Accueil
Logiciel Z
Sécurité Z
Multi_Factor Authentication
IBM Z Multi-Factor Authentication (MFA) 2.2 améliore les modes d’authentification et leur prise en charge pour renforcer la sécurité de votre entreprise.
En utilisant ces modules pour Linux sur l’architecture Z, les administrateurs des distributions prises en charge peuvent configurer les applications Linux compatibles avec les modules PAM, afin d’exiger que les utilisateurs satisfassent à une politique de MFA avant que l’accès ne leur soit accordé.
Cette nouvelle option de configuration est utilisée en combinaison avec de nouvelles ressources serveur afin de tenir compte de ce paramètre dans les interfaces utilisateur IBM Z MFA, dans le cadre de l’authentification par politiques basées sur le Web sur z/OS et Linux.
Les administrateurs sous IBM z/OS peuvent désormais configurer plusieurs instances de certains facteurs MFA, ce qui améliore la flexibilité lorsqu’une seule base de données ESM (External Security Manager) z/OS prend en charge des groupes d’utilisateurs hébergés disparates.
La nouvelle commande « Console Modify » peut être utilisée pour forcer l’invalidation de toutes les données d’identification de jeton présentes dans le cache IBM Z MFA pour un ID utilisateur donné (z/OS uniquement).
La prise en charge de l’authentification RSA SecurID sur z/OS et Linux est assurée par l’API RSA REST.
La réinitialisation des mots de passe basée sur le Web peut être activée pour les utilisateurs qui ont oublié leur mot de passe ESM mais qui sont en mesure de s’authentifier selon une politique IBM Z MFA (z/OS uniquement).
Les interfaces Web sur z/OS et Linux, qui étaient auparavant internes et non documentées, sont désormais officiellement prises en charge.
Toutes les versions d’IBM Z MFA sécurisent les connexions des utilisateurs à z/OS à l’aide de composants qui sont exécutés sur z/OS. La version 2.1 a introduit la protection des connexions des utilisateurs à z/VM. La version 2.2 protège les applications de l’architecture Linux on Z qui prennent en charge le cadre des modules PAM (Pluggable Authentication Module), au moyen de modules PAM qui sont exécutés sur Linux.
IBM Z MFA 2.2 prend en charge un grand nombre de types d’authentification et de fonctionnalités d’intégration. Une liste partielle des fonctionnalités et des intégrations prises en charge est présentée dans le tableau ci-dessous.
- Les lignes comportant un astérisque (*) correspondent aux nouvelles fonctionnalités de la version 2.2.
- Les lignes comportant deux astérisques (**) correspondent à des types d’authentification évalués directement au sein d’IBM Z MFA, sans passer par un service de réseau externe. Ils autorisent les mots de passe à usage unique basés sur le temps (TOTP).
z/OS
z/VM et Linux on Z
Plusieurs types d’authentification*
Oui
Non
RFA SecurID avec l’API HTTPS REST*
Oui
Oui
RSA SecurID avec RADIUS PAP
Oui
Oui
RSA SecurID avec ACEv5 UDP
Oui
Oui
TOTP**
Oui
Oui
RADIUS PAP générique par UDP
Oui
Oui
RADIUS PAP générique par TCP
Oui
Oui
Fonctionnalités supplémentaires
Utilisez la plupart des fonctionnalités prises en charge par z/OS on z/VM, le tout sous une seule licence. En commandant par l’intermédiaire de ShopZ, vous obtenez les deux systèmes d’exploitation, choisissez lequel installer, puis utilisez votre infrastructure MFA existante.
Simplifiez les configurations MFA dans les grands environnements avec la version 2.1, qui prend en charge la production d’identifiants sécurisés pouvant être utilisés à l’intérieur et au-delà des limites du sysplex où ils ont été générés.
Cette fonctionnalité permet de définir des facteurs pour les composants des commandes utilisateur IBM RACF, ACF2 et TopSecret. Vous pouvez élargir les interfaces de programmation SAF (Security Authorization Facility) pour définir les jetons pris en charge lors des demandes d’authentification des utilisateurs, ce qui permet aux applications compatibles MFA de spécifier des facteurs en plus des mots de passe ou des phrases secrètes RACF, ACF2 et TopSecret. Il ne vous reste plus qu’à vérifier les extensions et à définir et fournir les jetons MFA à l’aide des commandes utilisateur RACF, ACF2 et TopSecret.
Utilisez n’importe quel facteur basé sur le protocole standard RADIUS via la passerelle IBM Z MFA RADIUS, avec prise en charge des jetons RSA SecurID, durs, logiciels ou avec algorithme basé sur le temps. Les implémentations RSA SecureID et Gemalto SafeNet offrent un système de messagerie plus robuste et plus précis.
En plus de la prise en charge des facteurs existants, IBM Z MFA inclut l’intégration IBM Cloud Identity Verify (CIV) à l’aide de la passerelle CIV RADIUS et du facteur du protocole générique RADIUS d’IBM Z MFA. L’intégration CIV prend en charge l’authentification composée intrabande, où le code d’accès à usage unique (OTP) généré par CIV peut être utilisé avec un mot de passe RACF ou une phrase secrète.
IBM TouchToken permet d’évaluer directement l’authentification des utilisateurs sur z/OS afin d’appliquer l’authentification à deux facteurs sans validation supplémentaire hors plateforme. La prise en charge du TOTP générique comprend des applications génériques de jetons TOTP, y compris des applications tierces TOTP conformes aux normes sur les appareils Android et Microsoft Windows.
Appliquez l’authentification composée, c’est-à-dire un processus d’authentification nécessitant plus d’un facteur. L’authentification composée intrabande exige que l’utilisateur fournisse un identifiant RACF (mot de passe ou phrase secrète) en conjonction avec un identifiant MFA valide.
Stockez les données d’authentification dans la base de données RACF, ACF2 ou TopSecret, définissez et modifiez les données MFA à l’aide de commandes RACF, ACF2 ou TopSecret, et videz les champs MFA non sensibles de la base de données à l’aide de l’utilitaire DBUNLOAD. La mise en œuvre de z/OS Security Server RACF, ACF2 et TopSecret comprend des mises à jour de la base de données, des commandes, des services d’appels, le traitement des connexions ainsi que des utilitaires.
Initiez l’authentification avec IBM Security Access Manager (ISAM) en utilisant la procédure « choisissez un code d’accès à usage unique (OTP) ». L’OTP est utilisé à la place du mot de passe lors de la connexion à z/OS. L’intégration d’ISAM prend en charge l’authentification composée intrabande, où l’OTP généré par ISAM peut être utilisé conjointement avec le mot de passe RACF ou la phrase secrète de l’utilisateur.
Utilisez une série de dispositifs Yubikey qui prennent en charge l’algorithme OTP de Yubico. IBM Z MFA ne nécessite pas de serveur d’authentification externe, et l’évaluation de l’OTP est effectuée sur le système z/OS par la tâche initiée par IBM Z MFA.
Établissez les bases nécessaires à la prise en charge de tout système d’authentification basé sur des certificats. Vous pouvez authentifier les cartes à puce PIV (Personal Identity Verification) et CAC (Common Access Card) couramment utilisées dans les services gouvernementaux.
Activez l’option d’exemption du traitement MFA pour les applications dont les propriétés d’authentification peuvent empêcher la MFA de fonctionner correctement. Définissez des profils SAF qui marqueront certaines applications comme exclues de la MFA et permettront à un utilisateur de se connecter à cette application avec un mot de passe, une phrase secrète ou un PassTicket. Inversement, utilisez les profils SAF pour créer des politiques d’inclusion afin de faciliter l’adoption de la MFA pour certains utilisateurs et certaines applications.