Características
Mejore la seguridad de inicio de sesión en toda la empresa con la autenticación ampliada de usuarios y tokens en el mainframe
Ver el seminario web Pruébelo
un patrón de cuadrícula de puntos sobre un fondo oscuro
Características de IBM® Z Multi-Factor Authentication 2.2

IBM Z Multi-Factor Authentication (MFA) 2.2 mejora los modos de autenticación y el soporte para reforzar la seguridad de su empresa.

Consulte los detalles de la mejora de la versión 2.2 Módulos de autenticación conectables

Con estos módulos para su uso con Linux en Z Architecture, los administradores de las distribuciones de Linux compatibles pueden configurar las aplicaciones de Linux compatibles con PAM para exigir que los usuarios cumplan una política de autenticación multifactor (MFA) antes de que se conceda el acceso a la aplicación.

Opción de configuración de MFA para solicitar a los clientes del navegador que reciben credenciales de token de la memoria caché que enmascaren la visualización de dichas credenciales

La nueva opción de configuración se utiliza en combinación con nuevos recursos de servidor para respetar esta configuración en las interfaces de usuario de IBM Z MFA para la autenticación de políticas basada en web en z/OS y Linux.

Configuración de múltiples instancias de determinados factores MFA

Ahora, los administradores de IBM z/OS pueden configurar varias instancias de determinados factores de MFA, lo que proporciona una mayor flexibilidad cuando una única base de datos del gestor de seguridad externa (ESM) de z/OS admite comunidades de usuarios de arrendatarios dispares.

Comando "Console Modify"

El nuevo comando "Console Modify" puede utilizarse para forzar la invalidación de todas las credenciales de token de caché actualmente en la caché de IBM Z MFA para un ID de usuario determinado (solo z/OS).

 

Compatibilidad con la autenticación de RSA SecurID

La compatibilidad con la autenticación RSA SecurID en z/OS y Linux se proporciona a través de la API REST de RSA.

 

Restablecimiento de la contraseña de ESM a través de internet

Se puede habilitar el restablecimiento de contraseña en línea para los usuarios que hayan olvidado su contraseña de ESM pero puedan autenticarse correctamente en una política de IBM Z MFA (solo z/OS).

Documentación y soporte oficial para el uso de políticas de autenticación por parte de los clientes

Ya está disponible el soporte formal para interfaces web en z/OS y Linux que antes eran internas y no documentadas.

Comparación de las características de z/OS® frente a z/VM® y Linux® en Z

Todas las versiones de IBM Z MFA aseguran los inicios de sesión de los usuarios en z/OS, utilizando partes que se ejecutan en z/OS. IBM Z MFA 2.1 introdujo protección para los inicios de sesión de los usuarios en z/VM. IBM Z MFA 2.2 puede proteger las aplicaciones de Linux en Z Architecture compatibles con el marco de trabajo del módulo de autenticación conectable (PAM), mediante módulos PAM que se ejecutan en Linux.

IBM Z MFA 2.2 admite muchos tipos de autenticación y funciones de integración. En la siguiente tabla se incluye una lista parcial de las funciones e integraciones compatibles.

  • Los términos con un asterisco (*) indican funciones nuevas en la versión 2.2.
  • Los términos con dos asteriscos (**) indican tipos de autenticación evaluados directamente dentro de IBM Z MFA sin el uso de un servicio de red externo. Permiten contraseñas de un solo uso basadas en el tiempo.
Características de autenticación
 

z/OS

z/VM y Linux en Z

Tipos de autenticación múltiple*

 

No

RFA SecurID con HTTPS REST API*.


 

RSA SecurID con RADIUS PAP

RSA SecurID con ACEv5 UDP

TOTP**

RADIUS PAP genérico por UDP

RADIUS PAP genérico por TCP

Funciones adicionales

Utilice la mayoría de las funciones compatibles con z/OS en z/VM con una sola licencia. Haga su pedido a través de ShopZ, obtenga ambos sistemas operativos, elija cuál instalar y utilice su infraestructura AMF existente.

Simplifique las configuraciones de MFA en entornos de gran tamaño con la versión 2.1, que admite la producción de credenciales seguras que pueden utilizarse tanto dentro como fuera de los límites del sysplex donde se generó la credencial.

Introduzca extensiones de factor en componentes de IBM® RACF, ACF2 y comandos relacionados con el usuario TopSecret. Amplíe las interfaces de programación de Security Authorization Facility (SAF) para definir tokens compatibles durante las solicitudes de autenticación de usuarios, lo que permite a las aplicaciones compatibles con MFA especificar factores además de contraseñas o frases de RACF, ACF2 y TopSecret. Auditoría de extensiones y provisión y definición de tokens MFA mediante comandos RACF, ACF2 y TopSecret relacionados con el usuario.

Utilice cualquier factor basado en el protocolo estándar RADIUS a través de la pasarela IBM Z MFA RADIUS. Compatible con RSA SecurID Token, con algoritmo basado en tiempo, token duro o token basado en software. Las implementaciones de RSA SecureID y Gemalto SafeNet ofrecen una mensajería más sólida y granular.

Además del soporte de factores existente, IBM Z MFA incluye la integración de IBM Cloud Identity Verify (CIV) mediante la pasarela CIV RADIUS y el factor de protocolo genérico RADIUS de IBM Z MFA. La integración de CIV admite la autenticación compuesta en banda, en la que la OTP generada por CIV puede utilizarse con una contraseña RACF o una frase de contraseña.

IBM TouchToken permite evaluar directamente la autenticación de usuarios en z/OS para garantizar un medio de aplicación de la autenticación de dos factores sin validación adicional fuera de la plataforma. La compatibilidad con TOTP genérico incluye aplicaciones de token TOTP genérico, incluidas aplicaciones de terceros TOTP compatibles con el estándar en dispositivos Android y Microsoft Windows.

Aplique la autenticación compuesta, en la que se requiere más de un factor en el proceso de autenticación. La autenticación compuesta en banda requiere que el usuario proporcione una credencial RACF (contraseña o frase de contraseña) junto con una credencial MFA válida.

Almacene datos de autenticación en la base de datos RACF, ACF2 o TopSecret, defina y altere datos MFA con comandos RACF, ACF2 o TopSecret, y descargue campos MFA no sensibles en la base de datos con la utilidad DBUNLOAD. La habilitación de z/OS Security Server RACF, ACF2 y TopSecret consiste en actualizaciones de la base de datos, comandos, servicios invocables, procesamiento de inicio de sesión y utilidades.

Inicie la autenticación con IBM Security Access Manager (ISAM) mediante el procedimiento "elegir un código de acceso de un solo uso (OTP)".El OTP se utiliza en lugar de la contraseña al iniciar sesión en z/OS. La integración de ISAM da soporte a la autenticación compuesta en banda, donde el OTP generado por ISAM se puede utilizar junto con la contraseña o frase de contraseña de RACF del usuario

Utilice una variedad de dispositivos de Yubikey que dan soporte al algoritmo OTP de Yubico. IBM Z MFA no requiere un servidor de autenticación externo, y toda la evaluación de OTP se realiza en el sistema z/OS mediante la tarea iniciada de IBM Z MFA.

Establezca la base para dar soporte a cualquier sistema de autenticación basado en certificados. Habilite la autenticación para tarjetas inteligentes de verificación de identidad personal (PIV) y de tarjeta de acceso común (CAC) utilizadas habitualmente en el gobierno federal.

Exima el procesamiento MFA para aplicaciones con propiedades de autenticación que pueden impedir que MFA funcione correctamente. Defina perfiles de SAF que marcarán determinadas aplicaciones como excluidas de MFA y permitirán al usuario iniciar sesión en dicha aplicación con contraseña, frase de contraseña o PassTicket. Por otro lado, puede utilizar perfiles SAF para crear políticas de inclusión que faciliten la adopción de MFA para aplicaciones y usuarios seleccionados.

De el siguiente paso

Póngase en contacto con nosotros para analizar sus requisitos de IBM Z Multi-Factor Authentication y obtener información sobre precios. Pruebe el producto antes de comprarlo.

Pruébelo
Recursos de expertos que le ayudarán a tener éxito Comunidad Documentación del producto