One Identity Manager – Multifaktorautentisering (MFA) i IT-Shop

I IT-shopen i One Identity Manager finns det stöd för multifaktorautentisering (MFA) vilket ger ytterligare ett skyddslager vid åtkomst till känsliga resurser och behörigheter. Med detta genomgår användaren ytterligare en identitetsverifiering, till exempel med fingeravtrycksavläsning eller en kod som skickas till telefonen. Detta kan konfigureras i verktyget Webdesigner efter kundens önskemål.

MFA kan ställas in för följande fall:

  1. MFA vid beställning
  2. MFA vid godkännande av beställning

MFA vid beställning

För att få detta att fungera behöver man skapa ”Terms of use”, alltså ett användningsvillkor, och koppla detta till tjänsteobjekten som ska beröras.

Detta gör vi i verktyget Manager > IT Shop. Under Service Catalog > Terms of use skapar vi en ”MFA” enligt nedan.

Värdet som anges för ”Content” kommer visas upp för användaren vid beställning.

Tilldela sedan ”MFA” till tjänsteobjektet.

För att använda ”Terms of use” behöver man sedan aktivera detta i verktyget Webdesigner.

I beställningsläget kommer användningsvillkoret behöva accepteras med kryssrutan nedan och sedan måste man klicka på ”Godkänn”.

Nu visas rutan ”Autentisering krävs” och det är först när man klickar på knappen ”Autentisera med MFA” som MFA-logiken körs.

I detta fallet anropas ett API som skickar SMS till angivet mobilnummer där man får följa en instruktion om hur man godkänner/avslår beställningen.

MFA vid godkännande av beställning

Detta ställer vi in på tjänsteobjekten genom att kryssa i ”Approval by multi-factor authentication”.

Vid godkännande av beställningen fungerar det som vanligt men vid tryck på ”Spara” så kommer rutan ”Autentisering krävs” visas.

 

På samma sätt som vid MFA vid beställning är det först när man klickar på knappen ”Autentisera med MFA” som MFA-logiken körs.

I detta fallet anropas ett API som skickar SMS till angivet mobilnummer där man får följa en instruktion om hur man godkänner/avslår beställningen.

Konfigurera egen MFA-logik

För att konfigurera sin egen MFA-logik så kan man i Webdesigner skapa en ”customization” och göra en override på modulen ”QER_DefenderAuthentication”.

Man kan sedan justera modulen efter önskemål och ändra ett skript ”code snippet” där man kan ställa in sin egen MFA-logik för anrop till API eller liknande.

Publicerat av:

Erik Sjögren

Platform Lead One Identity | IAM/IGA-specialist erik.sjogren@anytrust.se +46(0) 76 162 17 55

Erik är utbildad högskoleingenjör inom datateknik. 2013 erbjöd Anytrust ett exjobb som verkade intressant, och det var då han fick upp ögonen för automation och digitalisering. Idag är han en del av tvärfunktionella team som tillsammans utvecklar tekniska lösningar samtidigt som vi är med i kundens agila transformation.
”Det bästa med Anytrust är bredden av kompetens som finns och möjligheten att få ta sig an nya projekt och utmaningar, vilket är en drivkraft för mig”