多要素認証 (MFA)

多要素認証(MFA)では、ログオン時に2つ以上の認証要素を提示してユーザーの身元を確認する必要があります。 各認証要素は、ユーザーが知っている情報、ユーザーが所有している情報、ユーザー自身といった、資格情報の種類の別々のカテゴリに属している必要があります。 IBM® Multi-Factor Authentication for z/OS® ( IBM MFA)は、 CICS®、複数の認証要素による認証を可能にする。

多要素認証では次の種類の資格情報が使用されます。
あなたが知っていること
たとえば、パスワードやセキュリティの質問などです。
あなたが持っているもの
たとえば、ID バッジなどの物理的なアクセス制御や、暗号化トークン デバイスなどです。
あなたが何か
たとえば、指紋やその他の生体認証データなどです。

どれを見るかCICSアクセス方法はMFAをサポートしています。どのアクセス方法でどの認証方法を使用できますか?

MFA を使用する理由は何ですか?

MFA は、要素の 1 つが発見されても侵害されないため、単一要素認証よりも安全です。 可能な限りMFAを使用し、特に価値の高いデータや機密データへのアクセスを保護する。 MFAは、否認防止が必要な場合にも使用されるべきである。 MFA は、PCI DSS (Payment Card Industry Data Security Standard) などの多くのセキュリティ標準に準拠するために必要です。

IBMMulti-Factor Authentication for z/OS(IBM修士(美術学修士)

IBM Multi-Factor Authentication for z/OS ( IBM MFA)は、複数の認証要素による認証をサポートしている。 IBM MFA による認証を必要とするように、 RACF® ユーザーのプロファイルを構成することができます。 RACF は、ログオン処理中に MFAを呼び出し、認証決定を支援する。 IBM MFA の概要については、 『 z/OS Security Server RACF セキュリティ管理者ガイド』の Multi-Factor Authentication for z/OS を参照のこと。

MFA トークンは、 CICS セッション・ベースのログオン・インターフェースでサ ポートされる:CESN、CESL、CICSPlex® SM WUI、 CICS Explorer®。

MFA を使用するには 2 つの方法があります。
インバンド認証
トークンを生成するには、次のいずれかを使用します。IBM MFA オプションを選択し、そのトークンを直接使用してログオンします。 CICS単一の文字列として入力できる場合、インバンド MFA トークンをサポートします。
図1 RSAなどのMFAソリューションを使用したインバンド認証を示します。SecurID:
  1. ユーザーは、ユーザーIDとRSA SecurID トークンとPIN®でログオンします。
  2. CICS通話RACFこの情報を認証します。
  3. いつRACFユーザーがMFAユーザーであると判断し、RACF呼び出しRACF MFA サーバー。
  4. のRACF MFAサーバー呼び出しRACFユーザーの MFA 要素の詳細を取得します。
  5. のRACF MFA サーバーは、RSA サーバーを呼び出してユーザーの認証要素を検証します。
  6. MFAサーバーは戻りコードをRACF 。
  7. RACF戻りコードをCICS。
  8. ユーザーは認証されるか拒否されます。
図1: MFAインバンド認証
MFAインバンド認証
帯域外認証
ユーザー固有の Web ページで、1 つ以上の要素 (場合によっては連続して) を使用して認証し、ログインに使用する 1 回限りのトークンを取得できるようにします。 CICS帯域外 MFA トークンをサポートします。
図2アウトオブバンド認証を示します。
  1. ユーザーは、RACF MFA Web サーバー。
  2. のRACF MFAウェブサーバーはRACF事前認証レコードをセッション キャッシュに保存する MFA サーバー。
  3. のRACF MFA Web サーバーはワンタイム パスコード (OTP) を返します。
  4. ユーザはユーザIDとOTPでログオンする
  5. CICS通話RACFこの情報を認証します。
  6. いつRACFユーザーがMFAユーザーであると判断し、RACF呼び出しRACF MFA サーバー。
  7. のRACF MFAサーバー呼び出しRACFユーザーの MFA 要素の詳細を取得します。
  8. のRACF MFA サーバーは、セッション キャッシュをチェックしてユーザーの認証要素を検証します。
  9. MFAサーバーは戻りコードをRACF 。
  10. RACF戻りコードをCICS。
  11. ユーザーは認証されるか拒否されます。
図2: MFA アウトオブバンド認証
MFA アウトオブバンド認証

複合インバンドMFA端末のサインオンRACF を設定する

複合的なインバンド認証では、ユーザーが端末でサインオンする際に、既存のパスワードまたはフレーズに加えて、MFAトークンをユーザーに提供する必要があります。 ユーザーの既存の認証情報が期限切れの場合、通常は新しいパスワードまたはフレーズを入力するよう求められます。 再度サインオンが試みられますが、これは失敗します。なぜなら、最初にサインオンを試みた際に使用されたMFAトークンがすでに使用されているからです。

MFAユーザーがサインオンに成功し、期限切れの認証情報を変更できるようにするには、 RACF でIDTDATAクラスを有効にする必要があります。 これは、以下のコマンドを使用することで実行できます

SETROPTS CLASSACT(IDTDATA)

生成された IDT のデフォルトの動作を変更したい場合は、クラス内にさらにプロファイルを作成する必要があります。 これらの IDT は CICS 内部でのみ使用され、署名は必要ありません。

IDTの設定については、 RDEFINE(Define general resource profile )のIDTPARMSセクション、または RACROUTE REQUEST=VERIFYおよび initACEE のIDTAパラメータの有効化と使用を参照のこと。