽限期到期后,用户将无法访问其应用程序,直到满足多重 MFA 需求为止。 宽限期基于开始日期时间戳记。 对于新注册的用户,宽限期从其注册后开始。
    3. 请至少选择一个适用基本 MFA 要求的身份提供者。
      在选择至少一个身份提供者之前,您无法保存更改。 选中身份提供者复选框以将该需求应用于所有身份提供者。
  4. 选择要为 Verify 用户启用或禁用的认证因子。
    注意:
    • 选中此项时,该认证因子可用于运行时,并将显示其可配置的设置。
    • 您可以启用多个认证因子。 如果执行此操作,那么系统会提示用户选择其首选方法,再传递和验证一次性密码。
    认证因子描述
    常规多因子认证 (MFA) 设置
    当 MFA 质询期间不存在任何因子时
    如果访问应用程序需要双因素身份验证,但没有注册任何因素,请选择是身份验证失败还是允许用户注册身份验证因素。
    允许通过以下源提供第二因子
    缺省情况下,允许来自用户概要文件属性和已注册方法的第二因子。 用户配置文件中的电子邮件和手机号码以及任何已注册的身份验证方法都可用作第二要素身份验证。 您还可以选择将第二个因子限制为在 Verify中注册的那些认证方法。
    行为生物识别 在传统用户名和密码认证期间检测行为类型异常。
    通过电子邮件发送一次性密码

    将生成密码并将其发送到用户的注册电子邮件地址。

    缺省情况下,会启用此选项。

    注: 用户必须具有已注册的电子邮件地址。 否则,此选项不会向用户显示,即使已选择此选项也是如此,因为无法将一次性密码传递给用户。
    通过 SMS 发送一次性密码

    将生成密码并将其发送到用户的注册手机号码。

    缺省情况下,会启用此选项。

    注: 用户必须具有已注册的手机号码。 否则,此选项不会向用户显示,即使已选择此选项也是如此,因为无法将一次性密码传递给用户。
    基于时间的一次性密码

    通过使用基于时间的标准一次性密码算法来生成密码。

    不会发送或存储密码。 这些信息在 TOTP 验证服务器和客户端之间进行匹配验证,因为它们是定期生成的。

    首先,用户必须通过扫描二维码图像或在IBM Verify或GoogleAuthenticator 等 TOTP 移动应用程序中提供相应的密文来注册账户。
    注: 用户必须具有已注册的手机号码,并且已下载并安装 IBM Verify 或 Google Authenticator。
    语音一次性密码

    生成密码并将其发送到用户的注册电话号码。 电话号码可以是手机号或固定电话。
    IBM Verify Authentication 认证是通过运行时质询执行的,用于验证用户是否实际在使用设备。 它还需要基于设备的指纹认证。
    注意:用户必须下载并安装IBM Verify或使用IBM Verify移动 SDK 的自定义移动应用程序。 用户还必须有已注册的移动认证器。
    QR 码登录配置

    应用程序会启动 qrlogin 验证事务,等待用户使用 IBM Verify 完成验证请求,然后继续进行运行时访问。 参见二维码登录无密码认证
    注意: 要启用钥认证,请参阅《 管理 FIDO2 设备 》。
  5. 可选: 若您启用了电子邮件一次性密码短信一次性密码功能,可通过配置以下设置来控制其行为:
    表 1. 电子邮件和短信一次性密码设置
    信息 描述
    到期时间(秒) 密码有效期。
    长度

    在一次性密码值中包含的字符数。

    最小值为 1

    最大值为 20

    缺省值为 6
    密码字符集

    可以包括在一次性密码值中的一组有效字符。 它们可以是字母和数字字符。

    缺省值为 0123456789
    重试次数 在密码到期并且用户必须启动新认证事务之前允许的认证失败的数量。
    允许的域 指定可以发送 OTP 密码消息的电子邮件域。 可以指定多个域。 您可以使用正则表达式模式来指定更多域。
    拒绝的域 指定不得将 OTP 密码消息发送至的任何电子邮件域。 可以指定多个域。 您可以使用正则表达式模式来指定更多域。
  6. 可选: 若已启用基于时间的一次性密码 ,可通过以下设置控制其行为:
    表 2. 基于时间的一次性密码设置
    设置 描述
    散列算法

    用于生成基于时间的一次性密码的算法。 TOTP 算法将基于散列的消息认证代码 (HMAC) 与 SHA 散列函数配合使用。

    从以下选项中进行选择:
    • HMAC-SHA-1
    • HMAC-SHA-256
    • HMAC-SHA-512

    HMAC-SHA-1 是缺省散列算法。
    生成时间间隔(秒)

    生成下一个 OTP 之前 TOTP 有效的最大秒数。 在此时间之后,TOTP 生成器和服务器验证将生成新的 TOTP。

    缺省值为 30

    注: 对时间间隔的更改仅影响更改后发生的注册。 现有注册继续使用先前值。 要使用新值,必须删除现有注册,然后重新创建。
    偏差时间间隔

    偏差间隔是基于客户机设备时间戳记的正负间隔数,服务器针对其接受生成的 OTP。

    例如下表列出了七代时间间隔的 OTP 值,使用该表进行 OTP 验证时,服务器上的当前时间对应于时间间隔 "0。 如果偏差时间间隔设置为 2,那么当用户提供时间间隔 02 的任何 OTP 值时,OTP 验证会成功。
    时间间隔 时间戳记 OTP
    3 09:00:10 876 123
    2 09:00:40 543 456
    1 09:01:10 210 789
    0 09:01:40 987 012
    1 09:02:10 654 345
    2 09:02:40 321 678
    3 09:03:10 761901

    缺省值为 1,允许的最小值为 0
    数字

    在一次性密码值中包含的字符数。

    最小值为 6

    最大值为 12
    密钥 URL

    用于传递密钥和生成 QR 码的 URL。

    URL 格式可以包含特定于您的环境的信息,例如贵公司的名称。

    缺省 URL 为:otpauth://totp/IBM%20Security%20Verify:@USER_NAME@?secret=@SECRET_KEY@&issuer=IBM%20Security%20Verify&algorithm=@ALGORITHM@&digits=@DIGITS@&period=@PERIOD@

    注意: URL不能包含 httphttps 。 此 URL 必须始终以 otpauth://totp/ 开头
    一次性使用

    指示当使用一次性密码成功登录目标资源时是否对其进行高速缓存以供复用。

    如果启用,那么一个有效的 TOTP 值在验证服务器中最多只能使用一次。 如果未启用,那么一个有效的 TOTP 值在其有效期内可以多次验证。

    缺省情况下,此选项处于选中状态。 选中此选项时,用户无法在密码处于高速缓存中时复用该密码。
    每个用户的注册数

    特定用户可以注册的最大注册数。

    最小值为 1

    最大值为 5
  7. 可选: 若已启用语音一次性密码功能,可通过以下设置控制其行为:
    表 3. 语音一次性密码设置
    信息 描述
    到期时间(秒) 密码有效期。
    长度 密码中包含的字符数。 长度必须至少为一个字符。
    字符集 密码中可以使用的字符。 它们可以是字母和数字字符。
    重试次数 在密码到期并且用户必须启动新认证事务之前允许的认证失败的数量。
  8. 可选: 若已启用 IBM Verify 身份验证 ,可配置以下设置来控制其行为:
    表 4。 IBM Verify 身份验证设置
    信息 描述
    关联码
    注意:
    • 要使用相关代码,必须启用 Verify 身份验证方法中的至少一种。
    • 如果您自定义了OTP页面,则需要使用新的相关代码逻辑进行更新。
    此选项允许在一种认证方法之外使用关联代码。 运行时挑战提示用户将屏幕上显示的相关代码输入 IBM Verify 应用程序,然后它才会批准或拒绝验证。
    IBM Verify 认证方法 认证方法由 IBM Verify 或使用 IBM Verify 移动SDK的定制移动应用程序提供支持。 它们提供了一种基本的带外验证,即验证用户是否在场并拥有注册的手机验证码。 通过交换公用密钥来体现注册,此公用密钥是在移动认证器上生成的,并且 "已注册" 与 Verify一起使用。 当移动认证器使用专用密钥 (存储在移动设备上并与注册的公用密钥关联) 对验证事务数据进行签名时,将向 Verify 指示已核准的验证。 每种认证方法都允许选择支持的算法和首选算法。
    支持的算法
    注册和运行时验证交易和质询期间可使用的加密算法。 注册过程中,这些设置会转移到移动认证器。
    首选算法
    密钥生成注册首选的加密算法。

    支持的认证方法包括:

    用户在线状态
    运行时挑战要求用户通过选择UI提示来批准或拒绝验证。
    面容
    用户需要完成基于设备的面部认证。 专用密钥由移动认证器存储在设备密钥链中,并通过基于设备的面部认证加以保护。
    指纹
    用户需要完成基于设备的指纹认证。 专用密钥由移动认证器存储在设备密钥链中,并通过基于设备的指纹认证加以保护。
  9. 可选: 若已启用二维码登录配置 ,可通过以下设置控制其行为:
    表 5。 二维码登录配置设置
    信息 描述
    到期时间 用户必须扫描二维码多少秒后二维码才不再有效,才能完成身份验证流程。
    登录会话索引
    字符数
    指定必须使用的最小字符数。
    字符集
    定义可使用的字母和数字字符集。
    设备会话索引
    字符数
    指定必须使用的最小字符数。
    字符集
    定义可使用的字母和数字字符集。
  10. 选择 保存

后续操作

设置访问策略以确定何时强制使用第二因子进行认证。 参见管理门户访问权限