關於保護 Z,誰會比 Z 人員瞭解更多呢?

關於保護 Z,誰會比 Z 人員瞭解更多呢? 立即加入 Z 安全社群!

查看 IBM Z Multi-Factor Authentication 的產品詳細資料 - 已更新 2.0 版的部分

IBM Z Multi-Factor Authentication 功能

延伸至 z/VM 作業系統(2.1 中的新增功能)

大部分的 z/OS 支援功能全都可以透過一個授權在 z/VM 上運作。透過 ShopZ 訂購,同時取得兩個作業系統,選擇要安裝的作業系統,然後善用現有的 MFA 基礎架構。

提供超越 z/OS Sysplex 界限的安全保護(2.1 中的新增功能)

支援產生安全認證,這些認證可以在產生認證的 Sysplex 界限內和界限外使用。這可以簡化大型環境中的 MFA 配置。

包含審核和供應的 RACF 延伸

將因子延伸導入 IBM RACF® 使用者相關指令的元件中。延伸「安全授權機能 (SAF)」程式設計介面,以定義使用者鑑別要求可支援的記號,讓 MFA 辨識應用程式能夠指定 RACF 密碼或密碼詞組之外的因子。使用 RACF 使用者相關指令,來審核延伸和供應並定義 MFA 記號。

RADIUS 支援:RSA、Gemalto 及一般

透過 IBM Z MFA RADIUS 閘道使用任何基於 RADIUS 標準通訊協定的因子。透過時間型演算法、硬體型記號或軟體型記號支援 RSA SecurID 記號。RSA SecureID 和 Gemalto SafeNet 實作提供更強韌更精細的傳訊。

IBM CIV 整合

除了現有的因子支援之外,IBM Z MFA 還包含使用 CIV RADIUS 閘道的 IBM Cloud Identity Verify (CIV) 整合,以及 IBM Z MFA 一般 RADIUS 通訊協定因子。CIV 整合支援複合頻內鑑別,其中 CIV 產生的 OTP 可以與 RACF 密碼或密碼詞組搭配使用。

IBM TouchToken 與一般 TOTP

IBM TouchToken 可讓您在 z/OS 上直接評估使用者鑑別,以確保強制執行雙因子鑑別方法,無需額外的平台外驗證。一般 TOTP 支援包含一般 TOTP 記號應用程式,其中包括在 Android 和 Microsoft Windows裝置上符合標準的 TOTP 第三方應用程式。

複合鑑別

強制執行複合鑑別,其中在鑑別流程中需要使用多個因子。複合頻內鑑別需要使用者提供 RACF 認證(密碼或密碼詞組),以搭配有效的 MFA 認證一起使用。

將 RACF 資料庫集中化

將鑑別資料儲存在 RACF 資料庫中,使用 RACF 指令來定義與變更 MFA 資料,並透過 DBUNLOAD 公用程式卸載 RACF 資料庫中的非機密 MFA 欄位。z/OS® Security Server RACF 啟用是由 RACF 資料庫的更新項目、RACF 指令、可呼叫的服務、登入處理程序和 RACF 公用程式所組成。

IBM ISAM 整合

透過 IBM Security Access Manager (ISAM) 使用「挑選一次性密碼詞組 (OTP)」程序起始鑑別。登入 z/OS 時使用 OTP 而非密碼。ISAM 整合支援複合頻內鑑別,其中 ISAM 產生的 OTP 可與使用者的 RACF 密碼或密碼詞組一起使用

原生 Yubico 支援

利用支援 Yubico OTP 演算法的各種 Yubikey 裝置。IBM Z MFA 不需要外部鑑別伺服器,而且所有 OTP 評估都是由 IBM Z MFA 起始作業在 z/OS 系統上執行。

憑證型鑑別、PIV、CAC 卡支援

為支援任何憑證型鑑別系統建立基礎。啟用「個人身分驗證 (PIV)」及「共用存取卡 (CAC)」智慧卡鑑別,這些通常用於聯邦政府機關。

容錯和應用程式豁免

針對鑑別內容可能會阻止 MFA 適當運作的應用程式,豁免其 MFA 處理。定義 SAF 設定檔以標示排除在 MFA 之外的特定應用程式,並容許使用者透過密碼、密碼詞組或 PassTicket 登入。反過來,使用 SAF 設定檔來建立納入原則,以輕鬆針對特定使用者和應用程式採用 MFA。

技術詳細資料

技術規格

IBM Z MFA 的必備項目:

  • z/OS V2.2 Security Server RACF 2.2 或更新版本,使用 PTF for MFA 支援

軟體需求

IBM Z MFA 需要:

  • RSA Authentication Manager 8.1 for RSA SecurID Exploitation
  • 若有 SafeNet 支援,則可存取外部 Gemalto SafeNet Authentication Service 伺服器
  • Web 瀏覽器:具備 TLS 1.2 階段作業能力;如果使用智慧卡,則可運作本端智慧卡驅動程式
  • 若有一般 RADIUS 支援,則可存取支援 RADIUS PAP 通訊協定的外部伺服器。
  • 內部部署 ISAM 實例 9.0.6 版,或存取 CIV 實例(如果使用此支援)
  • 與 IBM Z MFA 支援的因子或 ISAM 相容的記號

硬體需求

IBM Z MFA 需要下列其中一個 Z 系列伺服器:

  • IBM z14
  • IBM z13
  • IBM z13s
  • IBM zEnterprise EC12 (zEC12)
  • IBM zEnterprise BC12 (zBC12)

您可能也會對以下項目感興趣

IBM Security Access Manager

IBM Security Access Manager 可協助您簡化使用者存取,同時更安全地採用 Web、行動、IoT 及雲端技術。它可以部署在內部、在虛擬或硬體裝置中,或是使用 Docker 進行儲存器化。ISAM 透過使用風險型存取、單一登入、整合式存取管理控制、身分聯合,以及行動多因子鑑別功能,協助您在可用性與安全性之間取得平衡。利用 IBM Security Access Manager 拿回存取管理的掌控權。

IBM Cloud Identity

IBM Cloud Identity 透過雲端提供的單一登入 (SSO)、多因子鑑別和生命週期管理,協助保護使用者生產力。它隨附數千種預先建置的連接器,以協助您快速取得熱門的 SaaS 應用程式和預先建置範本,從而整合內部應用程式。

IBM Security zSecure Admin

自動化與簡化 RACF 安全及合規管理。