主な機能
拡張されたメインフレームのユーザー認証とトークン認証により、企業全体のログインセキュリティを強化
お試しください
暗い背景にドットのグリッドパターン
IBM Z Multi-Factor Authentication 2.2の特長

IBM Z Multi-Factor Authentication (MFA) 2.2 は、認証モードとサポートを強化し、企業のセキュリティを強化します。

交換可能な認証モジュール

z/Architecture 上の Linux で使用するこれらのモジュールにより、サポート対象の Linux ディストリビューションの管理者は、PAM 互換の Linux アプリケーションを構成して、アプリケーションへのアクセスが許可される前にユーザーに対して MFA ポリシーを満たすよう要求できます。

キャッシュトークンの認証情報を受け取るブラウザクライアントに対してそのような認証情報を非表示にするよう要求するMFA設定オプション

この新しい構成オプションは、新しいサーバー情報と組み合わせて使用され、z/OSおよびLinux上のウェブベースポリシー認証用IBM Z MFAユーザーインタフェースでこの設定に対応します。

選択した MFA 要素の複数のインスタンスの構成

IBM z/OSの管理者が、選択したMFA要素の複数のインスタンスを構成できるようになり、単独z/OS外部セキュリティマネージャー(ESM)データベースが、異種のテナント・ユーザー・コミュニティをサポートする際の柔軟性が向上しました。

「Console Modify」コマンド

新しい「Console Modify」コマンドを使用して、任意のユーザー IDについて、IBM Z MFA キャッシュにあるすべてのキャッシュトークン資格情報を強制的に無効にできます(z/OS のみ)。

 

RSA セキュリティーID認証のサポート

RSA REST API がz/OS および Linux での RSA SecurID 認証サポートを提供します。

 

ウェブベースのESMパスワードリセット

ウェブベースのパスワード・リセットは、ESM パスワードを忘れた場合でも IBM Z MFA ポリシーで正常に認証できるユーザーに対して有効にするものです(z/OS のみ)。

ポリシー認証の顧客使用に関するドキュメントと正式なサポート

z/OS および Linux 上のウェブインターフェースで、以前は内部で文書化されていなかったウェブインターフェースが正式にサポートされるようになりました。

Z/OS®、z/VM®、Linux® on Zの機能の比較

IBM Z MFA のすべてのバージョンは、z/OS 上で稼働する部分を使用し、z/OS へのセキュアなユーザー・ログインを行います。IBM Z MFA 2.1 では、z/VM へのユーザーログインに対する保護を導入しました。IBM Z MFA 2.2では、Linux 上で稼働する PAM モジュールを使用して、プラグ可能認証モジュール (PAM) フレームワークをサポートする Linux on Z Architectureアプリケーションを保護できます。

IBM Z MFA 2.2は、多くの認証タイプと統合機能をサポートしています。サポートされている機能および統合の一部を以下の表にまとめています。

  • 1 つのアスタリスク(*)が付いた項目は、バージョン 2.2 の新機能を表します。
  • 2 つのアスタリスク(**)が付いた項目は、外部のネットワーク・サービスを使用せずに IBM Z MFA 内で直接評価される認証タイプを表します。この認証では時間ベースのワンタイムパスワードを許可します。
認証機能
 

z/OS

z/VM および Linux on Z

複数の認証タイプ*

 

はい

なし

RFA SecurID with HTTPS REST API*

あり

はい

 

RSA SecurID with RADIUS PAP

はい

はい

RSA SecurID with ACEv5 UDP

はい

はい

TOTPs**

はい

はい

Generic RADIUS PAP by UDP

はい

はい

Generic RADIUS PAP by TCP

はい

はい

追加機能

z/VM上のz/OS サポートされているほとんどの機能を、1 つのライセンスで一挙に使用できます。ShopZを通じて注文し、両方のオペレーティングシステムを入手し、どちらをインストールするかを選択して、既存のMFAインフラストラクチャを使用できます。

バージョン 2.1では、大規模環境でのMFAの構成を簡素化でき、資格情報が生成されたシスプレックス境界の内外で使用可能な、セキュアな資格情報の生成をサポートしています。

IBM RACF®、ACF2、TopSecret ユーザー関連コマンドのコンポーネントにファクター拡張を導入します。セキュリティー許可機能(SAF)プログラミング・インターフェースを拡張して、ユーザー認証要求時にサポートされるトークンを定義し、MFAに対応したアプリケーションがRACF、ACF2、TopSecretのパスワードまたはフレーズに加えて要素を指定できるようにします。拡張機能を監査し、RACF、ACF2、および TopSecret ユーザーに関連付けられたコマンドを使用して、MFAトークンをプロビジョニングおよび定義できます。

IBM Z MFA RADIUS ゲートウェイを介したRADIUS標準プロトコルに基づくどの要素も使用できます。RSA SecurIDトークンの時間ベースのアルゴリズム、ハードトークン、またはソフトウェアベースのトークンをサポートします。RSA SecureIDおよびGemalto SafeNet実装で、より確実で精密なメッセージングを提供します。

既存のファクターのサポートに加え、IBM Z MFAでは、CIV RADIUS ゲートウェイおよび IBM Z MFA一般RADIUSプロトコル・ファクターを使用した、IBM Cloud Identity Verify(CIV)統合が含まれています。CIV統合では複合インバンド認証をサポートしており、CIVが生成したOTPをRACF パスワードまたはパスワード・フレーズと合わせて使用できます。

IBM TouchTokenでは、ユーザー認証をz/OS上で直接評価して、プラットフォーム外での追加の検証なしで2要素認証を強制する手段を確保できます。一般TOTPのサポートには、標準に準拠したAndroidおよびMicrosoft Windowsデバイス上のTOTP サードパーティアプリケーション等の、一般TOTPトークンアプリケーションが含まれます。

認証プロセスで複数のファクターを要求する、複合認証を強制できます。複合インバンド認証では、ユーザーに対して有効なMFA資格情報と共にRACF資格情報(パスワードまたはパスワード・フレーズ)の提供を求めます。

RACF、ACF2、またはTopSecretデータベース内への認証データの保管、RACF、ACF2、またはTopSecretコマンドを使用したMFAデータの定義および変更、そしてDBUNLOADユーティリティーを使用したデータベース内の機密性の低いMFAフィールドのアンロードができます。z/OS セキュリティー・サーバー RACF、ACF2、および TopSecret有効化は、データベース、コマンド、呼び出し可能サービス、ログイン処理、およびユーティリティーの更新からなります。

「ワンタイム・パスコード (OTP) の選択」手順で、IBM Security Access Manager(ISAM)による認証を開始できます。OTPは、z/OS へのログイン時にパスワードの代わりとして使用します。ISAM 統合では複合インバンド認証をサポートしており、ISAM 生成の OTP をユーザーの RACF パスワードまたはパスフレーズと組み合わせて使用できます。

Yubico OTPアルゴリズムをサポートするさまざまなYubikeyデバイスを使用できます。IBM Z MFAは外部認証サーバーを必要とせず、IBM Z MFAが開始したタスクがすべてのOTP評価をz/OSシステム上で実行します。

証明書ベースの認証システムをサポートするための基盤を確立できます。米国の政府機関で一般的に使用される個人ID検証 (PIV)および共通アクセスカード(CAC)スマートカードによる認証を有効にできます。

MFAの正常な動作を妨げかねない認証プロパティのあるアプリケーションに対しては、MFA除外処理を有効にできます。特定アプリケーションをMFAから除外済みとしてマークし、ユーザーがパスワード、パスワード・フレーズ、またはPassTicketを使用してそのアプリケーションにログインできるようにSAFプロファイルを定義します。逆に、SAF プロファイルを使用して包含ポリシーを作成し、特定ユーザーとアプリケーションに対するMFAの導入を円滑にします。

次のステップ
 

IBM Z Multi-Factor Authenticationの要件についての話し合い、および料金体系の情報についてはお問い合わせください。購入前にぜひ製品をお試しください

お試しください
専門家による成功に役立つ参考情報はこちら コミュニティー 製品ドキュメント