MFA 요소로서의 FIDO2
FIDO2를 MFA 요소 정책으로 구성하여 MFA를 적용할 수 있습니다.
FIDO2는 사용자가 물리적 보안 키 또는 생체 인식 인증을 사용하여 인증할 수 있도록 하는 암호 없는 인증 표준입니다. 기존 MFA 방법보다 안전한 대안을 제공하여 피싱 및 기타 사이버 공격의 위험을 줄입니다.
FIDO2 요소 정책 개선 사항은 MFA(다단계 인증) 정책에 안전한 인증 방법을 제공합니다. FIDO2를 MFA 요소 정책 옵션으로 구성하여 이메일 및 SMS와 같은 기존 방법에 비해 높은 수준의 보안을 제공할 수 있습니다.
FIDO2 팩터 정책을 구성할 수 있으며, 사용자가 팩터 정책 조건을 충족하면 프로파일에 등록된 하드웨어 키 또는 생체 인식을 아직 추가하지 않은 사용자에 대해 로그인하는 ServiceNow동안 FIDO2 설정이 표시됩니다.
등록이 완료되면 로그인을 위한 두 번째 요소 확인 화면이 표시됩니다.
주:
FIDO2는 사용자가 직접 등록할 수도 있습니다. 자가 등록 방법에 대한 자세한 내용은 을 참조하십시오 사용자 프로파일에 다단계 인증 설정.
주요 이점
다음은 FIDO2를 MFA 요소로 사용할 때의 몇 가지 주요 이점입니다.
- 독점 FIDO2 인증
- 높은 권한 계정이 FIDO2의 강력한 인증 기능(생체 인식, 통과 키 또는 하드웨어 보안 키)을 사용해서만 인증할 수 있는지 확인합니다.
- 덜 안전한 메서드 제외
- FIDO2가 유일하게 일치하는 정책인 경우 다른 인증 방법을 억제합니다.
- 강제 등록
- 아직 등록되지 않은 경우 사용자가 FIDO2 키를 등록해야 합니다.
- 세분화된 제어
- 정책 기반 타게팅을 사용하여 특정 역할 또는 그룹에 엄격한 적용을 적용합니다.
더 높은 보안 요소로서 FIDO2에는 독점적인 적용 기능이 있습니다. 사용자에 대해 일치하는 유일한 정책인 경우:
- 등록에 등록된 다른 요인을 무효화합니다.
- 사용자가 등록되지 않은 경우 FIDO2를 강제로 등록합니다.
- 배타적 인증 옵션이 됩니다.
구성 및 사용자 동작 예시
다음 표에서는 역할 및 등록된 요인에 따라 다양한 사용자 시나리오가 처리되는 방식을 보여 줍니다.
요소 정책 조건 예시:
- FIDO2 공장 정책: 조건은 "ITIL 역할은 예여야 함"입니다.
- 이메일 요인 정책: 조건은 "자산 역할이 예여야 함"입니다.
| 예제 사용자 | 역할 있음 | 이미 등록된 요소 | 일치 정책 | 동작 |
|---|---|---|---|---|
| 앤드류.och | ITIL | 안 함 | 피도2 | 사용자가 FIDO2만 있는 MFA 설정으로 리디렉션됩니다. 등록 후에는 FIDO2가 유일한 인증 옵션입니다. |
| 아벨.튜터 | ITIL | 인증자 | 피도2 | 사용자가 인증자를 자체 등록 요소로 가지고 있더라도 사용자는 FIDO2만 있는 MFA 설정으로 리디렉션됩니다. 주: 사용자가 MFA 요소에 등록하지 않은 경우 사용자는 FIDO2를 사용하여 MFA 설정으로 리디렉션됩니다. |
| aileen.motterm | 자산 | 인증자 | 이메일 | 로그인하는 동안 이메일 및 인증자 옵션이 표시됩니다. 사용자는 요소를 선택하거나 선택적으로 FIDO2를 등록할 수 있습니다. |
| 에이브러햄 링컨 | 자산, ITIL | 인증자 | 이메일 및 FIDO2 | 로그인하는 동안 이메일 및 인증기 옵션이 표시됩니다. 사용자는 유효성 검사 중에 FIDO2를 등록할 수 있습니다. 등록 후 사용자는 3가지 요소를 모두 볼 수 있습니다. |
FIDO2를 MFA 요소 정책으로 구성하면 인증 프로세스의 보안을 크게 향상시킬 수 있습니다.