IBM Z Multi-Factor Authentication (MFA) 2.2 meningkatkan mode otentikasi dan dukungan untuk memperkuat keamanan perusahaan Anda.
Dengan modul ini untuk digunakan dengan Linux pada arsitektur Z, administrator distribusi Linux yang didukung dapat mengonfigurasi aplikasi Linux yang kompatibel dengan PAM untuk mengharuskan pengguna memenuhi kebijakan MFA sebelum akses ke aplikasi diberikan.
Opsi konfigurasi baru digunakan bersama dengan server baru sumber daya untuk menghormati pengaturan ini dalam antarmuka pengguna IBM Z MFA untuk otentikasi kebijakan berbasis web pada z/OS dan Linux.
Administrator di IBM Z/OS kini dapat mengonfigurasi beberapa contoh faktor MFA tertentu, yang memberikan peningkatan fleksibilitas ketika satu basis data manajer keamanan eksternal (ESM) z/OS mendukung komunitas pengguna penyewa yang berbeda.
Perintah "Console Modify" yang baru dapat digunakan untuk memaksa pembatalan semua kredensial token cache yang saat ini ada dalam cache IBM Z MFA untuk ID pengguna tertentu (hanya z/OS).
Dukungan untuk otentikasi RSA SecurID di z/OS dan Linux disediakan melalui RSA REST API.
Reset kata sandi berbasis web dapat diaktifkan untuk pengguna yang lupa kata sandi ESM mereka namun berhasil mengautentikasi ke Kebijakan IBM Z MFA (hanya z/OS).
Dukungan formal kini tersedia untuk antarmuka web di z/OS dan Linux yang sebelumnya bersifat internal dan tidak terdokumentasi.
Semua versi IBM Z MFA mengamankan login pengguna ke z/OS, menggunakan komponen yang berjalan di z/OS. IBM Z MFA 2.1 memperkenalkan perlindungan untuk login pengguna ke z/VM. IBM Z MFA 2.2 dapat melindungi aplikasi Linux pada Z Architecture yang mendukung kerangka kerja modul otentikasi pluggable (PAM), menggunakan modul PAM yang berjalan di Linux.
IBM Z MFA 2.2 mendukung banyak jenis otentikasi dan fitur integrasi. Sebagian daftar fitur dan integrasi yang didukung disertakan dalam tabel di bawah.
z/OS
z/VM dan Linux on Z
Beberapa jenis autentikasi*
Ya
Tidak
RFA SecurID dengan HTTPS REST API*
Ya
Ya
RSA SecurID dengan RADIUS PAP
Ya
Ya
RSA SecurID dengan ACEv5 UDP
Ya
Ya
TOTP**
Ya
Ya
RADIUS PAP Generik oleh UDP
Ya
Ya
Generic RADIUS PAP by TCP
Ya
Ya
Menggunakan sebagian besar fitur yang didukung di z/OS di z/VM, semuanya dalam satu lisensi. Memesan melalui ShopZ, mendapatkan kedua sistem operasi, memilih mana yang akan diinstal, dan menggunakan infrastruktur MFA Anda yang ada.
Menyederhanakan konfigurasi MFA di lingkungan besar dengan Versi 2.1, yang mendukung produksi kredensial aman yang dapat digunakan baik di dalam maupun di luar batas sysplex tempat kredensial tersebut dihasilkan.
Memperkenalkan ekstensi faktor ke komponen perintah terkait pengguna IBM RACF®, ACF2, dan TopSecret. Memperluas antarmuka pemrograman fasilitas Otorisasi Keamanan (SAF) untuk menentukan token yang didukung selama permintaan otentikasi pengguna, sehingga aplikasi yang mendukung MFA dapat menentukan faktor selain kata sandi atau frasa RACF, ACF2, dan TopSecret. Mengaudit ekstensi dan provisi serta menentukan token MFA menggunakan perintah terkait pengguna RACF, ACF2, dan TopSecret.
Menggunakan faktor apa pun berdasarkan protokol standar RADIUS melalui gateway IBM Z MFA RADIUS. Mendukung RSA SecurID Token, dengan algoritme berbasis waktu, token perangkat keras, atau token berbasis perangkat lunak. Implementasi RSA SecureID dan Gemalto SafeNet menawarkan pesan yang lebih kuat dan terperinci.
Selain dukungan faktor yang ada, IBM Z MFA mencakup integrasi IBM Cloud Identity Verify (CIV) menggunakan gateway CIV RADIUS dan faktor protokol RADIUS generik IBM Z MFA. Integrasi CIV mendukung otentikasi in-band gabungan, di mana OTP yang dihasilkan CIV dapat digunakan dengan kata sandi RACF atau frase kata sandi.
IBM TouchToken memungkinkan autentikasi pengguna untuk dievaluasi secara langsung di z/OS untuk memastikan sarana untuk menerapkan autentikasi dua faktor tanpa tambahan validasi di luar platform. Dukungan TOTP generik mencakup aplikasi token TOTP generik, termasuk aplikasi pihak ketiga TOTP yang memenuhi standar pada perangkat Android dan Microsoft Windows.
Menerapkan autentikasi majemuk, yang memerlukan lebih dari satu faktor dalam proses autentikasi. Otentikasi in-band gabungan mengharuskan pengguna untuk memberikan kredensial RACF (kata sandi atau frasa kata sandi) bersama dengan kredensial MFA yang valid.
Menyimpan data autentikasi di database RACF, ACF2 atau TopSecret, menentukan dan mengubah data MFA dengan perintah RACF, ACF2 atau TopSecret, dan membongkar bidang MFA yang tidak sensitif di database dengan utilitas DBUNLOAD. Pengaktifan z/OS Security Server RACF, ACF2, dan TopSecret terdiri dari pembaruan pada database, perintah, layanan yang dapat dipanggil, pemrosesan login, dan utilitas.
Memulai otentikasi dengan IBM Security Access Manager (ISAM) dengan menggunakan prosedur “pilih Kode Sandi Satu Kali (OTP).” OTP digunakan sebagai pengganti kata sandi saat masuk ke z/OS. Integrasi ISAM mendukung otentikasi in-band gabungan, di mana OTP yang dihasilkan ISAM dapat digunakan bersama dengan kata sandi atau frasa sandi RACF pengguna.
Menggunakan berbagai perangkat Yubikey yang mendukung algoritme Yubico OTP. IBM Z MFA tidak memerlukan server autentikasi eksternal, dan semua evaluasi OTP dilakukan pada sistem z/OS oleh tugas yang dimulai oleh IBM Z MFA.
Menetapkan landasan untuk mendukung sistem autentikasi berbasis sertifikat apa pun. Mengaktifkan autentikasi untuk kartu pintar Personal Identity Verification (PIV) dan Common Access Card (CAC) yang biasa digunakan di pemerintah federal.
Mengaktifkan pemrosesan MFA yang dikecualikan untuk aplikasi dengan properti autentikasi yang dapat mencegah MFA berfungsi dengan baik. Menentukan profil SAF yang akan menandai aplikasi tertentu sebagai dikecualikan dari MFA dan memungkinkan pengguna untuk masuk ke aplikasi tersebut dengan kata sandi, frasa kata sandi, atau PassTicket. Sebaliknya, menggunakan profil SAF untuk membuat kebijakan penyertaan guna memudahkan penerapan MFA bagi pengguna dan aplikasi tertentu.