IBM Z Multi-Factor Authentication(MFA) 2.2는 인증 모드와 지원을 개선하여 엔터프라이즈 보안을 강화합니다.
지원되는 Linux 배포판의 관리자는 Linux on Z 아키텍처에서 이러한 모듈을 사용하여 사용자가 애플리케이션에 대한 액세스 권한을 부여받기 전에 MFA 정책을 충족하도록 PAM 호환 Linux 애플리케이션을 구성할 수 있습니다.
새로운 구성 옵션은 새로운 서버 리소스와 함께 사용되며, z/OS 및 Linux의 웹 기반 정책 인증을 위한 IBM Z MFA 사용자 인터페이스에서 이 설정을 준수합니다.
IBM z/OS의 관리자는 선택한 MFA 요소의 여러 인스턴스를 구성할 수 있으므로, 단일 z/OS 외부 보안 관리자(ESM) 데이터베이스가 서로 다른 테넌트 사용자 커뮤니티를 지원할 때 뛰어난 유연성을 발휘할 수 있습니다.
새로운 "Console Modify" 명령을 사용하면 특정 사용자 ID에 대해 현재 IBM Z MFA 캐시에 있는 모든 캐시 토큰 자격 증명을 강제로 무효화할 수 있습니다(z/OS만 해당).
z/OS 및 Linux에서 RSA SecurID 인증에 대한 지원은 RSA REST API를 통해 제공됩니다.
웹 기반 비밀번호 재설정은 ESM 비밀번호를 잊었지만 IBM Z MFA 정책에 성공적으로 인증할 수 있는 사용자를 위해 활성화할 수 있습니다(z/OS만 해당).
이제 이전에 내부에서만 사용되고 문서화되지 않았던 z/OS 및 Linux의 웹 인터페이스에 대한 공식적인 지원이 제공됩니다.
모든 버전의 IBM Z MFA는 z/OS에서 실행되는 부분을 사용하여 z/OS에 대한 사용자 로그인을 보호합니다. IBM Z MFA 2.1은 z/VM 사용자 로그인에 대한 보호 기능을 도입했습니다. IBM Z MFA 2.2는 Linux에서 실행되는 플러그형 인증 모듈(PAM)을 사용하여 PAM 프레임워크를 지원하는 Linux on Z 아키텍처 애플리케이션을 보호할 수 있습니다.IBM Z MFA 2.2는 다양한 인증 유형과 통합 기능을 지원합니다. 아래 표에는 지원되는 기능 및 통합의 일부 항목이 나와 있습니다.
- 한 개의 별표(*)가 있는 항목은 버전 2.2에 새로 추가된 기능을 나타냅니다.
- 두 개의 별표(**)가 있는 항목은 외부 네트워크 서비스를 사용하지 않고 IBM Z MFA 내에서 직접 평가된 인증 유형을 나타냅니다. 이 항목은 시간 기반 일회용 비밀번호를 허용합니다.
z/OS
z/VM 및 Linux on Z
다중 인증 유형*
예
No
HTTPS REST API를 사용하는 RFA SecurID*
예
예
RADIUS PAP를 사용하는 RSA SecurID
예
예
ACEv5 UDP를 사용하는 RSA SecurID
예
예
TOTP**
예
예
UDP를 통한 일반 RADIUS PAP
예
예
TCP를 통한 일반 RADIUS PAP
예
예
추가 기능
하나의 라이센스로 z/OS에서 지원하는 대부분의 기능을 z/VM에서 그대로 사용할 수 있습니다. ShopZ에서 주문하여 두 운영 체제를 모두 받고, 설치할 운영 체제를 선택한 후 기존 MFA 인프라를 사용하세요.
버전 2.1을 사용하여 대규모 환경에서 MFA 구성을 간소화합니다. 버전 2.1에서는 보안 자격 증명을 생성한 후 자격 증명이 생성된 Sysplex의 경계 안팎 모두에서 사용할 수 있습니다.
IBM RACF®, ACF2 및 TopSecret 사용자 관련 명령의 구성 요소에 요소 확장을 도입합니다. 사용자 인증 요청 시 지원되는 토큰을 정의하기 위해 SAF(System Authorization Facility) 프로그래밍 인터페이스를 확장하여, MFA 인식 애플리케이션이 RACF, ACF2 및 TopSecret 비밀번호 또는 문구 이외의 요소를 지정할 수 있도록 지원합니다. 확장 기능을 감사하고 RACF, ACF2 및 TopSecret 사용자 관련 명령을 사용하여 MFA 토큰을 프로비저닝하고 정의합니다.
IBM Z MFA RADIUS 게이트웨이를 통해 RADIUS 표준 프로토콜에 기반한 모든 요소를 사용할 수 있습니다. RSA SecurID 토큰(시간 기반 알고리즘), 하드 토큰 또는 소프트웨어 기반 토큰을 지원합니다. RSA SecureID 및 Gemalto SafeNet 구현이 더욱 강력하고 세분화된 메시징을 제공합니다.
기존 요소에 대한 지원 외에도, IBM Z MFA에는 CIV RADIUS 게이트웨이와 IBM Z MFA 일반 RADIUS 프로토콜 요소를 사용하는 IBM Cloud Identity Verify(CIV) 통합이 포함되어 있습니다. CIV 통합은 복합 대역 내 인증을 지원하므로, CIV에서 생성된 OTP를 RACF 비밀번호 또는 비밀번호 문구와 함께 사용할 수 있습니다.
IBM TouchToken을 사용하면 z/OS에서 사용자 인증을 직접 평가할 수 있으므로, 추가적인 플랫폼 외부 검증 없이 2단계 인증을 적용할 수 있습니다. 일반 TOTP 지원에는 Android 및 Microsoft Windows 디바이스의 표준 호환 TOTP 타사 애플리케이션을 비롯한 일반 TOTP 토큰 애플리케이션이 포함됩니다.
인증 프로세스에 두 개 이상의 요소가 필요한 복합 인증을 적용합니다. 복합 대역 내 인증의 경우 사용자가 RACF 자격 증명(비밀번호 또는 비밀번호 문구)과 함께 유효한 MFA 자격 증명을 제공해야 합니다.
인증 데이터를 RACF, ACF2 또는 TopSecret 데이터베이스에 저장하고, RACF, ACF2 또는 TopSecret 명령으로 MFA 데이터를 정의 및 변경하고, DBUNLOAD 유틸리티를 사용하여 데이터베이스에서 중요하지 않은 MFA 필드를 언로드할 수 있습니다. z/OS Security Server RACF, ACF2 및 TopSecret 구현은 데이터베이스, 명령, 호출 가능 서비스, 로그인 처리 및 유틸리티에 대한 업데이트로 구성됩니다.
"일회성 비밀번호(OTP) 절차 선택"을 사용하여 IBM Security Access Manager(ISAM)로 인증을 시작합니다. OTP는 z/OS에 로그인할 때 비밀번호 대신 사용됩니다. ISAM 통합은 복합 대역 내 인증을 지원하므로, ISAM에서 생성된 OTP를 사용자의 RACF 비밀번호 또는 비밀번호 문구와 함께 사용할 수 있습니다.
Yubico OTP 알고리즘을 지원하는 다양한 Yubikey 디바이스를 사용할 수 있습니다. IBM Z MFA에는 외부 인증 서버가 필요하지 않으며, 모든 OTP 평가는 IBM Z MFA 시작 작업을 통해 z/OS 시스템에서 수행됩니다.
인증서 기반 인증 시스템을 지원하기 위한 기반을 구축합니다. 연방 정부에서 일반적으로 사용하는 PIV(Personal Identity Verification) 및 CAC(Common Access Card) 스마트 카드에 대한 인증을 활성화합니다.
MFA의 올바른 동작을 방해하는 인증 속성이 있는 애플리케이션에 대해 MFA 처리 제외를 적용합니다. SAF 프로필을 정의하여 특정 애플리케이션을 MFA에서 제외된 것으로 표시하고, 사용자가 비밀번호, 비밀번호 문구 또는 PassTicket을 사용하여 해당 애플리케이션에 로그인할 수 있도록 허용합니다. 반대로, SAF 프로필에서 포함 정책을 만들어 특정 사용자 및 애플리케이션에 대한 MFA 채택을 용이하게 할 수도 있습니다.