Verbessern Sie die Anmeldesicherheit in Ihrem Unternehmen mit erweiterter Mainframe-Benutzer- und Tokenauthentifizierung
IBM Z Multi-Factor Authentication (MFA) 2.2 verbessert die Authentifizierungsmodi und die Unterstützung, um die Sicherheit Ihres Unternehmens zu stärken.
Mit diesen Modulen für die Verwendung mit Linux auf der Z-Architektur können Administratoren von unterstützten Linux-Distributionen PAM-kompatible Linux-Anwendungen so konfigurieren, dass Benutzer eine MFA-Richtlinie erfüllen müssen, bevor der Zugriff auf die Anwendung gewährt wird.
Die neue Konfigurationsoption wird in Kombination mit neuen Serverressourcen verwendet, um diese Einstellung in IBM Z MFA-Benutzeroberflächen für die webbasierte Richtlinienauthentifizierung auf z/OS und Linux zu berücksichtigen.
Administratoren auf IBM z/OS können jetzt mehrere Instanzen ausgewählter MFA-Faktoren konfigurieren, was die Flexibilität erhöht, wenn eine einzige z/OS External Security Manager (ESM)-Datenbank verteilte Tenant-Benutzergemeinschaften unterstützt.
Mit dem neuen Befehl „Console Modify“ können Sie die Inaktivierung aller Cache-Token-Anmeldeinformationen erzwingen, die sich derzeit im IBM Z MFA-Cache für eine bestimmte Benutzer-ID befinden (nur z/OS).
Unterstützung für die RSA SecurID-Authentifizierung auf z/OS und Linux wird über die RSA REST API bereitgestellt.
Die webbasierte Passwortrücksetzung kann für Benutzer aktiviert werden, die ihr ESM-Passwort vergessen haben, sich aber erfolgreich bei einer IBM Z MFA-Richtlinie (nur z/OS) authentifizieren können.
Für Webschnittstellen auf z/OS und Linux, die bisher intern und undokumentiert waren, gibt es jetzt formale Unterstützung.
Alle Versionen von IBM Z MFA sichern Benutzeranmeldungen auf z/OS, indem sie Teile verwenden, die auf z/OS laufen. IBM Z MFA 2.1 hat einen Schutz für Benutzeranmeldungen bei z/VM eingeführt. IBM Z MFA 2.2 kann Anwendungen der Linux on Z-Architektur schützen, die das PAM-Framework (Pluggable Authentication Module) unterstützen, indem es PAM-Module verwendet, die auf Linux laufen.
IBM Z MFA 2.2 unterstützt viele Authentifizierungsarten und Integrationsmerkmale. Eine unvollständige Liste der unterstützten Funktionen und Integrationen finden Sie in der folgenden Tabelle.
- Auflistungen mit einem Sternchen (*) weisen auf neue Funktionen in Version 2.2 hin.
- Auflistungen mit zwei Sternchen (**) weisen auf Authentifizierungsarten hin, die direkt innerhalb von IBM Z MFA ohne Verwendung eines externen Netzwerkdienstes ausgewertet werden. Sie erlauben zeitbasierte Einmal-Passwörter.
z/OS
z/VM und Linux auf Z
Mehrere Authentifizierungstypen*
Ja
Nein
RFA SecurID mit HTTPS REST API*
Ja
Ja
RSA SecurID mit RADIUS PAP
Ja
Ja
RSA SecurID mit ACEv5 UDP
Ja
Ja
TOTPs**
Ja
Ja
Generisches RADIUS PAP von UDP
Ja
Ja
Generisches RADIUS PAP von TCP
Ja
Ja
Zusatzfunktionen
Nutzen Sie die meisten Funktionen, die von z/OS auf z/VM unterstützt werden, mit nur einer Lizenz. Bestellen Sie über ShopZ, erhalten Sie beide Betriebssysteme, wählen Sie, welches Sie installieren möchten, und nutzen Sie Ihre bestehende MFA-Infrastruktur.
Vereinfachen Sie MFA-Konfigurationen in großen Umgebungen mit Version 2.1, die die Erstellung sicherer Berechtigungsnachweise unterstützt, die sowohl innerhalb als auch außerhalb der Grenzen des Sysplex, in dem der Berechtigungsnachweis erstellt wurde, verwendet werden können.
Einführung von Faktorerweiterungen für Komponenten von IBM RACF®, ACF2 und benutzerbezogenen TopSecret-Befehlen. Erweitern Sie die Programmierschnittstellen der Security Authorization Facility (SAF), um unterstützte Token bei Benutzerauthentifizierungsanfragen zu definieren. So können MFA-fähige Anwendungen zusätzlich zu den RACF-, ACF2- und TopSecret-Passwörtern oder -Phrasen weitere Faktoren angeben. Audit-Erweiterungen und Bereitstellung und Definition von MFA-Tokens mit Hilfe von RACF-, ACF2- und TopSecret-Befehlen für Benutzer.
Verwenden Sie einen beliebigen Faktor, der auf dem RADIUS-Standardprotokoll basiert, über das IBM Z MFA RADIUS-Gateway. Unterstützt RSA SecurID Token, mit zeitbasiertem Algorithmus, Hard Token oder Software-basierten Token. Die Implementierungen von RSA SecureID und Gemalto SafeNet bieten eine robustere und differenziertere Nachrichtenübermittlung.
Zusätzlich zur bestehenden Faktorunterstützung umfasst IBM Z MFA die Integration von IBM Cloud Identity Verify (CIV) über das CIV RADIUS-Gateway und den generischen IBM Z MFA RADIUS-Protokollfaktor. Die CIV-Integration unterstützt eine zusammengesetzte In-Band-Authentifizierung, bei der das von CIV generierte OTP mit einem RACF-Passwort oder einer Passwortphrase verwendet werden kann.
Mit IBM TouchToken kann die Benutzerauthentifizierung direkt auf z/OS ausgewertet werden, um eine Zwei-Faktor-Authentifizierung ohne zusätzliche plattformfremde Validierung zu gewährleisten. Die generische TOTP-Unterstützung umfasst generische TOTP-Token-Anwendungen, einschließlich standardkompatibler TOTP-Anwendungen von Drittanbietern auf Android- und Microsoft Windows-Geräten.
Erzwingen Sie eine zusammengesetzte Authentifizierung, bei der mehr als ein Faktor für den Authentifizierungsprozess erforderlich ist. Bei der kombinierten In-Band-Authentifizierung muss der Benutzer eine RACF-Berechtigung (Passwort oder Passwortphrase) in Verbindung mit einer gültigen MFA-Berechtigung angeben.
Speichern Sie Authentifizierungsdaten in der RACF-, ACF2- oder TopSecret-Datenbank, definieren und ändern Sie MFA-Daten mit RACF-, ACF2- oder TopSecret-Befehlen und entladen Sie nicht sensible MFA-Felder in der Datenbank mit dem Dienstprogramm DBUNLOAD. Die Aktivierung von z/OS Security Server RACF, ACF2 und TopSecret besteht aus Aktualisierungen der Datenbank, Befehlen, aufrufbaren Diensten, Anmeldeverarbeitung und Dienstprogrammen.
Starten Sie die Authentifizierung mit IBM Security Access Manager (ISAM), indem Sie das Verfahren „Pick a One-Time Passcode (OTP)“ verwenden. Der OTP wird bei der Anmeldung bei z/OS anstelle des Passworts verwendet. Die ISAM-Integration unterstützt eine zusammengesetzte In-Band-Authentifizierung, bei der der von ISAM generierte OTP in Verbindung mit dem RACF-Passwort oder der Passphrase des Benutzers verwendet werden kann.
Verwenden Sie eine Vielzahl von Yubikey-Geräten, die den Yubico OTP-Algorithmus unterstützen. IBM Z MFA erfordert keinen externen Authentifizierungsserver, und die gesamte OTP-Auswertung wird auf dem z/OS-System von der Aufgabe IBM Z MFA gestartet durchgeführt.
Schaffen Sie die Grundlage für die Unterstützung jedes zertifikatsbasierten Authentifizierungssystems. Ermöglicht die Authentifizierung für Personal Identity Verification (PIV) und Common Access Card (CAC) Smartcards, die in den Bundesbehörden häufig verwendet werden.
Aktivieren Sie die ausgenommene MFA-Verarbeitung für Anwendungen mit Authentifizierungseigenschaften, die ein ordnungsgemäßes Funktionieren von MFA verhindern können. Definieren Sie SAF-Profile, die bestimmte Anwendungen als von MFA ausgeschlossen markieren und es einem Benutzer erlauben, sich bei dieser Anwendung mit einem Passwort, einer Passwortphrase oder einem PassTicket anzumelden. Umgekehrt können Sie mit SAF-Profilen Einbeziehungsrichtlinien erstellen, um die Einführung von MFA für ausgewählte Benutzer und Anwendungen zu erleichtern.