Home Z software Z security Multi_Factor Authentication Funzioni
Migliora la protezione degli accessi in tutta l'azienda con utente mainframe esteso e autenticazione token
Provalo
motivo a griglia di punti su sfondo scuro
Funzioni IBM Z Multi-Factor Authentication 2.2

IBM Z Multi-Factor Authentication (MFA) 2.2 migliora le modalità di autenticazione e il supporto per rafforzare la sicurezza aziendale.

 PAM (Pluggable Authentication Module)

Grazie a questi moduli da utilizzare con Linux su architettura Z, gli amministratori delle distribuzioni Linux supportate possono configurare applicazioni Linux compatibili con PAM in modo tale da richiedere agli utenti di soddisfare un criterio MFA prima che venga concesso l'accesso all'applicazione.

 Opzione di configurazione MFA per richiedere che i client browser che ricevono credenziali di token della cache mascherino la visualizzazione di tali credenziali

La nuova opzione di configurazione viene utilizzata in combinazione con nuove risorse server per rispettare questa impostazione nelle interfacce utente IBM Z MFA per l'autenticazione basata su criteri web su z/OS e Linux.

 Configurazione di istanze multiple di fattori MFA selezionati

Gli amministratori su IBM z/OS sono ora in grado di configurare istanze multiple di fattori MFA selezionati, fornendo così una maggiore flessibilità quando un singolo database z/OS ESM (External Security Manager) supporta comunità eterogenee di utenti tenant.

 Comando "Modifica della console"

Il nuovo comando "Modifica della console" può essere utilizzato per forzare l'invalidazione di tutte le credenziali di token della cache attualmente presenti nella cache IBM Z MFA per un determinato ID utente (solo z/OS).

 

 Supporto per l'autenticazione RSA SecurID

Il supporto per l'autenticazione RSA SecurID su z/OS e Linux è fornito per mezzo dell'API REST RSA.

 

 Reimpostazione password ESM basata sul web

La reimpostazione della password basata sul web può essere abilitata per gli utenti che hanno dimenticato la password ESM ma che sono in grado di autenticarsi con un criterio IBM Z MFA (solo z/OS).

 Documentazione e supporto formale per l'utilizzo della politica di autenticazione da parte del cliente

È ora disponibile un supporto formale per le interfacce web su z/OS e Linux, in precedenza interne e non documentate.
Confronta le funzioni z/OS con z/VM e Linux su Z

Tutte le versioni di IBM Z MFA proteggono gli accessi utente a z/OS, utilizzando parti eseguite su z/OS. IBM Z MFA 2.1 ha introdotto la protezione per gli accessi utente a z/VM. IBM Z MFA 2.2 è in grado di proteggere le applicazioni Linux su z/Architecture che supportano il framework PAM (Pluggable Authentication Module), utilizzando i moduli PAM eseguiti su Linux.

IBM Z MFA 2.2 supporta molti tipi di autenticazione e funzioni di integrazione. Un elenco parziale delle funzioni e delle integrazioni supportate è riportato nella seguente tabella.

  • Gli elenchi con un asterisco (*) indicano nuove funzioni nella versione 2.2.
  • Gli elenchi con due asterischi (**) indicano tipi di autenticazione valutati direttamente all'interno di IBM Z MFA senza l'uso di un servizio di rete esterno. Consentono l'uso di password per un solo accesso e basate sull'orario.
Funzioni di autenticazione
 

z/OS

z/VM e Linux su Z

Diversi tipi di autenticazione*

 

No

RFA SecurID con HTTPS REST API*


 

RSA SecurID con RADIUS PAP

RSA SecurID con ACEv5 UDP

TOTPs**

RADIUS PAP generico via UDP

RADIUS PAP generico via TCP

Funzioni aggiuntive

Utilizza la maggior parte delle funzioni supportate in z/OS su z/VM con un'unica licenza. Ordina tramite ShopZ, ottieni entrambi i sistemi operativi, scegli quale installare e utilizza la tua attuale infrastruttura MFA.

Semplifica le configurazioni MFA in ambienti di grandi dimensioni con la versione 2.1, che supporta la generazione di credenziali sicure da utilizzare sia all'interno che all'esterno del sysplex in cui è stata generata la credenziale.

Introduci estensioni dei fattori ai componenti dei comandi IBM RACF, ACF2 e TopSecret relativi agli utenti. Estendi le interfacce di programmazione SAF (Security Authorization Facility) per definire i token supportati durante le richieste di autenticazione utente, consentendo alle applicazioni MFA-aware di specificare fattori in aggiunta alle password o alle frasi RACF, ACF2 e TopSecret. Verifica le estensioni e il provisioning e definisci i token MFA tramite i comandi RACF, ACF2 e TopSecret relativi agli utenti.

Utilizza qualsiasi fattore basato sul protocollo standard RADIUS attraverso il gateway IBM Z MFA RADIUS. Supporta RSA SecurID Token, con algoritmo a tempo, token hardware o token basati su software. Le implementazioni RSA SecureID e Gemalto SafeNet offrono una messaggistica più affidabile e granulare.

Oltre al supporto dei fattori esistenti, IBM Z MFA include l'integrazione IBM Cloud Identity Verify (CIV) tramite il gateway CIV RADIUS e il fattore di protocollo RADIUS generico IBM Z MFA. L'integrazione CIV supporta l'autenticazione composta in-band, in cui l'OTP generato dal CIV può essere utilizzato con una password o una frase di password RACF.

IBM TouchToken consente di valutare l'autenticazione utente direttamente su z/OS per garantire un mezzo di autenticazione a due fattori senza ulteriori convalide al di fuori della piattaforma. Il supporto TOTP generico include applicazioni token TOTP generiche, comprese applicazioni di terze parti TOTP conformi agli standard su dispositivi Android e Microsoft Windows.

Implementa un'autenticazione composta, in cui viene richiesto più di un fattore nella procedura di autenticazione. L'autenticazione composta in-band richiede all'utente di fornire una credenziale RACF (password o frase di password) insieme a una credenziale MFA valida.

Memorizza i dati di autenticazione nel database RACF, ACF2 o TopSecret, definisci e modifica i dati MFA con i comandi RACF, ACF2 o TopSecret e scarica i campi MFA non sensibili nel database con l'utility DBUNLOAD. L'abilitazione di z/OS Security Server RACF, ACF2 e TopSecret comprende aggiornamenti del database, comandi, servizi richiamabili, elaborazione degli accessi e utility.

Avvia l'autenticazione con IBM Security Access Manager (ISAM) mediante la procedura "Scegli un codice di accesso unico (OTP)". L'OTP viene utilizzato al posto della password quando si accede a z/OS. L'integrazione CIV supporta l'autenticazione composta in-band, in cui l'OTP generato da ISAM può essere utilizzato insieme alla password o alla frase di password RACF dell'utente.

Utilizza una serie di dispositivi Yubikey che supportano l'algoritmo Yubico OTP. IBM Z MFA non richiede un server di autenticazione esterno e l'intera valutazione OTP viene eseguita sul sistema z/OS dall'attività avviata IBM Z MFA.

Stabilisci le basi per il supporto di qualsiasi sistema di autenticazione basato su certificati. Consenti l'autenticazione per le smart card PIV (Personal Identity Verification) e CAC (Common Access Card), comunemente utilizzate nel governo federale.

Abilita l'elaborazione esente da autenticazione a più fattori per le applicazioni con proprietà di autenticazione che potrebbero impedire il corretto funzionamento dell'MFA. Definisci i profili SAF che contrassegneranno alcune applicazioni come escluse dall'MFA e consenti a un utente di accedere all'applicazione con una password, una frase di password o un PassTicket. Viceversa, utilizza i profili SAF per creare politiche di inclusione che agevolino l'adozione dell'MFA per utenti e applicazioni selezionati.
Fai il passo successivo
 

Contattaci per discutere i tuoi requisiti di IBM Z Multi-Factor Authentication e per ottenere informazioni sui prezzi. Prova il prodotto prima di acquistarlo.

 Provalo
Risorse degli esperti per il successo Comunità Documentazione del prodotto