MFAの概要

オンライン編集

多要素認証(MFA)は、パスワード認証を拡張し、本人確認に使用される追加の認証要素を含みます。

統合MFA IBM i 統合 MFA ソリューションには、時間ベースのワンタイムパスワード(TOTP)キーが組み込まれており、このキーはユーザープロファイルに保存され、パスワードと同様にアーキテクチャで保護されている。 TOTPキーは、システム時刻とともに、TOTP値を生成するために使用される。 TOTP値は、認証時の追加要素として提示される。 IBM i 実装は、RFC 6238 -TOTP: 時間ベースのワンタイムパスワードアルゴリズムに基づいています。

実装は IBM i 実装は RFC 6238 に従っているため、PC アプリケーション、スマートフォンアプリケーショ ン、スマートウォッチアプリケーション、または物理トークンなど、標準規格に準拠した互換性のあ るクライアントアプリケーションであれば、TOTP 値の生成に使用することができます。 ユーザープロファイルと互換性のあるクライアントアプリケーションは、同じTOTPキーまたは共有シークレットを持っている必要があります。 クライアント・アプリケーションは、TOTP キーが設定された後、TOTP キーとデバイスの現在時刻に基づいて TOTP 値を生成する。 ユーザーは、システムへの認証時に、追加のサインオン要素として TOTP 値を入力する。 オペレーティングシステムは、ユーザーID、パスワード、TOTP値を同時に検証するため、多要素認証となる。

MFAの有効化

オペレーティング・システムと統合された IBM i オペレーティングシステムに統合された MFA ソリューションは、システムがセキュリティレベル(QSECURITY システム値)40 以上、パスワードレベル(QPWDLVL システム値)4 以上であることを要求する。

追加サインオン要素のセキュリティ属性がenabledに設定されている場合、システムでMFAが有効になります。 追加サインオン要素が有効になっている場合、一部のインタフェースでは、サインオンプロンプトに「ユーザー」フィールドと「パスワード」フィールドとともに「追加要素」フィールドが表示される。 これは、ユーザーが追加の要素を入力する必要があることを意味するものではない。 追加要素が必要とされるのは、ユーザーのプロファイルが変更された場合のみで、そうでない場合は追加要素は無視されます。 ユーザープロファイルの追加要素を有効にするには、ユーザーと管理者の両方からのアクションが必要です。 ユーザーがTOTP値を入力する頻度は設定可能である。

追加要素フィールドを持たないインターフェースでは、コロンを区切り文字として、追加要素の値をパスワードに追加する必要があります(password:additional_factor)。 システム管理者は、追加要素フィールドが提供されていないインターフェースのパスワードフィールドの使用方法について、ユーザーを教育しなければならない。

詳細については、 追加サインオン要因のセキュリティ属性を参照してください。

ユーザが TOTP 値を入力する必要がある場合、システム時刻とクライアント認証機アプリケーション時刻が数 秒以内に同期している必要がある。 ネットワーク・タイム・プロトコル(NTP)クライアントを使用すると、ネットワーク内の他のデバイスとシステム時刻を同期させることができます。 詳しくは、 ネットワークタイムプロトコル(NTP)の時刻同期を参照してください。

セキュリティ管理者は、各ユーザのMFA要件を有効にする際に、クライアント・アプリケーションのパスワード使用を考慮しなければならない。 最も難しいパスワードの使用例は以下の通り:
  • キャッシュされたパスワード
    • クライアント・アプリケーションは、ユーザーのパスワードを保存し、可変時間内に複数回、複数の接続を介してサーバーに認証を行う。 時間に敏感なTOTP要件は、これらのアプリケーションの認証を破壊する。 パスワードを保存する許可を求めるアプリケーションは特定できるが、暗黙のうちに保存しているアプリケーションはテストを通じて発見する必要がある。
    • アプリケーションは、認証のたびに認証情報の入力を促したり、追加の接続や認証をなくすように設計し直すことができる。
    • セキュリティ管理者は、TOTP値が要求される頻度を設定することで、パスワード・キャッシング・アプリケーションが個々のユーザ・プロファイルに対して機能するようにすることができる。
  • パスワード回避
    • アプリケーションのサーバー実装は、ユーザープロファイルのパスワードの必要性を回避する。 これは、パスワードに特別な値を許可するインターフェースで使用されるユーザー・プロファイルに対して、アプリケーション・プロファイルが権限を持っている場合に起こります。 アプリケーションは、ユーザプロファイルやパスワード( Kerberos など)とは無関係に認証を実行することができる。 パスワードを必要としないこのタイプの認証にユーザー・プロファイルを関連付けると、MFA要件に抵触する。
    • セキュリティ管理者は、QIBM_RUN_UNDER_USER_NO_AUTH ファンクション ID を使用して、この回避が許可されるかどうかを制御できます。

ホスト接続サーバー

ホスト接続サーバー(HCS)は、クライアントが様々なホストサーバーと認証セッションを確立することを可能にする。 HCSは、クライアントが1回認証した後、その認証されたセッションを使用して、再認証することなく他のホストサーバーに新しい接続を転送することを可能にする。 常にTOTP値を要求するように設定されたユーザーは、1回だけTOTP値を提供すればよく、何度も認証情報の入力を求める必要がなくなる。 IBM i Access Client Solutions (ACS)、 IBM Navigator for iDigital Certificate Manager (DCM)はHCSを使用するように変更された。 詳細については、 ホスト接続サーバーを参照してください。

QIBM_RUN_UNDER_USER_NO_AUTH 関数 ID

そのユーザープロファイルの権限のみに基づいて、別のユーザープロファイルとしてアクションを実行する機能を検討すべきである。 完全な MFA ソリューションを実現するためには、ユーザー・プロファイルに TOTP 値を要求し、さらにこのファンクション ID へのアクセスを制限することを推奨する。 統合された IBM i 統合された MFA TOTP の実装は、広く普及している既存の使用により、このパスワード回避を許可する。 ただし、認証なしのユーザーで実行(QIBM_RUN_UNDER_USER_NO_AUTH)関数IDを使用して、ユーザー・プロファイル認証情報を提供する必要性を回避するアプリケーションをブロックする必要があります。 セキュリティ監査は、ユーザーがファンクションIDへのアクセスを拒否された場合に、アクションが失敗するかどうかを判断するのに役立つ。 詳細については、 QIBM_RUN_UNDER_USER_NO_AUTH関数の使用IDを参照してください。
注: QIBM_RUN_UNDER_USER_NO_AUTHファンクションIDは、システム上でMFAが有効になっていること、または使用されていることを必要としません。

IBM 提供のユーザー・プロファイル

IBM®、"not changeable "を意味する"_NC "で終わる名前のユーザー・プロファイルが提供されている。 これらのユーザー・プロファイルは、_NCで終わらない名前の対応するユーザー・プロファイルと同じですが、変更することはできず、パスワードもありません。 これらのユーザー・プロファイルは、QIBM_RUN_UNDER_USER_NO_AUTHファンクションIDへのアクセスも拒否できません。 これらは、ジョブの投入時やプロファイル・ハンドルの取得時、あるいはサーバーが実行するユーザー・プロファイルなど、以前は_NC以外のユーザー・プロファイルが使用されていた場所で使用されます。 また、非_NCユーザー・プロファイルがQIBM_RUN_UNDER_USER_NO_AUTHファンクションIDへのアクセスを拒否された場合にも、アプリケーションによって使用されるべきです。
  • QPGMR_NC
  • QSECOFR_NC
  • QSYSOPR_NC
  • QUSER_NC

強化されたプロフィール・トークン

プロファイル・トークンを使用することで、セキュリティ保護が強化されます。 プロファイル・トークンが生成される際、アプリケーションを変更してこれらのパラメータを指定することで、検証 ID やリモート IP アドレスを指定できます。 成功させるには、一致する検証IDおよび/またはリモート・ポートもセット・リクエストで指定されなければならない。 これにより、プロファイル・トークンが悪用されないようにします。 詳細については、「 プロファイル・トークンのセキュリティ保護の強化 」を参照してください。
注: 拡張プロファイル・トークンは、システム上でMFAが有効になっていること、または使用されていることを必要としません。

単一認証終了ポイント QIBM_QSY_AUTH

独立系ソフトウェア・ベンダー(ISV)のセキュリティ・ソリューションは、多くの場合、オペレーティング・システムによって提供されるものに加えて、セキュリティ保護を実装するために、 IBM の出口に依存している。 QIBM_QSY_AUTH 終了ポイントは、該当する操作を実行するすべてのアプリケーションの認証処理中に、終了プログラムを呼び出す方法を提供します。 ユーザー・プロファイルが変更され、終了プログラムの呼び出しが必要になると、QIBM_QSY_AUTH終了ポイントの下で登録機能に登録された終了プログラムが呼び出されます。 終了プログラムには、追加の検証を行うために使用する情報が渡され、成功または失敗のインジケータを返すことができる。 終了プログラムに渡される情報の中には、アプリケーションが認証インターフ ェースへの呼び出し時に提供しなかった場合、空白になるものがある。 高権限ユーザーは、パスワードとTOTP値の提供を要求され、終了プログラムを呼び出される可能性がある。 終了プログラムは、続行するために指紋を必要とする携帯電話への帯域外プッシュ通知を生成することができる。 詳細については、 *REGFAC認証方式を参照のこと。
注: 認証終了ポイントQIBM_QSY_AUTHは、システム上でMFAが有効または使用されていることを必要としません。

アプリケーション開発者の考慮事項

ユーザ・パスワード・パラメータを持つシステム認証インタフェースの中には、別の 追加認証要素パラメータを持つものがある。 アプリケーションがユーザーに追加の認証プロンプトを公開すれば、ユーザー・エクスペリエンスは向上する。 これは、アプリケーションがAdditional sign-on factorセキュリティ属性が有効になっていると判断し、認証インタフェースで追加認証要素パラメータを使用することで実現できる。 認証インターフェースには IBM i 認証インターフェースには、QIBM_QSY_AUTH 終了プログラムに渡すか、拡張プロファイル・トークンを作成するために必要な追加情報を提供するためのパラメーターも含まれています。 QIBM_QSY_AUTH 終了プログラムは、アプリケーションが該当するインターフェイス呼び出しで追加情報を一貫して提供する場合に、より多くの情報を解析することができます。 しかし IBM i 統合MFAソリューションは、これらのパラメータを使用するためにアプリケーションを変更することなく機能する。 関連するパラメータを持つインターフェースの詳細については、 *REGFAC認証方法および拡張プロファイル・トークン・セキュリティ保護を参照してください。

サービスツールのサポート

システム・サービス・ツール(SST)と専用サービス・ツール(DST)は、オペレーティング・シ ステムの MFA サポートとは関係なく、個別の MFA TOTP キーの実装をサポートする。 SSTユーザーに設定されたTOTPキーは、ユーザー・プロファイルに設定されたTOTPキーとは何の関係もない。 IBM i 特に、リンクされたプロファイルを持つSSTユーザは、リンクされたプロファイルとTOTPキーを共有しない。 もう一つの違いは、SSTではTOTP値を提供する頻度を設定できないことで、パスワードが要求されるたびに要求される。 SST管理者は、オペレーティング・システム上でMFAを有効にしなくても、SSTのMFAを有効にすることができる。 詳細については、 サービスツールの多要素認証(MFA )を参照してください。