Autenticazione a più fattori (MFA)

L'autenticazione a più fattori (MFA) richiede la presentazione di due o più fattori di autenticazione durante l'accesso per verificare l'identità dell'utente. Ogni fattore di autenticazione deve appartenere a una categoria separata di tipi di credenziali: qualcosa che conosci, qualcosa che possiedi e qualcosa che sei. IBM® Multi-Factor Authentication for z/OS® ( IBM MFA) consente a CICS® di autenticarsi con più fattori di autenticazione.

I seguenti tipi di credenziali vengono utilizzati nell'autenticazione a più fattori:
Qualcosa che conosci
Ad esempio, una password o una domanda di sicurezza.
Qualcosa che hai
Ad esempio, un controllo di accesso fisico come un badge ID o un dispositivo token crittografico.
Qualcosa che sei
Ad esempio, un'impronta digitale o altri dati biometrici.

Per vedere qualeCICS i metodi di accesso supportano MFA, vedere Quale metodo di autenticazione posso utilizzare con quale metodo di accesso? .

Perché utilizzare l'MFA?

L'autenticazione a più fattori è più sicura dell'autenticazione a fattore singolo perché non viene compromessa se viene scoperto uno dei fattori. Utilizzare l'MFA ogni volta che è possibile, in particolare per proteggere l'accesso a dati di alto valore o sensibili. L'MFA dovrebbe essere utilizzato anche quando è richiesto il non ripudio. L'AMF è necessaria per la conformità con molti standard di sicurezza, come PCI DSS (Payment Card Industry Data Security Standard).

IBMMulti-Factor Authentication for z/OS (IBM MAE)

IBM Multi-Factor Authentication for z/OS ( IBM MFA) supporta l'autenticazione con più fattori di autenticazione. È possibile configurare i profili degli utenti di RACF® in modo che richiedano l'autenticazione tramite IBM MFA. RACF chiama IBM MFA per aiutare a prendere la decisione di autenticazione durante l'elaborazione dell'accesso. Per una panoramica sull'MFA, consultare Multi-Factor Authentication for z/OS in z/OS Security Server RACF Security Administrator's Guide.

I token MFA sono supportati nelle interfacce di accesso basate su sessione di CICS : CESN, CESL, CICSPlex® SM WUI e CICS Explorer®.

Esistono due modi per utilizzare l'AMF:
Autenticazione in banda
Generi un token utilizzando uno dei fileIBM opzioni MFA e utilizzare direttamente il token per accedere. CICS supporta i token MFA in banda se possono essere immessi come una stringa di caratteri singoli.
Figura 1 illustra l'autenticazione in banda con una soluzione MFA, come RSASecurID:
  1. L'utente accede con un ID utente e un token e PIN® RSA SecurID.
  2. CICS chiamateRACF per autenticare queste informazioni.
  3. QuandoRACF determina che l'utente è un utente MFA,RACF chiama ilRACF server MFA.
  4. ILRACF Chiamate al server MFARACF per recuperare i dettagli del fattore MFA dell'utente.
  5. ILRACF Il server MFA convalida i fattori di autenticazione dell'utente chiamando il server RSA.
  6. Il server MFA restituisce un codice di ritorno aRACF .
  7. RACF restituisce il codice di ritorno aCICS .
  8. L'utente è autenticato o rifiutato.
Figura 1. Autenticazione in banda MFA
Autenticazione in banda MFA
Autenticazione fuori banda
Ti consente di autenticarti su una pagina web specifica dell'utente con uno o più fattori, possibilmente in sequenza per ottenere un token monouso che utilizzerai per accedere. CICS supporta token MFA fuori banda.
figura 2 illustra l'autenticazione fuori banda:
  1. L'utente si pre-autentica tramite ilRACF Server Web dell'AMF.
  2. ILRACF Il server Web MFA chiama il fileRACF Server MFA, che memorizza il record di pre-autenticazione in una cache di sessione.
  3. ILRACF Il server Web MFA restituisce un codice di accesso monouso (OTP).
  4. L'utente accede con un ID utente e l'OTP
  5. CICS chiamateRACF per autenticare queste informazioni.
  6. QuandoRACF determina che l'utente è un utente MFA,RACF chiama ilRACF server MFA.
  7. ILRACF Chiamate al server MFARACF per recuperare i dettagli del fattore MFA dell'utente.
  8. ILRACF Il server MFA convalida i fattori di autenticazione dell'utente controllando la cache della sessione.
  9. Il server MFA restituisce un codice di ritorno aRACF .
  10. RACF restituisce il codice di ritorno aCICS .
  11. L'utente è autenticato o rifiutato.
Figura 2. Autenticazione fuori banda MFA
Autenticazione fuori banda MFA

Configurazione di RACF per l'accesso al terminale MFA composto in-band

L'autenticazione composta in-band richiede che l'utente fornisca un token MFA insieme alla propria password o frase esistente quando si accede a un terminale. Se le credenziali esistenti dell'utente sono scadute, in genere viene richiesto di inserire una nuova password o frase. Si tenta nuovamente l'accesso, che non riesce perché il token MFA fornito è già stato utilizzato dal tentativo di accesso iniziale.

Per consentire agli utenti MFA di accedere con successo e modificare le credenziali scadute, è necessario attivare la classe IDTDATA in RACF. Questo può essere fatto utilizzando il seguente comando;

SETROPTS CLASSACT(IDTDATA)

È necessario creare altri profili all'interno della classe solo quando si desidera modificare il comportamento predefinito degli IDT generati. Questi IDT sono utilizzati solo internamente da CICS e non devono essere firmati.

Per ulteriori informazioni sulla configurazione degli IDT, vedere la sezione IDTPARMS di RDEFINE (Definizione del profilo generale delle risorse) o l' attivazione e l'uso del parametro IDTA in RACROUTE REQUEST=VERIFY e initACEE.