多因素认证
多因子认证 要求用户在登录到系统以证明其身份时提供多条信息。 多因子认证使用两种或多种方法(称为因子)的任意组合来对用户进行资源认证,并保护这些资源免受未经授权的访问。
- 用户知道的信息
- 每个用户使用只有自己知道的信息(例如密码或 PIN)进行认证。
- 用户具有的信息
- 用户使用由可信认证服务提供给用户的信息来证明其身份,例如,由应用程序或移动设备生成的一次性密码。
- 用户具有的特征
- 用户通过指纹或视网膜扫描等生物识别技术证明其身份。
如果使用基于云的服务,那么多因子认证可加强对用户访问权和安全设置的控制。 单独的第一重因子认证方法(例如,用户名和密码组合)无法提供云和混合云环境所需的保护和安全级别。 借助多因子认证支持,安全性管理员可以加强帐户保护,为用户和用户组创建细粒度访问,并在系统级别更有效地监视访问。
使用 IBM Security Verify 进行多因子认证
系统与 IBM® Security Verify (基于云的身份和访问管理 (IAM) 服务提供者) 集成,以提供不同的因素。
借助 IBM Security Verify,安全管理员可以将系统配置为需要两个因子的应用程序,以便用户和用户组使用管理 GUI 或 CLI 访问该系统。
可以使用多因子认证来保护本地用户(包括超级用户)和远程用户。
远程用户是在远程 LDAP 服务器上定义的用户。 对于向 LDAP 服务器进行认证的远程用户,请在 LDAP 服务器(例如 Windows Active Directory)上安装并配置 IBM Security Verify Bridge for Directory Sync。 IBM Security Verify Bridge for Directory Sync 将源 LDAP 服务器上定义的任何用户和组复制到 IBM Security Verify 中的 Cloud 目录。 对源 LDAP 服务器进行的任何后续更改都将自动复制到 IBM Security Verify 中的 Cloud Directory 下。 有关更多信息,请参阅 IBM Security Verify 文档中的 IBM Security Verify Bridge for Directory Sync 。
| 第二个因子 | 在 IBM Security Verify 上受支持 | 通过 OpenID Connect (OIDC) 协议在管理 GUI 上受支持 | 通过 PAM 在命令行界面上受支持 | 详细信息 |
|---|---|---|---|---|
| 短信验证码 | 是 | 是 | 是 | 一次性验证码通过指定的电话号码发送给用户。 |
| 电子邮件 OTP | 是 | 是 | 是 | 一次性密码将通过指定的电子邮件地址发送给用户。 |
| 语音 OTP | 是 | 是 | 是 | 一次性验证码通过指定的电话号码发送给用户。 |
| 基于时间的 OTP | 是 | 是 | 是 | 通过用户移动设备 (例如 IBM Verify) 上的认证程序应用程序生成一次性密码。 |
| FIDO2 设备 | 是 | 是 | False | FIDO2 是一种因特网标准,用于无密码访问,以通过常用设备 (例如,触摸和生物识别传感器或 USB 安全密钥 (例如, YubiKey 或 MAC Touch ID)) 轻松向联机服务进行认证。 |
| 二维码 | 是 | 是 | False | 用户使用设备扫描生成的 QR 代码以获取对系统的访问权。 |
| 推送通知 | 是 | 是 | 是 | 推送通知通过将警报直接发送到移动应用程序 (例如 IBM Verify) 来启用认证,以验证任何认证尝试。 |
IBM Security Verify 将管理 GUI 和命令行界面配置为需要单独凭证的单独 API 客户端。 对于基于 GUI 的登录,系统通过 OpenID Connect (OIDC) 协议与 IBM Security Verify 进行通信。