Wer weiß mehr über den Schutz von Z als Z Experten?

Wer weiß mehr über den Schutz von Z als Z Experten? Werden Sie jetzt Teil Ihrer Z Security Community!

Siehe Produktdetails zu IBM Z Multi-Factor Authentication – Aktualisiert für V2.0

IBM Z Multi-Factor Authentication – Features/Funktionen

Erweiterung auf z/VM-Betriebssysteme (neu in 2.1)

Die meisten Funktionen, die auf z/OS unterstützt werden, funktionieren auch auf z/VM – mit nur einer Lizenz. Bestellen Sie über ShopZ, rufen Sie beide Betriebssysteme ab, wählen Sie das Betriebssystem aus, das installiert werden soll, und nutzen Sie die vorhandene MFA-Infrastruktur.

Schutz über die z/OS-Sysplex-Grenzen hinaus (neu in 2.1)

Erstellung sicherer Berechtigungsnachweise, die innerhalb und außerhalb eines Sysplex-Clusters, in dem der Berechtigungsnachweis generiert wurde, genutzt werden können. Dies vereinfacht MFA-Konfigurationen in großen, komplexen Umgebungen.

Erweiterungen für RACF mit Prüfung und Bereitstellung

Führen Sie Faktorerweiterungen für Komponenten von Befehlen, die sich auf IBM RACF®-Benutzer beziehen, ein. Erweiterung von SAF-Programmierschnittstellen (Security Authorization Facility), um unterstützte Tokens während Benutzerauthentifizierungsanforderungen zu definieren. So können über MFA-fähige Anwendungen neben RACF-Kennwörtern oder -Phrasen weitere Faktoren angegeben werden. Mit Befehlen, die sich auf RACF-Benutzer beziehen, können Sie Erweiterungen prüfen und MFA-Tokens bereitstellen und definieren.

RADIUS-Unterstützung: RSA, Gemalto und generisch

Verwenden Sie einen beliebigen Faktor, der auf dem RADIUS-Standardprotokoll basiert, über das IBM Z MFA RADIUS-Gateway. Unterstützen Sie RSA SecurID-Tokens mit zeitbasierten Algorithmen, Hard-Tokens oder softwarebasierten Tokens. RSA SecureID- und Gemalto SafeNet-Implementierungen ermöglichen leistungsfähigeres und differenzierteres Messaging.

IBM CIV-Integration

Zusätzlich zur vorhandenen Faktorunterstützung umfasst IBM Z MFA die Integration von IBM Cloud Identity Verify (CIV) über das CIV-RADIUS-Gateway und den generischen RADIUS-Protokollfaktor von IBM Z MFA. Die CIV-Integration unterstützt die Inband-Verbundauthentifizierung, bei der das CIV-generierte OTP mit einem RACF-Kennwort oder einer Kennwortphrase verwendet werden kann.

IBM TouchToken und generisches TOTP

Mit IBM TouchToken kann die Benutzerauthentifizierung direkt unter z/OS ausgewertet werden. So wird sichergestellt, dass die Zwei-Faktor-Authentifizierung ohne zusätzliche Prüfung außerhalb der Plattform durchgeführt wird. Die generische TOTP-Unterstützung umfasst generische TOTP-Tokenanwendungen, einschließlich standardkonformer TOTP-Anwendungen von Drittanbietern auf Android- und Microsoft Windows-Geräten.

Verbundauthentifizierung

Die Durchsetzung der Verbundauthentifizierung ist erforderlich, wenn für den Authentifizierungsprozess mehr als ein Faktor erforderlich ist. Bei der Inband-Verbundauthentifizierung ist es erforderlich, dass der Benutzer einen RACF-Berechtigungsnachweis (Kennwort oder Kennwortphrase) in Verbindung mit einem gültigen MFA-Berechtigungsnachweis bereitstellt.

Zentralisierte RACF-Datenbankunterstützung

Speichern Sie Authentifizierungsdaten in der RACF-Datenbank, definieren und ändern Sie MFA-Daten mithilfe von RACF-Befehlen und entladen Sie MFA-Felder mit nicht vertraulichen Daten in der RACF-Datenbank mit dem Dienstprogramm DBUNLOAD. Die RACF-Aktivierung bei z/OS® Security Server besteht aus Aktualisierungen in der RACF-Datenbank, RACF-Befehlen, aufrufbaren Services, Anmeldeprozessverarbeitung und RACF-Dienstprogrammen.

IBM ISAM-Integration

Initiieren Sie die Authentifizierung über IBM Security Access Manager (ISAM) mithilfe des „Pick-up One-Time Passcode (OTP)“-Verfahrens. Verwenden Sie das OTP anstelle des Kennworts, wenn Sie sich bei z/OS anmelden. Die ISAM-Integration unterstützt die Inband-Verbundauthentifizierung, bei der das ISAM-generierte OTP mit dem RACF-Kennwort oder der Kennwortphrase des Benutzers verwendet werden kann.

Native Yubico-Unterstützung

Verwenden Sie eine Vielzahl von Yubikey-Geräten, die den Yubico OTP-Algorithmus unterstützen. Für IBM Z MFA ist kein externer Authentifizierungsserver erforderlich. Alle OTP-Bewertungen werden über die von IBM Z MFA gestartete Task auf dem z/OS-System durchgeführt.

Zertifikatbasierte Authentifizierung, PIV, CAC-Kartenunterstützung

Legen Sie die Basis für die Unterstützung eines zertifikatbasierten Authentifizierungssystems fest. Aktivieren Sie die Authentifizierung für PIV (Personal Identity Verification) und CAC (Common Access Card) Smartcards, die häufig in Bundesbehörden verwendet werden.

Fehlertoleranz und Anwendungsausnahmen

Schließen Sie Anwendungen mit Authentifizierungseigenschaften, die eine korrekte Funktionsweise von MFA verhindern können, von der MFA-Verarbeitung aus. Definieren Sie SAF-Profile, die bestimmte Anwendungen markieren, die aus MFA ausgeschlossen sind, und ermöglichen Sie einem Benutzer die Anmeldung an dieser Anwendung per Kennwort, Kennwortphrase oder PassTicket. Nutzen Sie umgekehrt SAF-Profile, um Einschlussrichtlinien zu erstellen, die die Einbeziehung ausgewählter Benutzer und Anwendungen in MFA vereinfachen.

Technische Details

Technische Spezifikationen

Voraussetzungen für IBM Z MFA:

  • z/OS V2.2 Security Server RACF 2.2 oder höher mit PTFs für MFA-Unterstützung

Softwarevoraussetzungen

IBM Z MFA erfordert:

  • RSA Authentication Manager 8.1 für die Nutzung von RSA SecurID
  • Die SafeNet-Unterstützung erfolgt durch Zugriff auf einen externen Gemalto SafeNet Authentication Service Server.
  • Web-Browser: TLS 1.2-Sitzung möglich; Einsatz von lokalen Smartcard-Treibern, wenn Smartcards verwendet werden
  • Die generische RADIUS-Unterstützung erfolgt durch Zugriff auf einen externen Server, der das RADIUS-PAP-Protokoll unterstützt.
  • Lokale ISAM-Instanz V9.0.6 oder Zugriff auf eine CIV-Instanz, wenn diese Form der Unterstützung verwendet wird
  • Tokens, die mit den von IBM Z MFA unterstützten Faktoren oder ISAM kompatibel sind

Hardwarevoraussetzungen

Für IBM Z MFA ist einer der folgenden Server aus der Z-Produktfamilie erforderlich:

  • IBM z14
  • IBM z13
  • IBM z13s
  • IBM zEnterprise EC12 (zEC12)
  • IBM zEnterprise BC12 (zBC12)

Sie interessieren sich vielleicht auch für

IBM Security Access Manager

IBM Security Access Manager (ISAM) unterstützt Sie dabei, den Benutzerzugriff zu vereinfachen und gleichzeitig Web-, Mobil-, IoT- und Cloud-Technologien mit mehr Sicherheit zu nutzen. Die Lösung kann in einer On-Premises-Umgebung, in einer virtuellen Appliance oder Hardware-Appliance oder in einem Container mit Docker implementiert werden. Mit ISAM erreichen Sie die richtige Balance von Benutzerfreundlichkeit und Sicherheit durch die Nutzung von Funktionen für risikobasierten Zugriff, Single Sign-on, integrierte Zugriffsmanagementkontrolle, Identitätsföderation und Mehrfaktorauthentifizierung auf Mobilgeräten. Mit IBM Security Access Manager gewinnen Sie die Kontrolle über das Zugriffsmanagement zurück.

IBM Cloud Identity

IBM Cloud Identity unterstützt die sichere Benutzerproduktivität bei cloudbasiertem Single Sign-On (SSO), Mehrfaktorauthentifizierung und Lebenszyklusmanagement. Mit tausenden vordefinierten Connectors können Sie innerhalb kürzester Zeit Zugriff auf populäre SaaS-Apps und vorgefertigte Vorlagen ermöglichen, um interne Apps integrieren zu können.

IBM Security zSecure Admin

Automatisieren und vereinfachen Sie die Verwaltung von Sicherheit und Compliance in RACF.