Início
Software Z
Segurança do Z
Multi_Factor Authentication
O IBM Z Multi-Factor Authentication (MFA) 2.2 aprimora os modos de autenticação e o suporte para fortalecer a segurança empresarial.
Com os módulos para utilização com Linux no Z Architecture, os administradores de distribuições Linux suportados podem configurar aplicativos Linux compatíveis com PAM para exigir que os usuários atendam uma política de MFA antes que o acesso ao aplicativo seja concedido.
A nova opção de configuração é usada em conjunto com novos recursos do servidor para respeitar essa configuração nas interfaces com o usuário do IBM Z MFA para autenticação de política com base na web no z/OS e Linux.
Os administradores no IBM z/OS agora são capazes de configurar diversas instâncias de fatores MFA selecionados, o que fornece maior flexibilidade quando um único banco de dados do gerenciador de segurança externo (ESM) do z/OS suporta comunidades de usuários locatários díspares.
O novo comando "Modificar console" pode ser usado para forçar a invalidação de todas as credenciais de token de cache que estão atualmente no cache do IBM Z MFA para um determinado ID de usuário (somente z/OS).
O suporte para autenticação RSA SecurID no z/OS e Linux é fornecido por meio da API RSA REST.
A redefinição de senha baseada na web pode ser habilitada para usuários que esqueceram sua senha do ESM, mas conseguem fazer a autenticação com êxito em uma política do IBM Z MFA (somente z/OS).
O suporte formal agora está disponível para interfaces da web em z/OS e Linux que anteriormente eram internas e não documentadas.
Todas as versões do IBM Z MFA protegem logins de usuário no z/OS, usando segmentos que são executadas no z/OS. O IBM Z MFA 2.1 incorporou proteção para logins de usuários no z/VM. O IBM Z MFA 2.2 protege aplicativos Linux em z/Architecture que suportam estrutura de módulo de autenticação conectável (PAM), usando módulos PAM que são executados no Linux.
O IBM Z MFA 2.2 suporta muitos tipos de autenticação e recursos de integração. Uma lista parcial dos recursos e integrações suportados está incluída na tabela abaixo.
z/OS
z/VM e Linux em Z
Vários tipos de autenticação*
Sim
Não
RFA SecurID com API REST HTTPS*
Sim
Sim
RSA SecurID com RADIUS PAP
Sim
Sim
RSA SecurID com ACEv5 UDP
Sim
Sim
TOTPs**
Sim
Sim
RADIUS PAP genérico por UDP
Sim
Sim
RADIUS PAP genérico por TCP
Sim
Sim
Use a maioria dos recursos suportados no z/OS e z/VM, todos com uma licença. Faça o pedido através do ShopZ, receba os dois sistemas operacionais, escolha qual instalar e use sua infraestrutura MFA existente.
Simplifique as configurações de MFA em grandes ambientes com a versão 2.1, que suporta a produção de credenciais seguras que podem ser usadas dentro e fora dos limites do sysplex onde a credencial foi gerada.
Inclua extensões de fator para componentes de comandos relacionados ao usuário IBM RACF®, ACF2 e TopSecret. Amplie as interfaces de programação de instalação de autorização de segurança (SAF) para definir tokens suportados durante solicitações de autenticação de usuário, permitindo que aplicativos com reconhecimento de MFA especifiquem fatores além de senhas ou frases RACF, ACF2 e TopSecret. Audite extensões, provisione e defina tokens MFA utilizando comandos RACF, ACF2 e TopSecret relacionados ao usuário.
Utilize qualquer fator baseado no protocolo padrão RADIUS por meio do gateway IBM Z MFA RADIUS. Suporta token RSA SecurID, com algoritmo baseado em tempo, token rígido ou tokens baseados em software. As implementações RSA SecureID e Gemalto SafeNet oferecem mensagens mais robustas e granulares.
Além do suporte de fator existente, o IBM Z MFA inclui integração do IBM Cloud Identity Verify (CIV) usando o gateway CIV RADIUS e o fator de protocolo RADIUS genérico do IBM Z MFA. A integração CIV oferece suporte à autenticação composta em banda, onde o OTP gerado pelo CIV pode ser usado com uma senha ou frase secreta RACF.
O IBM TouchToken permite que a autenticação do usuário seja avaliada diretamente no z/OS para garantir um meio de estabelecer a autenticação de dois fatores sem validação adicional fora da plataforma. O suporte TOTP genérico inclui aplicativos de token TOTP genéricos, incluindo aplicativos TOTP de terceiros compatíveis com o padrão em dispositivos Android e Microsoft Windows.
Utilize a autenticação composta, onde mais de um fator é necessário no processo de autenticação. A autenticação composta em banda exige que o usuário forneça uma credencial RACF (senha ou frase secreta) em conjunto com uma credencial MFA válida.
Armazene dados de autenticação no banco de dados RACF, ACF2 ou TopSecret, defina e altere dados MFA com comandos RACF, ACF2 ou TopSecret e descarregue campos MFA não confidenciais no banco de dados com o utilitário DBUNLOAD. A ativação do z/OS Security Server RACF, ACF2 e TopSecret consiste em atualizações no banco de dados, comandos, solicitações de serviços, processamento de login e utilitários.
Inicie a autenticação com o IBM Security Access Manager (ISAM) utilizando o procedimento “escolher um código de acesso único (OTP)”. O OTP é utilizado em substituição a senha ao efetuar login no z/OS. A integração ISAM suporta autenticação composta em banda, onde o OTP gerado pelo ISAM pode ser usado em conjunto com a senha ou frase secreta RACF do usuário.
Utilize vários dispositivos Yubikey que suportam o algoritmo Yubico OTP. O IBM Z MFA não requer um servidor de autenticação externo e toda a avaliação OTP é executada no sistema z/OS pela tarefa iniciada do IBM Z MFA.
Estabeleça a base para dar suporte a qualquer sistema de autenticação baseado em certificado. Habilite a autenticação para cartões inteligentes de verificação de identidade pessoal (PIV) e cartão de acesso comum (CAC) comumente usados no governo federal.
Habilite o processamento de MFA isentos para aplicativos com propriedades de autenticação que podem impedir o funcionamento correto do MFA. Defina perfis SAF que marcarão determinados aplicativos como excluídos do MFA e permitirão que um usuário faça login nesse aplicativo com uma senha, frase secreta ou PassTicket. Em contrapartida, defina perfis SAF para criar políticas de inclusão para facilitar a adoção do MFA para usuários e aplicativos selecionados.