多因子认证 (MFA)
多重身份验证(MFA)要求在登录时提供两个或更多身份验证因素,以验证用户的身份。 每个认证因子必须来自单独的凭证类型类别: 您知道的内容,您拥有的内容以及您所拥有的内容。 IBM® Multi-Factor Authentication for z/OS® ( IBM MFA) 使 CICS® 能够使用多种验证因素进行验证。
- 你知道的东西
- 例如,密码或安全问题。
- 您拥有的内容
- 例如,物理访问控制,例如标识标记或密码令牌设备。
- 你的东西
- 例如,指纹或其他生物特征数据。
要查看哪些 CICS 访问方法支持 MFA ,请参阅 我可以使用哪种认证方法?。
为什么使用 MFA?
MFA 比单因子认证更安全,因为如果发现其中一个因子,它不会受到损害。 尽可能使用 MFA,尤其是保护对高价值数据或敏感数据的访问。 在需要不可抵赖性时,也应使用 MFA。 需要 MFA 才能符合许多安全标准,例如 PCI DSS (支付卡行业数据安全标准)。
IBM Multi-Factor Authentication for z/OS ( IBM MFA)
IBM Multi-Factor Authentication for z/OS ( IBM MFA) 支持使用多种验证因素进行验证。 您可以为 RACF® 用户配置配置文件,要求通过 IBM MFA 进行身份验证。 RACF 在登录处理过程中,调用 MFA 来帮助做出身份验证决定。 IBM 有关 MFA 的概述,请参阅 z/OS Security Server RACF Security Administrator's Guide 中的 Multi-Factor Authentication for z/OS。
CICS 基于会话的登录界面支持 MFA 令牌:CESN、CESL、CICSPlex® SM WUI 和 CICS Explorer®。
- 频带内认证
- 您可以使用其中一个 IBM MFA 选项来生成令牌,并直接使用该令牌来登录。 如果可以输入为单个字符串,那么 CICS 支持频带内 MFA 令牌。图 1 展示了使用 MFA 解决方案(如 RSA SecurID: )进行的带内身份验证。
- 用户使用用户 ID 和 RSA SecurID 令牌和 PIN® 登录。
- CICS 调用 RACF 来认证此信息。
- 当 RACF 确定用户是 MFA 用户时, RACF 将调用 RACF MFA 服务器。
- RACF MFA 服务器调用 RACF 以检索用户的 MFA 因子详细信息。
- RACF MFA 服务器通过调用 RSA 服务器来验证用户的认证因子。
- MFA 服务器将返回码传递回 RACF。
- RACF 将返回码传递回 CICS。
- 用户已认证或被拒绝。
图 1。 MFA 频带内认证 
- 频带外认证
- 允许您使用一个或多个因子在特定于用户的 Web 页面上进行认证,可以按顺序进行认证,以获取用于登录的一次性令牌。 CICS 支持频带外 MFA 令牌。图 2 说明频带外认证:
- 用户通过 RACF MFA Web 服务器进行预先认证。
- RACF MFA Web 服务器调用 RACF MFA 服务器,该服务器将预认证记录存储在会话高速缓存中。
- RACF MFA Web 服务器返回一次性密码 (OTP)。
- 用户使用用户 ID 和 OTP 登录
- CICS 调用 RACF 来认证此信息。
- 当 RACF 确定用户是 MFA 用户时, RACF 将调用 RACF MFA 服务器。
- RACF MFA 服务器调用 RACF 以检索用户的 MFA 因子详细信息。
- RACF MFA 服务器通过检查会话高速缓存来验证用户的认证因子。
- MFA 服务器将返回码传递回 RACF。
- RACF 将返回码传递回 CICS。
- 用户已认证或被拒绝。
为复合带内 MFA 终端登录配置 RACF
复合带内认证要求用户在终端登录时提供多重认证令牌以及现有密码或短语。 如果用户的现有凭证已过期,系统通常会提示他们输入新的密码或短语。 再次尝试登录,但失败,因为提供的 MFA 令牌已被首次登录尝试使用。
为了让 MFA 用户能够成功登录并更改过期的凭据,您需要在 RACF 中激活 IDTDATA 类。 可以使用以下命令完成此操作;
SETROPTS CLASSACT(IDTDATA)
当您想要更改生成的IDT的默认行为时,只需在类中创建更多配置文件即可。 这些IDT仅供 CICS 内部使用,无需签名。
有关配置 IDT 的更多信息,请参阅 RDEFINE(定义通用资源配置文件) 的 IDTPARMS 部分或在 RACROUTE REQUEST=VERIFY 和 initACEE 中激活和使用 IDTA 参数。