Protección de los sistemas AS/400 e IBM i Green Screen con SSO moderno

Resumen ejecutivo

Los sistemas AS/400 e IBM i siguen impulsando las operaciones de fabricación, logística, distribución, banca, seguros y administración. Sin embargo, la experiencia de autenticación para muchos de estos entornos sigue centrándose en los inicios de sesión en pantallas verdes 5250 basados en nombres de usuario, contraseñas y flujos de trabajo de terminales compartidos.

Esto crea una brecha entre la naturaleza crítica de los sistemas y la forma en que se controla el acceso. Muchas organizaciones desean una mayor seguridad, una mejor atribución de usuarios y una alineación con las plataformas de identidad empresarial, pero no pueden permitirse romper aplicaciones maduras o rediseñar flujos de trabajo críticos para el negocio que llevan años en funcionamiento.

La forma más eficaz de avanzar no es reconstruir la aplicación, sino proteger la capa de autenticación que la rodea.

Credenti las organizaciones Credenti modernizar el acceso a IBM i mediante la introducción de métodos de autenticación sin contraseña y resistentes al phishing antes de iniciar una sesión 5250. Esto permite a los equipos mejorar la postura de seguridad, reducir la dependencia de las contraseñas y reforzar la auditabilidad, al tiempo que se preserva la experiencia de pantalla verde subyacente en la que ya confían los usuarios.

Por qué es importante ahora

Los sistemas IBM i siguen ejecutando operaciones críticas, pero muchas organizaciones aún los protegen con modelos de acceso de pantalla verde con nombre de usuario y contraseña que ya no se ajustan a las expectativas modernas en materia de identidad.

Conservar los flujos de trabajo heredados‍

Modernice la autenticación sin obligar a reescribir las aplicaciones AS/400.

Fortalecer la atribución

Conectael acceso compartido al terminal con una identidad individual real.

Ampliar las opciones de autenticación

Compatible coninsignias, reconocimiento facial, QR y experiencias de inicio de sesión basadas en dispositivos móviles.

Alinearse con la identidad corporativa

Integrelos flujos de trabajo de acceso con Okta.

‍

El reto de la autenticación en entornos IBM i

Los entornos IBM i suelen ocupar un lugar central en la continuidad operativa. Una aplicación de pantalla verde puede seguir impulsando la ejecución del almacén, los registros de producción manufacturera, las operaciones financieras, la tramitación de reclamaciones, la visibilidad del inventario o el cumplimiento de pedidos. Dado que estos sistemas siguen estando profundamente integrados en la empresa, los patrones de acceso suelen optimizarse en función de la velocidad y la familiaridad, en lugar de la garantía de identidad moderna.

Realidades comunes

Los usuarios acceden a las sesiones 5250 a través de flujos de trabajo de terminales heredados que requieren un nombre de usuario y una contraseña, a menudo en máquinas o estaciones compartidas que admiten una rápida rotación de operadores.

Fricción común

Los métodos tradicionales de MFA añaden interrupciones, introducen dependencias de dispositivos o no se adaptan a entornos en los que los usuarios no pueden llevar teléfonos o no tienen estaciones de trabajo asignadas.

Como resultado, los sistemas IBM i pueden convertirse en islas de identidad. Siguen siendo críticos para el negocio, pero a menudo están poco conectados con la gobernanza de acceso moderna, las estrategias de autenticación resistentes al phishing y los estándares de identidad empresarial que ya se aplican en otros ámbitos.

Riesgos de seguridad de la autenticación tradicional mediante pantalla verde

Los modelos de acceso 5250 basados en contraseñas se crearon para una época diferente. En los entornos modernos, presentan varios riesgos prácticos y relacionados con las auditorías.

Dependencia de la contraseña

Los usuarios siguen dependiendo de credenciales que pueden reutilizarse, compartirse, ser objeto de phishing o gestionarse de forma incorrecta en entornos operativos de gran volumen.

Atribución débil

Los terminales compartidos y las sesiones heredadas dificultan demostrar con exactitud quién accedió a un sistema o realizó una acción.

Soluciones operativas provisionales

Los equipos suelen crear atajos para mantener la velocidad, lo que puede dar lugar a cuentas genéricas, credenciales almacenadas o una menor responsabilidad.

Donde las organizaciones sienten el dolor

Los equipos de seguridad se esfuerzan por ampliar las políticas de autenticación multifactorial (MFA) de las empresas a los entornos IBM i de forma que los usuarios realmente las adopten.

Los equipos de operaciones quieren que no haya interrupciones en los flujos de trabajo de pantalla verde y no pueden tolerar los repetidos problemas de inicio de sesión en terminales compartidas.

Los equipos de auditoría y cumplimiento normativo necesitan pruebas más sólidas del acceso a nivel de usuario, no solo la prueba de que un terminal ha accedido a la aplicación.

Los equipos directivos desean controles de identidad modernos sin poner en marcha un gran proyecto de modernización de los sistemas heredados.

Por qué el SSO tradicional se queda corto

Las organizaciones suelen dar por sentado que los proyectos de SSO convencionales resolverán el problema de IBM i. En la práctica, los sistemas de pantalla verde rara vez encajan perfectamente en los supuestos modernos de SSO centrados en el navegador. Incluso cuando la integración es técnicamente posible, puede resultar difícil de implementar, limitar la experiencia del usuario o no ser adecuada para terminales compartidos y operativos.

Esto se debe a que el verdadero reto no es simplemente la federación. Se trata de cómo establecer una identidad de usuario fiable en el punto de acceso de una manera que funcione para los usuarios operativos, preserve la velocidad de la sesión y se adapte a un modelo de aplicación diseñado mucho antes de que las convenciones modernas de SSO se convirtieran en estándar.

En muchos entornos AS/400, el éxito depende de modernizar el control de acceso en torno a la sesión, en lugar de intentar forzar la pantalla verde a un modelo de autenticación basado en el navegador.

Credenti

Credenti la capa de autenticación en torno al acceso a IBM i sin necesidad de que las organizaciones cambien el funcionamiento de la aplicación de pantalla verde. En lugar de reconstruir el sistema empresarial, los equipos introducen una verificación de identidad más sólida antes de que el usuario acceda a la sesión 5250.

Proteja el flujo de trabajo de acceso

Utilice métodos de autenticación modernos para verificar la identidad del usuario antes de iniciar o reanudar el acceso al entorno AS/400.

Conservar la solicitud

Mantenga intacto el flujo de trabajo existente de IBM i para que los usuarios puedan seguir operando en el entorno familiar de pantalla verde.

Cómo Credenti a este caso de uso

Credenti Tap

Habilite experiencias de inicio de sesión basadas en tarjetas de identificación en estaciones de trabajo compartidas y terminales operativas donde la velocidad y la simplicidad son fundamentales.

Credenti You

Permite a los usuarios autenticarse en el dispositivo mediante datos biométricos faciales, creando una experiencia rápida y fácil de usar sin contraseñas.

Credenti Unify

Conecte las plataformas de identidad modernas y los flujos de acceso heredados para que las organizaciones puedan alinear el acceso a IBM i con una estrategia de identidad más amplia.

Arquitectura de un vistazo

El siguiente modelo ilustra el flujo conceptual. El usuario primero establece su identidad mediante un método Credenti . Esa decisión de acceso puede alinearse con la estrategia de identidad empresarial de la organización, y luego se le concede al usuario acceso a la sesión IBM i sin cambiar la lógica de la aplicación de pantalla verde.

Métodos de autenticación compatibles

La modernización de la seguridad de IBM i no debe depender de un único patrón de acceso. Los diferentes entornos necesitan diferentes formas de establecer la identidad, preservando al mismo tiempo la facilidad de uso.

Inicio de sesión con tarjeta de identificación

Ideal para terminales compartidos, estaciones de trabajo operativas y entornos en los que los usuarios necesitan un acceso rápido sin tener que introducir credenciales.

Inicio de sesión biométrico facial

Ofrece una experiencia rápida sin contraseñas directamente en el dispositivo, lo que ayuda a reducir las fricciones y refuerza la atribución individual.

Inicio de sesión QR dispositivo móvil

Ofrece una opción adicional para entornos que pueden admitir la verificación de identidad mediada por dispositivos sin depender de contraseñas.

Proteger los terminales compartidos sin ralentizar las operaciones

Uno de los problemas más difíciles de IBM i es el problema de los terminales compartidos. Los almacenes, las plantas de fabricación, las áreas de envío, los mostradores y las operaciones administrativas suelen utilizar dispositivos que muchas personas tocan a lo largo del día. Iniciar y cerrar sesión con una contraseña tradicional cada vez que se utiliza el dispositivo crea fricciones, por lo que los equipos buscan naturalmente atajos.

Credenti diseñado para proteger ese modelo sin obligar a los equipos a abandonarlo. Los usuarios pueden demostrar rápidamente su identidad en el punto de uso, acceder a la máquina y continuar con el flujo de trabajo de pantalla verde que ya conocen. Esto ayuda a mantener la velocidad y, al mismo tiempo, restablece la responsabilidad.

El objetivo no es ralentizar las operaciones de los terminales compartidos. El objetivo es hacerlos atribuibles, más seguros y más fáciles de gestionar.

Continuidad operativa y sin conexión

Muchos casos de uso de IBM i se encuentran cerca de operaciones en las que la continuidad es más importante que unas condiciones de red perfectas. Las organizaciones pueden necesitar una solución que siga admitiendo la autenticación de usuarios incluso cuando la conectividad se vea degradada, sea poco fiable o se restrinja intencionadamente.

Esto es importante en plantas, centros de distribución, operaciones remotas, entornos de transporte y otros escenarios en los que el trabajo crítico no puede detenerse porque la dependencia de la nube no está disponible temporalmente. El amplio posicionamiento de la plataforma Credentiadmite sólidos flujos de trabajo de acceso en entornos en los que la continuidad del negocio y la resiliencia sin conexión son requisitos de diseño importantes.

Cumplimiento normativo y alineación de riesgos

Modernizar el acceso a los sistemas AS/400 e IBM i ayuda a las organizaciones a respaldar objetivos más amplios de seguridad y gobernanza. Aunque los requisitos varían según el sector, los temas comunes son los mismos: reducir la exposición de las contraseñas, reforzar la atribución a nivel de usuario, mejorar las pruebas de control de acceso y alinear mejor los sistemas heredados con las expectativas de identidad de la empresa.

Reducción del riesgo

Reduzca la dependencia de credenciales débiles o compartidas en entornos operativos críticos.

Auditabilidad

Mejorar la capacidad de vincular los eventos de acceso y el inicio del flujo de trabajo a una identidad de usuario específica y verificada.

Estos resultados pueden respaldar iniciativas de control interno, así como una mayor alineación con los marcos y las expectativas en materia de garantía de acceso, responsabilidad operativa y reducción del riesgo de los sistemas heredados.

Casos de uso comunes en la industria

Fabricación

Terminales seguros en la planta de producción conectados a aplicaciones IBM i sin interrumpir los flujos de trabajo operativos de alta velocidad.

Logística y distribución

Mejore la garantía de identidad en los almacenes y centros de distribución que dependen del acceso compartido a sistemas basados en 5250.

Banca y seguros

Fortalezca la autenticación para los sistemas heredados de transacciones y procesamiento, al tiempo que preserva las experiencias familiares de los operadores.

En resumen

Las organizaciones no tienen que elegir entre mantener los sistemas IBM i y mejorar la autenticación. Pueden conservar la aplicación y el flujo de trabajo, y al mismo tiempo implementar una capa de identidad más sólida y moderna en torno al acceso.

Ampliación del SSO moderno a IBM i (AS/400), iSeries y sistemas de terminales 5250

Una vez que las organizaciones modernizan la experiencia de autenticación para terminales y estaciones de trabajo compartidas, el siguiente paso es ampliar esos controles de identidad a los propios sistemas IBM i. Muchos entornos que ejecutan sistemas IBM i (AS/400) e iSeries dependen de aplicaciones de terminal 5250 que nunca se diseñaron para los estándares de federación modernos, como SAML u OIDC.

Estos sistemas suelen funcionar con la infraestructura IBM Power Systems y admiten cargas de trabajo críticas en operaciones de fabricación, logística, banca y seguros. Sustituir estas aplicaciones rara vez es práctico, lo que significa que las mejoras de seguridad deben producirse en torno al flujo de trabajo de acceso, en lugar de dentro de la propia aplicación.

Credenti el inicio de sesión único (SSO) para entornos IBM i mediante la verificación de la identidad del usuario antes de que comience la sesión del terminal. Tras autenticarse a través de proveedores de identidad empresariales como Okta, los usuarios pueden iniciar o reanudar sus sesiones AS/400 sin necesidad de introducir contraseñas manualmente. Esto permite a las organizaciones introducir la autenticación multifactorial (MFA) AS400, la autenticación sin contraseña y una atribución de identidad más sólida, al tiempo que se conserva el flujo de trabajo familiar de pantalla verde del que dependen los operadores.

Ampliación de la gobernanza de identidades a IBM i (AS/400)

La modernización de la autenticación es solo una parte de la seguridad de las plataformas heredadas. Las organizaciones también necesitan una gobernanza de identidades y una gestión del ciclo de vida coherentes en todos los sistemas, incluidos los entornos IBM i.

Credenti lo Credenti gracias a un conector IBM AS/400 que integra los sistemas IBM i con plataformas de identidad empresarial como Okta. Esto permite a las organizaciones gestionar todo el ciclo de vida de la identidad, desde la creación de cuentas hasta la eliminación de recursos, al tiempo que se mantiene la visibilidad del acceso y la actividad de los usuarios dentro de los sistemas IBM i.

Gobernanza de la identidad

Visibilidad del cumplimiento normativo

Agregue datos de gobernanza de los sistemas IBM i para respaldar el análisis de cumplimiento, las revisiones de acceso y la detección de cuentas fraudulentas o no autorizadas.

Supervisión de la actividad de los usuarios

Proporciona visibilidad de la actividad de los usuarios en entornos AS/400, lo que refuerza la auditabilidad y respalda los controles de seguridad internos y normativos.

Gestión del ciclo de vida de la identidad

Aprovisionamiento de usuarios

Cree nuevas cuentas de usuario en IBM i automáticamente cuando se incorporen identidades a través de la plataforma de identidad empresarial.

Actualizaciones de la cuenta

Sincronice los cambios de roles, las actualizaciones de perfiles y los atributos de identidad entre el proveedor de identidad y las cuentas IBM i.

Desactivación de la cuenta

Desactive o elimine automáticamente las cuentas IBM i cuando los usuarios abandonen la organización o ya no necesiten acceso.

El conector funciona a través de Credenti Provisioning Gateway, un servicio auditado SOC 2 Tipo II que se ejecuta en Amazon Web Services (AWS). Esto permite una sincronización segura de identidades y una gestión del ciclo de vida para entornos IBM i / AS400, al tiempo que se mantiene la fiabilidad y los controles de cumplimiento normativo de nivel empresarial.

Automatización del ciclo de vida de las identidades de IBM i con SCIM

Para poner en práctica la gestión de identidades a gran escala, las organizaciones recurren cada vez más al estándar SCIM (System for Cross-domain Identity Management). Credenti la automatización del ciclo de vida basada en SCIM a los entornos IBM i (AS/400) e iSeries, que normalmente carecen de compatibilidad nativa con los protocolos de aprovisionamiento modernos.

Mediante Credenti Provisioning Gateway, las identidades de plataformas como Okta se pueden sincronizar directamente con los sistemas IBM i. Esto permite a los equipos de TI automatizar el aprovisionamiento, las actualizaciones y la eliminación de cuentas de usuario, al tiempo que se mantienen políticas de identidad coherentes tanto en los sistemas modernos como en los heredados.

Aprovisionamiento automatizado

Cree perfiles de usuario IBM i automáticamente cuando los empleados se incorporen y se les asigne acceso en la plataforma de identidad empresarial.

Sincronización de atributos

Sincronice los atributos de perfil, los cambios en los derechos y las actualizaciones de roles entre los entornos Okta e IBM i.

Desaprovisionamiento automatizado

Desactive o elimine inmediatamente los perfiles de usuario AS/400 cuando un usuario abandone la organización, reduciendo así las cuentas huérfanas y el riesgo de incumplimiento normativo.

Esta arquitectura alinea los sistemas IBM i que se ejecutan en IBM Power Systems con las prácticas modernas de gestión del ciclo de vida de las identidades, lo que garantiza que las plataformas heredadas participen plenamente en las estrategias de gobernanza de identidades de la empresa.

Flujo de gestión del ciclo de vida de la identidad para IBM i

El flujo del ciclo de vida que se muestra a continuación muestra cómo un evento de aprovisionamiento puede originarse en el proveedor de identidad, procesarse a través de Credenti y, a continuación, aplicarse a IBM i en un formato que la plataforma puede ejecutar de forma nativa. Este es el patrón arquitectónico clave que permite a IBM i participar en los flujos de trabajo modernos de incorporación, traslado y salida sin necesidad de soporte SCIM nativo en el lado AS/400.

¿Qué activa el flujo de trabajo?

Un evento de incorporación, traslado o salida en Okta suele dar lugar a un cambio en la asignación de aplicaciones, lo que a su vez genera una transacción de aprovisionamiento SCIM para la aplicación conectada a IBM i.

Qué hace el conector

El conector IBM AS/400 local asigna los atributos SCIM y las acciones del ciclo de vida a las operaciones de perfil de usuario nativas de IBM i, de modo que la plataforma de destino pueda procesarlos sin necesidad de compatibilidad nativa con SCIM.

En términos prácticos, esto significa que se puede crear un usuario en Okta, asignarle acceso a la aplicación conectada a IBM i y, a continuación, aprovisionarlo automáticamente en IBM i / AS400. Los cambios posteriores, como las actualizaciones de atributos, los cambios de acceso, la suspensión o la terminación, pueden seguir la misma ruta del ciclo de vida con una auditabilidad coherente.

‍