*REGFAC認証方式
REGFAC認証方法の主な目的は、追加の認証要件を容易にすることである。
*REGFAC 認証メソッドは、認証処理中に終了ポイント QIBM_QSY_AUTH で登録された終了プログラムを呼び出します。 追加認証終了プログラム 」を参照のこと。 終了プログラムは、認証に成功した後に呼び出される。 認証に失敗した場合は呼び出されない。
終了プログラムは、追加認証を行う唯一の責任を負う。 終了プログラムによって認証が実行されず、*REGFAC が唯一の認証方法である場合、これは MFA 保護にはならない。 管理者は、登録された退団プログラムの有効性を監視するために細心の注意を払うべきである。
従来、認証とはパスワードを検証することと考えられてきた。 この終了プログラムは、さらに多くのケースで呼び出される。 例えば、パスワードが特殊な値の場合。
パスワードやTOTP値を必要としない Kerberos、SSHを使用した認証は、 Kerberos、SSH認証にユーザープロファイルを関連付けるために使用されるインターフェイスを介して、間接的に終了プログラムを呼び出します。
オペレーティングシステムは、認証に関連する終了プログラム情報を与える。 終了プログラムには、情報を検証し、認証の合否を決定する値をオペレーティング・システムに返す機能がある。
REGFAC認証方式は、*TOTP認証方式とともに使用することも、独立して使用することもできる。 単独で使用される場合、追加係数フィールドに入力された値が終了プログラムに渡される。 これは、追加的な検証を実行するために終了プログラムによって使用される可能性がある。 TOTP認証方法とともに使用される場合、終了プログラムに渡される追加要素フィールドは空白になる。
- サインオン
- プロフィールハンドルAPIコールの取得
- Set Profile Handle API 呼び出しは、プロファイルハンドルを使用します。 しかし、認証が行われるのはgetコールのときだけだ。 終了プログラムがハンドルの作成を許可すれば、そのハンドルを使用するセットは許可される。
- プロファイルトークンAPIコールの生成
- Set to Profile Token APIコールは、プロファイルトークンを使用します。 しかし、認証は生成コールで行われる。 終了プログラムがトークンの生成を許可した場合、生成とセットで拡張プロファイルトークン情報が一致すれば、トークンを使用するセットは許可される。
- NetServer リモートファイルアクセス
| オリジナルAPI | 追加情報パラメータを持つAPI |
|---|---|
| QSYGETPH | QSYGETPH, すべてのオプションパラメータ付き |
| QsyGetProfileHandle | QsyGetProfileHandle2 |
| QsyGetProfileHandleNoPwd | QsyGetProfileHandleNoPwd2 |
| QSYGENPT | QSYGENPT, すべてのオプションのパラメータ付き |
| QsyGenPrfTkn | QsyGenPrfTkn2 |
| QsyGenPrfTknE | QsyGenPrfTknE2 |