IBM Cloud Docs
다단계 인증(MFA)

다단계 인증(MFA)

Cloud Directory for IBM Cloud® App ID를 사용할 경우 애플리케이션 사인인 플로우 중 여러 개의 인증 요소가 필요할 수 있습니다. 두 번째 인증 요소는 사용자가 자신의 자격 증명에 대한 지식을 보유하고 있을 뿐만 아니라 등록된 이메일, 전화번호 또는 인증자 애플리케이션에 액세스할 수 있는지 확인하여 애플리케이션의 보안을 강화합니다. MFA 플로우를 확장하면 어떤 사용자가 두 번째 요소를 완료해야 하는지에 대한 사용자 정의 결정을 런타임 시 내리거나 사인인 플로우에 대한 분석 정보를 제공하도록 사전 MFA 및 사후 MFA 확장기능을 구성할 수 있습니다.

App ID MFA는 로그인 위젯을 통해 Cloud Directory 사용자에 대한 OAuth 2.0 권한 코드 플로우의 일부로 지원됩니다. SAML 2.0 또는 소셜 로그인을 통한 엔터프라이즈 사인인을 사용하는 경우 해당 ID 제공자를 통해 MFA를 사용으로 설정할 수 있습니다.

이메일 또는 SMS에 대해 MFA 플로우가 작동하는 방식을 확인하려면 다음 다이어그램을 참조하십시오.

MFA
디렉터리 MFA

  1. 사용자가 애플리케이션에 성공적으로 사인인하면 첫 번째 인증 요소가 완료됩니다. 그런 다음 MFA 구성에 따라 6자리 코드가 포함된 이메일 또는 SMS가 사용자에게 전송됩니다.

    MFA가 사용으로 설정된 경우 사용자가 사인인하려고 시도할 때마다 App ID 로그인 위젯에서 두 번째 검증 양식을 요구합니다. 단, 확장기능이 구성된 경우는 예외입니다.

  2. 사용자가 자신의 전화 또는 이메일을 검토하여 코드를 확인한 후 제공된 화면에 입력합니다.

  3. 입력한 코드가 전송받은 코드와 일치할 경우 사용자가 다시 애플리케이션으로 경로 재지정되고 사인인됩니다. 입력한 코드가 올바르지 않을 경우 두 번째 인증 요소가 실패하고 사용자가 리소스에 액세스할 수 없습니다.

이메일 검증이 구성되지 않은 경우 App ID에서는 백그라운드로 MFA 채널의 유효성을 검증합니다. 예를 들어 MFA를 위한 이메일 채널을 구성하고 이메일 검증은 구성하지 않은 경우, MFA 로그인에 처음으로 성공하면 App ID에서 이메일의 유효성을 검증합니다. 그러나 SMS 채널을 구성할 경우 처음으로 로그인에 성공하면 App ID에서 사용자 전화번호의 유효성을 검증합니다. SMS 채널을 사용 중이고 이메일의 유효성을 검증하려는 경우 이메일 검증을 사용으로 설정해야 합니다.

이메일 채널 구성

이메일을 통해 사용자에게 MFA 코드를 발송하도록 App ID를 구성할 수 있습니다.

MFA를 처음으로 사용으로 설정하는 경우 다음과 같은 두 가지 상황이 발생합니다.

  • 기본적으로 이메일 채널이 선택됩니다. SMS 채널로 전환할 수 있습니다.
  • App ID에서 Cloud Directory 사용자의 프로파일에 첨부된 기본 이메일을 자동으로 등록합니다.

사용자의 이메일이 아직 확인되지 않은 경우 등록 시 관리 API 또는 이메일 검증을 통해 MFA 코드를 정상적으로 검증할 때 확인됩니다.

MFA가 처음으로 사용으로 설정되는 경우 기본적으로 이메일을 사용하도록 설정됩니다. SMS를 사용하도록 설정을 변경할 수 있지만 동시에 둘 다 구성할 수는 없습니다.

GUI 사용

GUI를 통해 MFA 이메일 채널을 구성할 수 있습니다.

  1. App ID 대시보드의 Cloud Directory > 다단계 인증 탭으로 이동하십시오.

  2. 설정 탭다단계 인증 사용 상자에서 MFA를 사용으로 전환하십시오. MFA는 고급 보안 이벤트로 청구된다는 점을 이해하고 있어야 합니다. 기본적으로 이메일인증 방법으로 선택되어 있습니다.

  3. 이메일 채널 탭에서 이메일 템플리트를 검토하십시오. 제공된 문장을 사용하거나 고유한 메시지를 작성하여 템플리트를 발송하도록 선택할 수 있습니다. 올바른 HTML 태그 지정을 사용해야 합니다. 콘솔에서 매개변수를 추가하고 이미지를 삽입할 수 있습니다. 메시지의 언어를 변경하려면 API를 사용하여 언어를 설정하면 됩니다. 하지만 메시지의 컨텐츠 및 변환은 본인의 책임입니다. 이 메시지에서 사용할 수 있는 테이블 목록과 전송할 수 있는 기타 모든 메시지를 보려면 다음 표를 참조하십시오. 사용자가 해당 매개변수를 통해 가져오는 정보를 제공하지 않을 경우 공백으로 표시됩니다.

    MFA 메시지 매개변수
    매개변수 설명
    %{display.logo} 로그인 위젯에 대해 구성한 이미지를 표시합니다.
    %{user.displayName} 사용자가 앱과 상호작용할 때 사용하도록 선택한 화면 이름을 표시합니다.
    %{user.email} 사용자의 등록된 이메일 주소를 표시합니다.
    %{user.username} 인증 방법이 사용자 이름 및 비밀번호로 설정된 경우 사용자의 지정된 사용자 이름을 표시합니다.
    %{user.firstName} 사용자의 지정된 이름을 표시합니다.
    %{user.formattedName} 사용자의 전체 이름을 표시합니다.
    %{user.lastName} 사용자의 지정된 성을 표시합니다.
    %{mfa.code} 일회성 MFA 검증 코드를 표시합니다.

    사용자가 해당 매개변수를 통해 가져오는 정보를 제공하지 않을 경우 공백으로 표시됩니다.

API 사용

다음과 같은 전제조건이 준비되어 있어야 합니다.

  • App ID 인스턴스의 테넌트 ID. 이 ID는 대시보드의 서비스 인증 정보 섹션에서 찾을 수 있습니다.
  • IAM(Identity and Access Management) 토큰. IAM 토큰을 얻는 방법에 대한 도움말은 IAM 문서를 참조하십시오.

MFA를 사용하려면 다음을 수행하십시오.

  1. MFA 구성이 포함된 /config/cloud_directory/mfa 엔드포인트에 대한 PUT 요청을 수행하여 isActivetrue로 설정함으로써 MFA를 사용으로 설정하십시오.

    curl -X PUT https://<region>.appid.cloud.ibm.com/management/v4/<tenantID>/config/cloud_directory/mfa \
       --header 'Content-Type: application/json' \
       --header 'Accept: application/json' \
       --header 'Authorization: Bearer <IAMToken>' \
       -d '"isActive": true'
    
  2. MFA 구성으로 /mfa/channels/<channel> 엔드포인트에 PUT 요청을 보내 MFA 채널을 활성화합니다. isActivetrue로 설정하면 MFA 채널이 사용으로 설정됩니다.

    $ curl -X PUT https://<region>.appid.cloud.ibm.com/management/v4/<tenantID>/mfa/channels/email \
       --header 'Content-Type: application/json' \
       --header 'Accept: application/json' \
       --header 'Authorization: Bearer <IAMToken>' \
       -d '"isActive": true'
    

사용자 정의 이메일 송신기에서 작동하도록 App ID Cloud Directory 인스턴스가 구성되어 있는 경우 MFA에서 동일한 동일한 송신기를 사용하여 일회성 코드를 전송합니다. 자세한 정보는 Cloud Directory 문서를 참조하십시오.

SMS 채널 구성

두 번째 검증 양식으로 사용자에게 SMS 메시지를 전송할 수 있습니다. SMS를 사용 설정하면 App ID 에서 클라우드 디렉터리 사용자의 프로필에 있는 유효한 첫 번째 기본 전화번호를 자동으로 등록하려고 시도합니다. 번호가 올바르지 않거나 사용자의 프로파일에서 전화번호를 찾을 수 없는 경우 사용자가 번호를 추가할 수 있는 등록 위젯이 표시됩니다. 그런 다음 해당 번호가 사용자 프로파일에 포함되고 유효성 검증이 완료되면 MFA에 사용되는 기본 번호가 됩니다.

MFA가 처음으로 사용으로 설정된 경우 기본적으로 이메일을 사용하도록 설정됩니다. SMS를 사용하도록 설정을 변경할 수 있지만 동시에 둘 다 구성할 수는 없습니다.

시작하기 전에

App ID 는 Vonage(정식 명칭은 Nexmo)를 사용하여 MFA SMS 일회용 코드를 전송합니다.

  • Vonage API 키 및 시크릿을 얻으십시오. Vonage API 키 및 시크릿은 Vonage 대시보드의 계정 설정에서 찾을 수 있습니다. 자격 증명을 얻는 방법에 대한 자세한 내용은 Vonage 문서를 참조하세요.

  • Vonage에 발신인 ID 또는 from 번호를 등록하십시오. 이 from 번호는 SMS의 발신인이 누구인지 표시하기 위해 사용자의 전화에 표시되는 번호입니다. 일부 국가에서는 Vonage가 영숫자로 된 발신자 ID를 지원합니다. App ID은(는) Vonage 발신자 ID로 입력하는 값을 사용합니다. 따라서 Vonage에서 지원하는 경우 App ID에서 해당 ID를 사용할 수 있습니다.

GUI 사용

GUI를 사용하여 MFA를 구성하려면 Cloud Directory를 참조하십시오.

  1. App ID 대시보드의 Cloud Directory > 다단계 인증 탭으로 이동하십시오.

  2. 설정 탭다단계 인증 사용 상자에서 MFA를 사용으로 전환하십시오. MFA는 고급 보안 이벤트로 청구된다는 점을 이해하고 있어야 합니다.

  3. 인증 방법으로 SMS를 선택하십시오.

  4. SMS 채널 탭에서 Vonage 계정 정보를 구성하십시오.

    1. 아직 Vonage 계정이 없는 경우 계정을 작성하십시오.

    2. Vonage 대시보드에서 SMS를 클릭하십시오.

    3. 직접 코딩 섹션에서 API 키를 복사하여 App ID 대시보드의 상자에 붙여넣으십시오.

    4. Vonage 대시보드에서 API 시크릿을 복사하여 App ID 대시보드의 시크릿 상자에 붙여넣으십시오.

    5. 메시지를 보낼 아이디를 입력합니다. 유효한 번호 형식은 E.164 국제 번호 형식을 따릅니다. 예를 들어 미국 번호는 +19998887777 형식입니다. + 기호로 시작되는 국가 코드 및 국제 가입자 번호를 둘 다 지정해야 합니다. 일부 국가에서는 Vonage가 영숫자로 된 발신자 ID를 지원합니다. App ID은(는) Vonage 발신자 ID로 입력하는 값을 사용합니다. 따라서 Vonage에서 지원하는 경우 App ID에서 해당 ID를 사용할 수 있습니다.

API 사용

API를 시작하기 전에 다음과 같은 전제조건이 충족되는지 확인하십시오.

  • App ID 인스턴스의 테넌트 ID. 이 ID는 대시보드의 서비스 인증 정보 섹션에서 찾을 수 있습니다.
  • IAM(Identity and Access Management) 토큰. IAM 토큰을 얻는 방법에 대한 도움말은 IAM 문서를 참조하십시오.
  1. MFA 구성이 포함된 /config/cloud_directory/mfa 엔드포인트에 대한 PUT 요청을 수행하여 isActivetrue로 설정함으로써 MFA를 사용으로 설정하십시오.

    curl -X PUT https://<region>.appid.cloud.ibm.com/management/v4/<tenantID>/config/cloud_directory/mfa \
    --header 'Content-Type: application/json' \
    --header 'Accept: application/json' \
    --header 'Authorization: Bearer <IAMToken>' \
    -d '{"isActive": true}'
    
  2. MFA 구성으로 /mfa/channels/<channel> 엔드포인트에 PUT 요청을 보내 MFA 채널을 활성화합니다. isActivetrue로 설정하면 MFA 채널이 사용으로 설정됩니다. config의 경우 from 번호는 물론 Nexmo API 키 및 시크릿도 사용합니다.

    curl -X PUT https://<region>.appid.cloud.ibm.com/management/v4/<tenantID>/mfa/channels/nexmo' \
    --header 'Content-Type: application/json' \
    --header 'Accept: application/json' \
    --header 'Authorization: Bearer <IAMToken>' \
    -d '{
       "isActive": true,
       "config": {
          "key": "<nexmoKey>",
          "secret": "<nexmoSecret>",
          "from": <senderPhoneNumber>
       }
    }'
    
  3. 채널이 성공적으로 구성되면 콘솔의 테스트 버튼을 사용하거나 관리 API를 사용하여 넥스모 구성 및 연결이 올바르게 설정되었는지 확인합니다.

    curl -X PUT https://<region>.appid.cloud.ibm.com/management/v4/<tenantID>/config/cloud_directory/sms_dispatcher/test \
    --header 'Content-Type: application/json' \
    --header 'Accept: application/json' \
    --header 'Authorization: Bearer <IAMToken>' \
    -d '{"phone_number": "+1 999 999 9999"}'
    

MFA 확장

확장기능을 사용할 경우 다단계 인증의 보안을 다음 레벨에도 적용할 수 있습니다. 두 번째 인증 양식을 제공해야 할 사람에 대한 사용자 정의 결정을 내리면 보다 개인적인 앱 환경을 사용자에게 제공할 수 있습니다. 또한 확장기능을 사용하면 실패한 두 번째 양식 인증 수와 같은 MFA 동작을 감사할 수도 있습니다.

시작하기 전에

확장기능을 등록하기 전에 다음과 같은 전제조건이 충족되었는지 확인하십시오.

  • App ID 인스턴스의 테넌트 ID. 이 ID는 대시보드의 애플리케이션 섹션에서 찾을 수 있습니다.
  • IAM(Identity and Access Management) 토큰. IAM 토큰을 얻는 방법에 대한 도움말은 IAM 문서를 참조하십시오.

확장기능 작업의 제한사항에 관한 자세한 정보는 App ID 한계를 참조하십시오.

사전 MFA 구성

사전 MFA 확장기능을 사용할 경우, 사용자가 애플리케이션과 상호작용할 때 두 번째 인증 양식을 입력할 필요가 없는 기준을 정의할 수 있습니다.

사전 MFA 흐름
디렉터리 사전 MFA 흐름

  1. 사용자가 애플리케이션에 성공적으로 사인인하면 App ID에서 POST 요청을 확장기능에 전송합니다.
  2. 확장기능에서는 POST 요청의 정보를 사용하여 사용자가 정의한 기준에 따라 특정 사용자가 두 번째 인증 요소를 건너뛸 수 있는지 판별합니다.
  3. 구성이 {'skipMfa': true}과 유사한 JSON 응답을 App ID로 리턴합니다.
  4. 구성에서 보낸 응답에 따라 App ID에서는 MFA 플로우를 진행하거나 애플리케이션에 대한 액세스 권한을 부여합니다.

App ID에서는 기본적으로 확장점에 요청하는 동안 오류가 발생하면 사용자가 MFA를 완료해야 합니다.

사전 MFA 확장기능을 구성하려면 다음을 수행하십시오.

  1. 사용자가 두 번째 인증 요소를 건너뛸 수 있는 사전 충족 기준을 정의하십시오. 모르는 경우 몇 가지 아이디어를 얻으려면 다음 예를 확인하십시오.

    MFA 생략 기준 예시
    유스 케이스 예 유효성 검증 예
    사용자가 두 번째 인증 요소를 하루에 한 번만 제공하도록 설정하려고 합니다. last_successful_first_factor가 같은 날에 있는지 유효성 검증하도록 확장기능을 구성합니다.
    두 번째 요소를 매번 제공할 필요가 없는 승인된 사용자 허용 목록이 있습니다. username 또는 user_id이(가) 허용 목록에 있는지 유효성 검증하도록 확장기능을 구성합니다.
    데스크탑에서 앱에 액세스하는 사용자가 매번 두 번째 요소를 제공하지 않도록 설정하려고 합니다. device_typeweb으로 설정되었는지 유효성 검증하도록 확장기능을 구성합니다.
  2. 기준을 알고 있는 경우 POST 요청을 청취할 수 있는 확장기능을 구성하십시오. 엔드포인트에서는 App ID에서 제공하는 페이로드를 읽을 수 있어야 합니다. MFA 플로우가 시작되기 전에 App ID이(가) 보내는 본문의 형식은 {"jws": "jws-format-string"}입니다. 확장기능은 페이로드를 디코딩 및 유효성 검증할 수 있고, 컨텐츠는 JSON 오브젝트이며, {"skipMfa": Boolean } 스키마가 포함된 JSON 응답을 리턴할 수 있습니다 (예: {'skipMfa': true}).

    App ID 에서 확장 지점으로 전달하는 정보입니다.
    정보 설명
    correlation_id MFA 세션마다 생성되는 난수입니다. 사전 MFA 및 사후 MFA 확장기능이 모두 있는 경우 같은 세션이면 번호도 같습니다. 예를 들어, 3bb9236c-792f-4cca-8ae1-ada754cc4555입니다.
    extension 확장기능의 이름입니다. 이 유스 케이스의 경우 확장기능의 이름은 premfa입니다.
    device_type 사용자가 애플리케이션에 액세스하는 데 사용하는 디바이스 유형입니다. 옵션은 webmobile입니다.
    source_ip 앱에 요청을 하는 디바이스의 IP 주소입니다. 예를 들어, 127.0.0.1입니다.
    headers 사용자가 앱에 사인인하려고 할 때 브라우저에서 리턴되는 정보입니다. 헤더는 다음과 유사합니다. {"user-agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X x.y; rv:42.0) Gecko/20100101 Firefox/42.0"}
    tenant_id 애플리케이션의 테넌트 ID입니다.
    client_id 애플리케이션의 클라이언트 ID입니다.
    user_id 인증 요청을 하는 사용자의 ID입니다. 예를 들어, 11112222-3333-4444-2222-555522226666입니다.
    username 인증 요청을 하는 사용자의 사용자 이름입니다. 예를 들어, testuser@email.com입니다.
    application_type 애플리케이션의 유형입니다. 예를 들어 애플리케이션이 단일 페이지 JavaScript 웹 앱이면 browserapp이 리턴됩니다. 옵션에는 browserapp, serverappmobileapp이 있습니다.
    first_name 사용자의 이름입니다.
    last_name 사용자의 성입니다.
    last_successful_first_factor 사용자가 마지막으로 인증 정보를 올바르게 입력한 날짜입니다. 예를 들어, 1660032586651입니다.
    last_successful_mfa 사용자가 마지막으로 전체 MFA 플로우를 완료한 날짜입니다. 예를 들어, 1660032586651입니다.

    확장 예제를 보려면 샘플을 확인하세요.

  3. config/cloud_directory/mfa/extensions/premfa에 대한 PUT 요청을 수행하여 확장기능을 App ID의 인스턴스에 등록하십시오. 구성에는 확장기능의 URL 및 엔드포인트에 액세스하는 데 필요한 권한 정보가 포함됩니다. 개발 목적인 경우 isActivefalse로 설정됩니다. 구성을 사용으로 설정하기 전에 반드시 테스트하십시오.

    curl -X PUT https://<region>.appid.cloud.ibm.com/management/v4/<tenantID>/config/cloud_directory/mfa/extensions/premfa' \
    --header 'Content-Type: application/json' \
    --header 'Accept: application/json' \
    --header 'Authorization: Bearer <IAMToken>' \
    -d '{
       "isActive": false,
       "config": {
          "url": "<extensionsURL>",
          "headers": {
                "Authorization": "<customExtensionAuthorizationHeader>"
             }
       }
    }'
    

    연결이 암호화될 수 있도록 항상 HTTP 대신 HTTPS를 extensions_URL로 사용하는 것이 좋습니다.

  4. 확장기능이 구성되면 테스트 API를 사용하여 엔드포인트가 올바르게 작동하는지 확인하십시오. App ID은(는) 예제 값을 사용하여 구성된 확장기능에 대한 POST 요청을 수행합니다.

    curl -X POST https://<region>.appid.cloud.ibm.com/management/v4/<tenantID>/config/cloud_directory/mfa/extensions/premfa/test \
    --header 'Content-Type: application/json' \
    --header 'Accept: application/json' \
    --header 'Authorization: Bearer <IAMToken>'
    
  5. isActivetrue로 설정하는 PUT 요청을 수행하여 확장기능을 사용으로 설정하십시오.

    curl -X PUT https://<region>.appid.cloud.ibm.com/management/v4/<tenantID>/config/cloud_directory/mfa/extensions/premfa \
    --header 'Content-Type: application/json' \
    --header 'Accept: application/json' \
    --header 'Authorization: Bearer <IAMToken>' \
    -d '{"isActive": true}'
    

    확장기능을 사용 안함으로 설정하려면 isActivefalse로 설정하십시오.

사후 MFA 구성

확장기능을 구성하고 App ID에 등록하는 경우 서비스는 ID의 두 번째 요인이 존재하는 모든 인증 시도 후에 확장기능을 호출합니다. 해당 정보를 사용하면 사용자에 대해 보다 현명한 결정을 내릴 수 있습니다. 예를 들어 학습법 및 규칙에 대해 사후 MFA 확장기능 콜렉션 정보를 사용한 다음 사전 MFA 확장기능을 통해 이를 적용할 수 있습니다.

mFA 이후
디렉터리 MFA 이후

  1. 사용자가 애플리케이션에 성공적으로 사인인하면 두 번째 인증 요소를 입력하라는 프롬프트가 표시됩니다.

  2. 두 번째 인증 요소가 성공적으로 완료되면 다음 두 개의 동시 조치가 발생합니다.

    1. App ID에서 구성된 확장기능 사인인에 대한 정보를 전송합니다.

    2. 사용자가 애플리케이션으로 경로 재지정됩니다.

사후 MFA 확장기능을 구성하려면 다음을 수행하십시오.

  1. POST 요청을 청취할 수 있는 확장점을 구성하십시오. 엔드포인트에서는 App ID에서 전송하는 페이로드를 읽을 수 있어야 합니다. 선택적으로, App ID에서 리턴하는 JSON 페이로드가 서드파티에 의해 어떤 방식으로든 변경되지 않았음을 디코딩 및 유효성 검증할 수도 있습니다. 다음 정보가 포함된 {"jws": "jws-format-string"} 형식의 문자열이 리턴됩니다.

    App ID 에서 확장 지점으로 전달하는 정보입니다.
    정보 설명
    correlation_id MFA 세션마다 생성되는 난수입니다. 사전 MFA 및 사후 MFA 확장기능이 모두 있는 경우 각각의 번호가 같습니다. 예를 들어, 3bb9236c-792f-4cca-8ae1-ada754cc4555입니다.
    extension 확장기능의 이름입니다. 이 유스 케이스의 경우 확장기능의 이름은 postmfa입니다.
    status MFA 상태입니다. 옵션은 successfailed입니다.
    reason MFA 실패 이유입니다. 예를 들어, user locked out - exceeded maximum number of verification attempts입니다.
    device_type 사용자가 애플리케이션에 액세스하는 데 사용하는 디바이스 유형입니다. 옵션에는 web, mobile이 있습니다.
    source_ip 앱에 요청을 하는 디바이스의 IP 주소입니다. 예를 들어, 127.0.0.1입니다.
    headers 사용자가 앱에 사인인하려고 할 때 브라우저에서 리턴되는 정보입니다. 헤더는 다음과 유사합니다. {"user-agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X x.y; rv:42.0) Gecko/20100101 Firefox/42.0"}
    tenant_id 애플리케이션의 테넌트 ID입니다.
    client_id 애플리케이션의 클라이언트 ID입니다.
    user_id 인증 요청을 하는 사용자의 ID입니다.
    username 인증 요청을 하는 사용자의 사용자 이름입니다. 예를 들어, testuser@email.com입니다.
    application_type 애플리케이션의 유형입니다. 예를 들어 애플리케이션이 단일 페이지 JavaScript 웹 앱이면 browserapp이 리턴됩니다. 옵션에는 browserapp, serverappmobileapp이 있습니다.
    first_name 사용자의 이름입니다.
    last_name 사용자의 성입니다.
  2. config/cloud_directory/mfa/extensions/postmfa에 대한 PUT 요청을 수행하여 확장기능을 App ID의 인스턴스에 등록하십시오. 구성에는 확장기능의 URL 및 엔드포인트에 액세스하는 데 필요한 권한 정보가 포함됩니다. 개발 목적인 경우 isActivefalse로 설정됩니다. 구성을 사용으로 설정하기 전에 반드시 테스트하십시오.

    curl -X PUT https://<region>.appid.cloud.ibm.com/management/v4/<tenantID>/config/cloud_directory/mfa/extensions/postmfa' \
    --header 'Content-Type: application/json' \
    --header 'Accept: application/json' \
    --header 'Authorization: Bearer <IAMToken>' \
    -d '{
       "isActive": false,
       "config": {
          "url": "<extensionsURL>",
          "headers": {
                "Authorization": "<customExtensionAuthorizationHeader>"
             }
       }
    }'
    

    연결이 암호화될 수 있도록 항상 HTTP 대신 HTTPS를 extensions_URL로 사용하는 것이 좋습니다.

  3. 확장기능이 구성되면 테스트 API를 사용하여 엔드포인트가 올바르게 작동하는지 확인하십시오. App ID은(는) 예제 값을 사용하여 구성된 확장기능에 대한 POST 요청을 수행합니다.

    curl -X POST https://<region>.appid.cloud.ibm.com/management/v4/<tenantID>/config/cloud_directory/mfa/extensions/postmfa/test \
    --header 'Content-Type: application/json' \
    --header 'Accept: application/json' \
    --header 'Authorization: Bearer <IAMToken>'
    
  4. isActivetrue로 설정하여 확장기능을 사용으로 설정하십시오.

    curl -X PUT https://<region>.appid.cloud.ibm.com/management/v4/<tenantID>/config/cloud_directory/mfa/extensions/postmfa \
    --header 'Content-Type: application/json' \
    --header 'Accept: application/json' \
    --header 'Authorization: Bearer <IAMToken>' \
    -d '{"isActive": true}'
    

    확장기능을 사용 안함으로 설정하려면 isActivefalse로 설정하십시오.