スポットライト

監査とプロビジョニングでRACFの拡張

IBM RACFのユーザー関連コマンドのコンポーネントに要素の拡張を導入します。Security Authorization Facility(SAF)のプログラミング・インターフェースを拡張して、ユーザー認証要求中にサポートされたトークンを定義し、MFA認識型アプリケーションを有効にしてRACFのパスワードまたはフレーズに加えて要素を指定します。RACFのユーザー関連コマンドを使用して拡張を監査し、MFAトークンをプロビジョニングおよび定義します。

RACFデータベース・サポートの一元化

認証データをRACFデータベースに保管し、RACFコマンドによりRACF内のMFAデータの定義や変更を行い、DBUNLOADユーティリティーを使用して、RACFデータベース内の機密でないMFAフィールドをアンロードします。z/OSセキュリティー・サーバーのRACFイネーブルメントは、RACFデータベース、RACFコマンド、呼び出し可能サービス、ログオン・プロセス、およびRACFユーティリティーの更新から成ります。

RSA SecurIDおよびIBM TouchTokenサポート

時間ベースのアルゴリズム、ハードウェア・トークンあるいはソフトウェア・トークン、およびIBM TouchToken for Timed One Time use Password(TOTP)ジェネレーター(iOSで使用可能)・トークンにより、RSA SecurIDトークンをサポートします。IBM TouchTokenは、ユーザー認証をz/OS上で直接判定できるため、プラットフォーム外で要求される追加検証が不要で、2要素認証の実施手段を確保できます。

PIVカードとCACカードのサポート

連邦政府で通常使用されているPersonal Identity Verification(PIV)およびCommon Access Card(CAC)のスマート・カードの認証が可能になります。他の証明書ベースのスマート・カード認証トークンをサポートする基盤を確立します。

アプリケーション除外のサポート

MFAが正しく動作しないようにできる認証プロパティーで、アプリケーションのMFA処理を除外します。特定のアプリケーションにMFAから除外するというマーク付けをするSAFプロファイルを定義して、ユーザーが、パスワード、パスワード・フレーズ、またはパスチケットのいずれかでアプリケーションにログオンできるようにします。逆に、SAFプロファイルを使用して組み込みポリシーを作成し、選択されたユーザーやアプリケーションへのMFAの適用を容易にできます。

IBM Multi-Factor Authentication for z/OSの詳細

ソリューションの概要を読む

技術的詳細

ソフトウェア要件

IBM Multi-Factor Authentication for z/OSのソフトウェア要件は次のとおりです:

  • z/OS V2.1 with z/OS Security Server(APAR OA48359のPTF適用)
  • z/OS V2.2 with z/OS Security Server(APAR OA48359のPTF適用)
  • RSA SecurIDのRSA Authentication Manager 8.1活用

ハードウェア要件

IBM Multi-Factor Authentication for z/OSには、以下のいずれかのIBM Zシステムのサーバーが必要です:

  • z13またはz13s
  • zEnterprise EC12
  • zEnterprise BC12
  • zEnterprise 196
  • zEnterprise 114

技術仕様

IBM Multi-Factor Authentication for z/OSの前提条件は次のとおりです:

  • z/OS Security Server RACF(APAR OA48359用PTF適用)(使用可能な場合)
  • RSA SecurIDのRSA Authentication Manager 8.1活用