Inicio

Software de Z

Seguridad de Z

Multi_Factor Authentication

 Características
Mejore la seguridad de inicio de sesión en toda su empresa con autenticación de token y usuario de mainframe extendida
Haga una prueba
un patrón de cuadrícula de puntos sobre un fondo oscuro
Características de IBM® Z Multi-Factor Authentication 2.2

IBM® Z Multi-Factor Authentication (MFA) 2.2 mejora los modos de autenticación y soporte para reforzar su seguridad empresarial.

 Módulos de autenticación conectables

Con estos módulos para usar con Linux en arquitectura Z, los administradores de distribuciones de Linux admitidas pueden configurar aplicaciones de Linux compatibles con PAM para exigir que los usuarios satisfagan una política de MFA antes de que se les otorgue acceso a la aplicación.

 Opción de configuración de MFA para solicitar que los clientes del navegador que reciben credenciales de token de caché enmascaren la visualización de dichas credenciales

La nueva opción de configuración se utiliza en combinación con los nuevos recursos del servidor para respetar esta configuración en las interfaces de usuario de IBM® Z MFA para la autenticación de políticas basada en web en z/OS y Linux.

 Configuración de múltiples instancias de factores MFA seleccionados

Los administradores de IBM® Z/OS ahora pueden configurar múltiples instancias de factores MFA seleccionados, lo que mejora la flexibilidad cuando una única base de datos de administrador de seguridad externo (ESM) de z/OS admite comunidades de usuarios inquilinos discrepantes.

 Comando “Modificar consola”

El nuevo comando “Modificar consola” se puede utilizar para forzar la invalidación de todas las credenciales de token en caché actualmente en la caché de IBM® Z MFA para un ID de usuario determinado (solo z/OS).

 

 Soporte para autenticación RSA SecurID

La compatibilidad con la autenticación RSA SecurID en z/OS y Linux es proporcionada a través de la API REST con criptografía RSA.

 

 Restablecimiento de contraseña de ESM basada en la web

El restablecimiento de contraseña basado en la web se puede habilitar para usuarios que han olvidado su contraseña de ESM pero pueden autenticarse correctamente en una política de IBM® Z MFA (solo z/OS).

 Documentación y soporte formal para el uso de la autenticación de políticas por parte del cliente

Ahora hay soporte formal disponible para interfaces web en z/OS y Linux que antes eran internas y no estaban documentadas.
Compare las características de z/OS® frente a z/VM® y Linux® on Z

Todas las versiones de IBM® Z MFA protegen los inicios de sesión de los usuarios en z/OS, usando partes que se ejecutan en z/OS. IBM® Z MFA 2.1 incorporó protección para los inicios de sesión de los usuarios en z/VM. IBM® Z MFA 2.2 puede proteger aplicaciones de Linux on Z Architecture compatibles con la infraestructura del módulo de autenticación conectable (PAM, por sus siglas en inglés), usando módulos PAM que se ejecutan en Linux.

IBM® Z MFA 2.2 admite muchos tipos de autenticación y características de integración. En la tabla a continuación, presentamos una lista parcial de características e integraciones admitidas.

  • Un asterisco (*) al lado de un elemento indica nueva característica en la versión 2.2.
  • Dos asteriscos (**) al lado de un elemento indican tipos de autenticación evaluados directamente con IBM® Z MFA sin utilizar un servicio de red externo. Permiten contraseñas de un solo uso basadas en el tiempo (TOTP).
Características de autenticación
 

z/OS

z/VM y Linux on Z

Múltiples tipos de autenticación*

 

No

RFA SecurID con API REST HTTPS*


 

RSA SecurID con PAP RADIUS

RSA SecurID con UDP ACEv5

TOTP**

PAP RADIUS genérico por UDP

PAP RADIUS genérico por TCP

Características adicionales

Utilice la mayoría de las características admitidas en z/OS on z/VM, todo bajo una sola licencia. Realice su pedido a través de ShopZ, obtenga ambos sistemas operativos, elija cuál desea instalar y utilice su infraestructura MFA existente.

Simplifique las configuraciones de MFA en entornos grandes con la versión 2.1, que admite la producción de credenciales seguras que se pueden utilizar tanto dentro como fuera de los límites del sysplex donde se generó la credencial.

Introduzca extensiones de factores a los componentes de los comandos relacionados con el usuario de IBM® RACF, ACF2 y TopSecret. Amplíe las interfaces de programación Security Authorization Facility (SAF) para definir tokens admitidos durante las solicitudes de autenticación de usuarios, permitiendo así que las aplicaciones que reconocen la MFA especifiquen factores además de las contraseñas o frases RACF, ACF2 y TopSecret. Audite las extensiones y proporcione y defina tokens MFA mediante comandos relacionados con el usuario de RACF, ACF2 y TopSecret.

Utilice cualquier factor basado en el protocolo estándar RADIUS a través de la puerta de enlace IBM® Z MFA RADIUS. Admita RSA SecurID Token, con algoritmo basado en el tiempo, token de hardware o tokens basados en software. Las implementaciones de RSA SecureID y Gemalto SafeNet ofrecen mensajes más robustos y detallados.

Además de la compatibilidad con el factor existente, IBM® Z MFA incluye la integración de IBM® Cloud Identity Verify (CIV) utilizando la puerta de enlace CIV RADIUS y el factor de protocolo RADIUS genérico de IBM® Z MFA. La integración de CIV admite la autenticación compuesta en banda, donde el código de acceso de un solo uso (OTP, por sus siglas en inglés) generado por CIV se puede utilizar con una contraseña o una frase de contraseña RACF.

IBM® TouchToken permite que la autenticación de usuarios se evalúe directamente en z/OS para garantizar un medio para aplicar la autenticación de dos factores sin validación adicional fuera de la plataforma. La compatibilidad con TOTP genérica incluye aplicaciones de token de TOTP genérica, entre ellas aplicaciones de terceros con TOTP conformes con los estándares en dispositivos Android y Microsoft Windows.

Aplique autenticación compuesta cuando se requiera más de un factor en el proceso de autenticación. La autenticación compuesta en banda requiere que el usuario proporcione una credencial RACF (contraseña o frase de contraseña) junto con una credencial MFA válida.

Almacene datos de autenticación en la base de datos RACF, ACF2 o TopSecret, defina y modifique datos MFA con comandos RACF, ACF2 o TopSecret, y descargue campos MFA no confidenciales en la base de datos con la utilidad DBUNLOAD. La habilitación de z/OS Security Server RACF, ACF2 y TopSecret consta de actualizaciones de la base de datos, comandos, servicios invocables, procesamiento de inicio de sesión y utilidades.

Inicie la autenticación con IBM® Security Access Manager (ISAM) utilizando el procedimiento “elegir un código de acceso de un solo uso (OTP)”. El OTP se utiliza en lugar de la contraseña al iniciar sesión en z/OS. La integración de ISAM admite autenticación compuesta en banda, donde el OTP generado por ISAM se puede utilizar junto con la contraseña o frase de contraseña RACF del usuario.

Utilice una variedad de dispositivos Yubikey que admitan el algoritmo Yubico OTP. IBM Z MFA no requiere un servidor de autenticación externo y toda la evaluación OTP se realiza en el sistema z/OS mediante la tarea iniciada de IBM Z MFA.

Establezca las bases para respaldar cualquier sistema de autenticación basado en certificados. Habilite la autenticación para las tarjetas inteligentes de verificación de identidad personal (PIV) y tarjeta de acceso común (CAC) que se usan comúnmente en el gobierno federal.

Habilite el procesamiento de MFA exento para aplicaciones con propiedades de autenticación que pueden impedir que MFA funcione correctamente. Defina perfiles SAF que marcarán ciertas aplicaciones como excluidas de MFA y permitirán que un usuario inicie sesión en esa aplicación con una contraseña, frase de contraseña o PassTicket. Y, a la inversa, use perfiles SAF para crear políticas de inclusión para facilitar la adopción de MFA para determinados usuarios y aplicaciones.
Dé el siguiente paso

Contáctenos para analizar sus requisitos de IBM Z Multi-Factor Authentication y obtener información sobre los precios. Pruebe el producto antes de comprarlo.

 Haga una prueba
Recursos de expertos para ayudarle a tener éxito Comunidad Documentación del producto