IBM Z Multi-Factor Authentication

Для работы большинства компонентов, поддерживаемых в z/OS, в z/VM достаточно одной лицензии. Оформите заказ через ShopZ, получите обе ОС, выберите ОС для установки и сохраните существующую инфраструктуру MFA.

Поддерживает генерацию безопасных учетных данных, которые можно использовать как внутри сисплекса, так и за его пределами. Это упрощает настройку MFA в крупных средах.

Способы идентификации реализованы как расширения компонентов для команд IBM RACF®, связанных с работой пользователей. Программные интерфейсы Security Authorization Facility (SAF) расширяются посредством определения поддерживаемых ключей при запросах идентификации пользователей. При этом приложения, поддерживающие MFA, могут указывать соответствующие способы в дополнение к паролям или ключевым фразам RACF. Расширения контроля предоставляют ресурсы и определяют ключи MFA с помощью команд RACF, связанных с работой пользователей.

Можно использовать любой способ, основанный на стандартном протоколе RADIUS, через шлюз IBM Z MFA RADIUS. Поддерживаются маркеры RSA SecurID с алгоритмами учета времени, а также аппаратные или программные маркеры. Реализации RSA SecureID и Gemalto SafeNet предлагают более надежные и детализированные сообщения.

Помимо поддержки существующих способов, IBM Z MFA обеспечивает интеграцию с IBM Cloud Identity Verify (CIV) с использованием шлюза CIV RADIUS и протокола базового сервера RADIUS IBM Z MFA. Интеграция с CIV поддерживает составную идентификацию по внутреннему каналу, при этом одноразовый пароль, сгенерированный CIV, можно сочетать с паролем или фразой-паролем RACF.

С помощью IBM TouchToken идентификация пользователей выполняется в самой системе z/OS, и проверка двухфакторной идентификации возможна без обращения к дополнительным внешним инструментам. Базовая поддержка TOTP включает базовые приложения генерации маркеров TOTP, включая стандартизированные приложения TOTP сторонних разработчиков для устройств Android и Microsoft Windows.

Составная идентификация позволяет настроить обязательное применение нескольких механизмов идентификации. Для составной идентификации по внутреннему каналу пользователь должен передать учетные данные RACF (пароль или фразу-пароль) вместе с действительными учетными данными MFA.

Данные для идентификации сохраняются в базе данных RACF, в которой данные MFA изменяются командами RACF, а поля, не имеющие отношения к MFA, удаляются из базы данных RACF посредством команды DBUNLOAD. В z/OS® Security Server компоненты RACF включают пакеты обновлений для базы данных RACF, команды RACF, вызываемые службы, процедуры обработки сеансов и утилиты RACF.

Инициируйте идентификацию через IBM Security Access Manager (ISAM) с использованием процедуры генерации OTP. При входе в z/OS используйте одноразовый пароль вместо стандартного. Интеграция с ISAM поддерживает составную идентификацию по внутреннему каналу, при этом одноразовый пароль, сгенерированный ISAM, можно сочетать с паролем или фразой-паролем RACF.

Используйте различные устройства Yubikey, поддерживающие алгоритм Yubico OTP. Для IBM Z MFA не требуется внешний сервер идентификации, и все процедуры проверки OTP выполняются в системе z/OS с помощью задачи, запускаемой IBM Z MFA.

Заложите основу для поддержки любой системы идентификации на основе сертификатов. Возможна идентификация с применением смарт-карт Personal Identity Verification (PIV) и Common Access Card (CAC), часто используемых в федеральных агентствах.

Приложения со способами идентификации, которые могут нарушить работу MFA, можно исключить из обработки MFA. В профайлах SAF приложение можно пометить как исключенное из MFA и разрешить пользователю вход в приложение по паролю или PassTicket. Однако в профайлах SAF можно, напротив, указать, что функции MFA обязательны к применению для каких-либо пользователей и приложений.