谁能比 Z 系统开发人员更懂如何保护 Z 系统?

请参阅 IBM Z Multi-Factor Authentication 的产品详细信息 - V2.0 的更新内容

IBM Z Multi-Factor Authentication 功能

跨 z/VM 操作系统进行扩展(2.1 中的新增功能)

z/OS 上支持的大多数功能都使用同一个许可证在 z/VM 上工作。通过 ShopZ 进行订购,获取两个操作系统,选择要安装的操作系统,并使用现有的 MFA 基础架构。

在 z/OS 综合系统边界外提供保护(2.1 中的新增功能)

支持生成可在生成凭证的综合系统的边界内外使用的安全凭证。这简化了大型环境中的 MFA 配置。

通过审计和配置扩展 RACF

为与 IBM RACF® 用户相关的命令组件提供因子扩展。扩展安全性授权工具 (SAF) 编程接口,用于在处理用户认证请求期间定义受支持的令牌,使 MFA 感知应用程序能够指定 RACF 密码或口令以及其他因子。使用 RACF 用户相关的命令,审计扩展和配置并定义 MFA 令牌。

RADIUS 支持:RSA、Gemalto 和通用

通过 IBM Z MFA RADIUS 网关,使用任何基于 RADIUS 标准协议的因子。支持 RSA SecurID 令牌(采用基于时间的算法)、硬令牌或基于软件的令牌。RSA SecureID 和 Gemalf SafeNet 实现提供了更强大且更精细的消息传递功能。

IBM CIV 集成

除了现有因子支持外,IBM Z MFA 还包含使用 CIV RADIUS 网关的 IBM Cloud Identity Verify (CIV) 集成以及 IBM Z MFA 通用 RADIUS 协议因子。CIV 集成支持组合频带内认证,这种认证会将 CIV 生成的 OTP 与 RACF 密码或口令结合使用。

IBM TouchToken 和通用 TOTP

IBM TouchToken 支持在 z/OS 上直接评估用户认证,以确保在不进行额外平台外验证的情况下实施双因子认证。通用 TOTP 支持包含一些通用 TOTP 令牌应用程序,其中包括 Android 和 Microsoft Windows 设备上符合标准的 TOTP 第三方应用程序。

组合认证

实施组合认证,即在认证过程中需要多个因子。组合频带内认证要求用户提供 RACF 凭证(密码或口令)和有效的 MFA 凭证。

集中 RACF 数据库支持

在 RACF 数据库中存储认证数据,使用 RACF 命令来定义和更改 MFA 数据,并使用 DBUNLOAD 实用程序在 RACF 数据库中卸载非敏感 MFA 字段。z/OS® Security Server RACF 支持包括对 RACF 数据库、RACF 命令、可调用服务、登录处理和 RACF 实用程序的更新。

IBM ISAM 集成

使用“提取一次性通行码 (OTP) 过程”,通过 IBM Security Access Manager (ISAM) 启动认证。在登录到 z/OS 时,将使用 OTP,而不是使用密码。ISAM 集成支持组合频带内认证,这种认证会将 ISAM 生成的 OTP 与用户的 RACF 密码或口令结合使用

本机 Yubico 支持

使用各种支持 Yubico OTP 算法的 Yubikey 设备。IBM Z MFA 不需要外部认证服务器,并且所有 OTP 评估都由 IBM Z MFA 启动任务在 z/OS 系统上执行。

基于证书的认证、PIV 和 CAC 卡支持

建立基础以支持任何基于证书的认证系统。启用对联邦政府中常用的个人身份验证 (PIV) 和公共访问卡 (CAC) 智能卡的认证。

容错和应用程序豁免

具有可防止 MFA 正常工作之认证属性的应用可免除 MFA 处理。定义 SAF 配置文件,将某些应用标记为“免除 MFA 处理”,并支持用户使用密码、密码短语或 PassTicket 登录应用。反过来,使用 SAF 配置文件来创建包含策略,以便针对已选定的用户和应用轻松实施 MFA。

技术详细信息

技术规范

IBM Z MFA 的先决条件:

  • z/OS V2.2 Security Server RACF 2.2 或更高版本,带有用于 MFA 支持的 PTF

软件需求

IBM Z MFA 需要:

  • 针对 RSA SecurID 开发的 RSA Authentication Manager 8.1
  • 对于 SafeNet 支持,访问外部 Gemalto SafeNet 认证服务服务器
  • Web 浏览器:支持 TLS 1.2 会话;如果使用了智能卡,请在安装了本地智能卡驱动程序的情况下运行
  • 对于通用 RADIUS 支持,访问支持 RADIUS PAP 协议的外部服务器。
  • 本地 ISAM 实例 V9.0.6;如果使用此支持,请访问 CIV 实例
  • 与 IBM Z MFA 支持因子或 ISAM 兼容的令牌

硬件需求

IBM Z MFA 需要使用以下 Z 系列服务器之一:

  • IBM z14
  • IBM z13
  • IBM z13s
  • IBM zEnterprise EC12 (zEC12)
  • IBM zEnterprise BC12 (zBC12)

您可能还对以下内容感兴趣

IBM Security Access Manager

IBM Security Access Manager 可帮助您简化用户访问流程,同时更安全地部署 Web、移动、物联网和云端技术。它可以部署在本地、虚拟或硬件设备中,或者使用 Docker 实现容器化。ISAM 通过使用基于风险的访问控制、单点登录、一站式访问管理控制、身份联合以及移动多因子认证,可帮助您在可用性和安全性之间取得平衡。IBM Security Access Manager 能帮您夺回对访问管理的控制权。

IBM Cloud Identity

IBM Cloud Identity 通过云交付的单点登录 (SSO)、多因子认证和生命周期管理为用户生产力保驾护航。它随附了数千个预先构建的连接器以帮助您快速访问流行的 SaaS 应用程序,并附带了一些预先构建的模板以帮助集成内部应用程序。

IBM Security zSecure Admin

自动化并简化 RACF 安全性和合规性管理。