主页 Z 软件 Z 安全性 Multi_Factor Authentication 功能
通过扩展的大型机用户和令牌认证,增强整个企业的登录安全性
试用
深色背景上小圆点的网格图案
IBM Z® Multi-Factor Authentication 2.2 功能

IBM Z Multi-Factor Authentication (MFA) 2.2 可增强认证模式和支持,从而提升企业安全性。

可插入的认证模块

通过将这些模块与 Linux on Z 架构搭配使用,受支持 Linux 发行版的管理员可配置与 PAM 兼容的 Linux 应用程序,以要求用户在授予对应用程序的访问权限之前先满足 MFA 策略。

提供 MFA 配置选项,用于请求浏览器客户端在接收高速缓存令牌凭证时,对此类凭证的显示设置掩码

新的配置选项可与新的服务器资源结合使用,以在 IBM Z MFA 用户界面中遵循此设置,从而在 z/OS 和 Linux 上实现基于 Web 的策略认证。

对选定 MFA 因子的多个实例进行配置

IBM z/OS 上的管理员现在可配置选定 MFA 因子的多个实例,以便在单个 z/OS 外部安全管理器 (ESM) 数据库支持不同租户用户社区时提供更高灵活性。

“控制台修改”命令

新的“控制台修改”命令可将给定用户 ID(仅限 z/OS)的对应 IBM Z MFA 高速缓存中当前存在的所有高速缓存令牌凭证强制失效。

 

支持 RSA SecurID 认证

对 z/OS 和 Linux 上 RSA SecurID 认证的支持将通过 RSA REST API 提供。

 

基于 Web 的 ESM 密码重置

对于忘记 ESM 密码但能成功通过 IBM Z MFA 策略(仅限 z/OS)进行认证的用户,可启用基于 Web 的密码重置功能。

为客户使用策略认证提供文档和正式支持

现在,已为先前未记录的内部 z/OS 和 Linux 上的 Web 界面提供正式支持。

比较 z/OS® 与 z/VM® 和 Linux® on Z 的功能

所有版本的 IBM Z MFA 均使用 z/OS 上运行的部件来保护 z/OS 用户登录。IBM Z MFA 2.1 已引入对 z/VM 用户登录的保护。IBM Z MFA 2.2 可使用 Linux 上运行的 PAM 模块对支持可插拔认证模块 (PAM) 框架的 Linux on Z 架构应用程序提供保护。

IBM Z MFA 2.2 支持多种认证类型和集成功能。下表列出了部分支持的功能和集成。

  • 带一个星号 (*) 的列表项表示 2.2 版中的新功能。
  • 带两个星号 (**) 的列表项表示直接在 IBM Z MFA 中评估的认证类型,而未使用外部网络服务。它们支持基于时间的一次性密码。
认证功能
 

z/OS

z/VM 和 Linux on Z

多个认证类型*

 

带 HTTPS REST API 的 RFA SecurID*


 

带 RADIUS PAP 的 RSA SecurID

带 ACEv5 UDP 的 RSA SecurID

TOTP**

针对 UDP 的通用 RADIUS PAP

针对 TCP 的通用 RADIUS PAP

附加功能

通过一个许可证即可使用 z/OS 和 z/VM 上支持的大多数功能。通过 ShopZ 订购来获取两个操作系统,选择要安装的操作系统,并可使用现有 MFA 基础架构。

使用 2.1 版简化大型环境中的 MFA 配置,且该版本支持生成安全的凭证,而这些凭证可在生成它们的综合系统边界内外进行使用。

为 IBM RACF®、ACF2 和 TopSecret 用户相关命令的组件引入因子扩展。扩展安全许可设施 (SAF) 编程接口,以在用户认证请求期间定义支持的令牌,从而允许 MFA 感知应用程序指定除 RACF、ACF2 和 TopSecret 密码或短语之外的其他因子。审核扩展,并使用 RACF、ACF2 和 TopSecret 用户相关命令来预配和定义 MFA 令牌。

通过 IBM Z MFA RADIUS 网关使用基于 RADIUS 标准协议的任意因子。支持 RSA SecurID 令牌,其中附带基于时间的算法、硬令牌或基于软件的令牌。RSA SecureID 和 Gemalto SafeNet 实例可提供更强大、更精细的消息传递方法。

除现有因子支持外,IBM Z MFA 还包括使用 CIV RADIUS 网关和 IBM Z MFA 通用 RADIUS 协议因子的 IBM Cloud Identity (CIV) 集成。CIV 集成支持复合带内认证,而其中 CIV 生成的 OTP 可与 RACF 密码或密码短语搭配使用。

IBM TouchToken 支持在 z/OS 上直接评估用户认证,以确保无需额外平台外验证即可强制执行双因子认证。通用 TOTP 支持包括通用 TOTP 令牌应用程序,其中包含 Android 和 Microsoft Windows 设备上符合标准的 TOTP 第三方应用程序。

强制执行复合认证,即在认证过程中需针对多个因子进行认证。复合带内认证要求用户提供 RACF 凭证(密码或密码短语)以及有效的 MFA 凭证。

将认证数据存储在 RACF、ACF2 或 TopSecret 数据库中,使用 RACF、ACF2 或 TopSecret 命令定义和更改 MFA 数据,并使用 DBUNLOAD 实用程序来卸载数据库中的非敏感 MFA 字段。z/OS Security Server RACF、ACF2 和 TopSecret 启用操作包括更新数据库、命令、可调用服务、登录处理功能和实用程序。

通过使用“选择一次性密码 (OTP) 过程”,从而借助 IBM Security Access Manager (ISAM) 来启动认证。登录到 z/OS 时使用 OTP,而不是密码。ISAM 集成支持复合带内认证,其中 ISAM 生成的 OTP 可与用户的 RACF 密码或密码短语结合使用。

使用支持 Yubico OTP 算法的各种 Yubikey 设备。IBM Z MFA 无需借助外部认证服务器,且所有 OTP 评估均由 IBM Z MFA 启动的任务在 z/OS 系统上完成。

为支持基于证书的任意认证系统奠定基础。为联邦政府常用的个人身份验证 (PIV) 和通用访问卡 (CAC) 智能卡启用认证。

为具有可能阻止 MFA 正常运行的认证属性的应用程序启用 MFA 豁免处理。定义 SAF 配置文件,以将某些应用程序标记为“已从 MFA 中排除”,同时允许用户使用密码、密码短语或 PassTicket 登录该应用程序。相反,还可使用 SAF 配置文件来创建包含策略,以便为选定的用户和应用程序轻松采用 MFA。

采取下一步行动
 

联系我们,探讨您的 IBM Z Multi-Factor Authentication 需求,并获取定价信息。购买前先试用该产品。

试用
专家资源助您取得成功 社区 产品文档