Protezione dei sistemi AS/400 e IBM i Green Screen con SSO moderno

Sintesi esecutiva

I sistemi AS/400 e IBM i continuano a supportare le operazioni di produzione, logistica, distribuzione, bancarie, assicurative e di back-office. Tuttavia, l'esperienza di autenticazione per molti di questi ambienti è ancora incentrata sui login con schermo verde 5250 basati su nomi utente, password e flussi di lavoro condivisi sui terminali.

Ciò crea un divario tra la natura critica dei sistemi e il modo in cui viene controllato l'accesso. Molte organizzazioni desiderano una sicurezza più solida, una migliore attribuzione degli utenti e l'allineamento con le piattaforme di identità aziendali, ma non possono permettersi di interrompere il funzionamento di applicazioni mature o riprogettare flussi di lavoro critici per l'azienda che sono in uso da anni.

Il modo più efficace per procedere non è ricostruire l'applicazione, ma proteggere il livello di autenticazione che la circonda.

Credenti le organizzazioni Credenti modernizzare l'accesso a IBM i introducendo metodi di autenticazione senza password e resistenti al phishing prima dell'avvio di una sessione 5250. Ciò consente ai team di migliorare la sicurezza, ridurre la dipendenza dalle password e rafforzare la verificabilità, preservando al contempo l'esperienza dello schermo verde su cui gli utenti già fanno affidamento.

Perché è importante adesso

I sistemi IBM i continuano a gestire operazioni mission-critical, ma molte organizzazioni continuano a proteggerli con modelli di accesso con nome utente e password su schermo verde che non sono più in linea con le moderne aspettative in materia di identità.

Conserva i flussi di lavoro esistenti‍

Modernizza l'autenticazione senza dover riscrivere le applicazioni AS/400.

Rafforzare l'attribuzione

Collegarel'accesso al terminale condiviso a un'identità individuale reale.

Ampliare le opzioni di autenticazione

Supportabadge, riconoscimento facciale, QR e login tramite dispositivo mobile.

Allinearsi con l'identità aziendale

Integrai flussi di lavoro di accesso con Okta.

‍

La sfida dell'autenticazione negli ambienti IBM i

Gli ambienti IBM i sono spesso al centro della continuità operativa. Un'applicazione a schermo verde può ancora gestire l'esecuzione del magazzino, i registri di produzione, le operazioni finanziarie, l'elaborazione dei reclami, la visibilità dell'inventario o l'evasione degli ordini. Poiché questi sistemi rimangono profondamente radicati nell'azienda, i modelli di accesso sono spesso ottimizzati per la velocità e la familiarità piuttosto che per la moderna garanzia dell'identità.

Realtà comuni

Gli utenti accedono alle sessioni 5250 tramite flussi di lavoro terminali legacy che richiedono nome utente e password, spesso su macchine o stazioni condivise che supportano un rapido avvicendamento degli operatori.

Attrito comune

I metodi MFA tradizionali causano interruzioni, introducono dipendenze dai dispositivi o non sono adatti ad ambienti in cui gli utenti non possono portare con sé i telefoni o non dispongono di postazioni di lavoro assegnate.

Di conseguenza, i sistemi IBM i possono diventare isole di identità. Rimangono fondamentali per l'azienda, ma spesso sono collegati in modo approssimativo alla moderna governance degli accessi, alle strategie di autenticazione resistenti al phishing e agli standard di identità aziendali già applicati altrove.

Rischi per la sicurezza dell'autenticazione tradizionale con schermo verde

I modelli di accesso 5250 basati su password sono stati creati per un'epoca diversa. Negli ambienti moderni, introducono diversi rischi pratici e relativi alla revisione contabile.

Dipendenza dalla password

Gli utenti continuano ad affidarsi a credenziali che possono essere riutilizzate, condivise, oggetto di phishing o gestite in modo improprio in ambienti operativi ad alto volume.

Attribuzione debole

I terminali condivisi e le sessioni ereditate rendono difficile provare con esattezza chi ha avuto accesso a un sistema o ha eseguito un'azione.

Soluzioni operative alternative

I team spesso creano scorciatoie per preservare la velocità, il che può portare a account generici, credenziali memorizzate o responsabilità ridotta.

Dove le organizzazioni avvertono il dolore

I team di sicurezza faticano ad estendere le politiche MFA aziendali agli ambienti IBM i in modo tale che gli utenti le adottino effettivamente.

I team operativi desiderano che non vi siano interruzioni nei flussi di lavoro con schermo verde e non possono tollerare ripetuti problemi di accesso sui terminali condivisi.

I team addetti alla revisione e alla conformità necessitano di prove più solide dell'accesso a livello di utente, non solo della prova che un terminale ha raggiunto l'applicazione.

I team dirigenziali desiderano controlli moderni sull'identità senza avviare un grande progetto di modernizzazione legacy.

Perché l'SSO tradizionale non è sufficiente

Le organizzazioni spesso presumono che i progetti SSO convenzionali risolveranno il problema IBM i. In pratica, i sistemi a schermo verde raramente si adattano perfettamente alle moderne ipotesi SSO incentrate sul browser. Anche quando l'integrazione è tecnicamente possibile, può essere difficile da implementare, limitata nell'esperienza utente o poco adatta ai terminali condivisi e operativi.

Questo perché la vera sfida non è semplicemente la federazione. Si tratta piuttosto di stabilire l'identità affidabile dell'utente nel punto di accesso in modo tale da soddisfare le esigenze degli utenti operativi, preservare la velocità della sessione e adattarsi a un modello applicativo progettato molto prima che le moderne convenzioni SSO diventassero uno standard.

Per molti ambienti AS/400, il successo dipende dalla modernizzazione del controllo degli accessi durante la sessione piuttosto che dal tentativo di forzare lo schermo verde in un modello di autenticazione basato sul browser.

Credenti

Credenti il livello di autenticazione relativo all'accesso a IBM i senza richiedere alle organizzazioni di modificare il funzionamento dell'applicazione a schermo verde. Anziché ricostruire il sistema aziendale, i team introducono una verifica dell'identità più rigorosa prima che l'utente raggiunga la sessione 5250.

Proteggi il flusso di lavoro di accesso

Utilizzare metodi di autenticazione moderni per verificare l'identità dell'utente prima di avviare o riprendere l'accesso all'ambiente AS/400.

Conserva l'applicazione

Mantieni intatto il flusso di lavoro IBM i esistente, in modo che gli utenti possano continuare a operare nell'ambiente familiare dello schermo verde.

Come Credenti a questo caso d'uso

Credenti Tap

Abilita l'accesso tramite badge su workstation condivise e terminali operativi dove velocità e semplicità sono fondamentali.

Credenti You

Consenti agli utenti di autenticarsi sul dispositivo tramite biometria facciale, creando un'esperienza veloce e intuitiva senza password.

Credenti Unify

Collega le piattaforme di identità moderne e i flussi di accesso legacy in modo che le organizzazioni possano allineare l'accesso IBM i con una strategia di identità più ampia.

Architettura in sintesi

Il modello riportato di seguito illustra il flusso concettuale. L'utente stabilisce innanzitutto la propria identità tramite un metodo Credenti . Tale decisione di accesso può essere in linea con la strategia di identità aziendale dell'organizzazione, dopodiché all'utente viene concesso l'accesso alla sessione IBM i senza modificare la logica dell'applicazione a schermo verde.

Metodi di autenticazione supportati

La modernizzazione della sicurezza IBM i non dovrebbe dipendere da un unico modello di accesso. Ambienti diversi richiedono modi diversi per stabilire l'identità, preservando al contempo l'usabilità.

Accesso tramite badge

Ideale per terminali condivisi, postazioni di lavoro operative e ambienti in cui gli utenti necessitano di un accesso rapido senza dover digitare credenziali.

Accesso tramite riconoscimento facciale

Offre un'esperienza veloce senza password direttamente sul dispositivo, contribuendo a ridurre gli attriti e rafforzando al contempo l'attribuzione individuale.

Accesso tramite QR dispositivo mobile

Fornisce un'opzione aggiuntiva per gli ambienti in grado di supportare la verifica dell'identità tramite dispositivo senza ricorrere alle password.

Protezione dei terminali condivisi senza rallentare le operazioni

Uno dei problemi più difficili da risolvere su IBM i è quello dei terminali condivisi. Magazzini, reparti produttivi, aree di spedizione, sportelli e operazioni di back-office utilizzano spesso dispositivi che vengono toccati da molte persone durante il giorno. Effettuare il login e il logout con una password tradizionale ogni volta crea attrito, quindi i team cercano naturalmente delle scorciatoie.

Credenti progettato per proteggere quel modello senza costringere i team ad abbandonarlo. Gli utenti possono dimostrare rapidamente la propria identità nel punto di utilizzo, accedere alla macchina e continuare nel flusso di lavoro con schermo verde che già conoscono. Ciò contribuisce a preservare la velocità e a ripristinare la responsabilità.

L'obiettivo non è quello di rallentare le operazioni dei terminali condivisi. L'obiettivo è quello di renderli attribuibili, più sicuri e più facili da gestire.

Continuità operativa e offline

Molti casi d'uso di IBM i sono strettamente legati ad attività operative in cui la continuità è più importante delle condizioni di rete perfette. Le organizzazioni potrebbero aver bisogno di una soluzione che continui a supportare l'autenticazione degli utenti anche quando la connettività è compromessa, inaffidabile o intenzionalmente limitata.

Questo è importante negli stabilimenti, nei siti di distribuzione, nelle operazioni remote, negli ambienti di trasporto e in altri scenari in cui il lavoro critico non può essere interrotto a causa dell'indisponibilità temporanea del cloud. Il posizionamento più ampio Credentipiattaforma Credentisupporta flussi di lavoro con accesso sicuro in ambienti in cui la continuità operativa e la resilienza offline sono requisiti di progettazione importanti.

Conformità e allineamento dei rischi

Modernizzare l'accesso ai sistemi AS/400 e IBM i aiuta le organizzazioni a supportare obiettivi di sicurezza e governance più ampi. Sebbene i requisiti differiscano a seconda del settore, i temi comuni sono coerenti: ridurre l'esposizione delle password, rafforzare l'attribuzione a livello di utente, migliorare le prove di controllo degli accessi e allineare meglio i sistemi legacy alle aspettative di identità aziendale.

Riduzione del rischio

Ridurre la dipendenza da credenziali deboli o condivise in ambienti operativi critici.

Verificabilità

Migliorare la capacità di collegare gli eventi di accesso e l'avvio del flusso di lavoro a un'identità utente specifica e verificata.

Questi risultati possono supportare iniziative di controllo interno e un più ampio allineamento con i quadri normativi e le aspettative in materia di garanzia dell'accesso, responsabilità operativa e riduzione dei rischi dei sistemi legacy.

Casi d'uso comuni nel settore

Produzione

Terminali sicuri nell'area produttiva collegati alle applicazioni IBM i senza interrompere i flussi di lavoro operativi ad alta velocità.

Logistica e distribuzione

Migliora la sicurezza dell'identità nei magazzini e nelle stazioni di evasione ordini che si basano sull'accesso condiviso a sistemi basati su 5250.

Banche e assicurazioni

Rafforzare l'autenticazione per i sistemi di transazione e elaborazione legacy, preservando al contempo le esperienze familiari degli operatori.

Conclusione

Le organizzazioni non devono scegliere tra mantenere i sistemi IBM i e migliorare l'autenticazione. Possono preservare l'applicazione, preservare il flusso di lavoro e comunque implementare un livello di identità più forte e moderno per l'accesso.

Estensione dell'SSO moderno a IBM i (AS/400), iSeries e sistemi terminali 5250

Una volta che le organizzazioni hanno modernizzato l'esperienza di autenticazione per i terminali e le workstation condivisi, il passo successivo consiste nell'estendere tali controlli di identità agli stessi sistemi IBM i. Molti ambienti che utilizzano sistemi IBM i (AS/400) e iSeries si basano su applicazioni terminali 5250 che non sono mai state progettate per i moderni standard di federazione come SAML o OIDC.

Questi sistemi spesso funzionano su infrastrutture IBM Power Systems e supportano carichi di lavoro mission-critical nei settori manifatturiero, logistico, bancario e assicurativo. Sostituire queste applicazioni è raramente pratico, il che significa che i miglioramenti alla sicurezza devono avvenire intorno al flusso di lavoro di accesso piuttosto che all'interno dell'applicazione stessa.

Credenti l'SSO per gli ambienti IBM i verificando l'identità dell'utente prima dell'inizio della sessione terminale. Dopo l'autenticazione tramite provider di identità aziendali come Okta, gli utenti possono avviare o riprendere le loro sessioni AS/400 senza dover inserire manualmente le password. Ciò consente alle organizzazioni di introdurre l'autenticazione multifattoriale AS400, l'autenticazione senza password e un'attribuzione dell'identità più forte, preservando al contempo il familiare flusso di lavoro su schermo verde da cui dipendono gli operatori.

Estensione della governance delle identità a IBM i (AS/400)

La modernizzazione dell'autenticazione è solo una parte della protezione delle piattaforme legacy. Le organizzazioni necessitano anche di una governance delle identità e di una gestione del ciclo di vita coerenti in tutti i sistemi, compresi gli ambienti IBM i.

Credenti questa funzionalità tramite un connettore IBM AS/400 che integra i sistemi IBM i con piattaforme di identità aziendali come Okta. Ciò consente alle organizzazioni di gestire l'intero ciclo di vita delle identità, dalla creazione dell'account alla revoca dei diritti di accesso, mantenendo al contempo la visibilità sull'accesso e sull'attività degli utenti all'interno dei sistemi IBM i.

Governance dell'identità

Visibilità della conformità

Aggrega i dati di governance dai sistemi IBM i per supportare l'analisi della conformità, le revisioni degli accessi e il rilevamento di account non autorizzati o non conformi.

Monitoraggio dell'attività degli utenti

Fornire visibilità sulle attività degli utenti negli ambienti AS/400, rafforzando la verificabilità e supportando i controlli normativi e di sicurezza interni.

Gestione del ciclo di vita delle identità

Provisioning degli utenti

Crea automaticamente nuovi account utente in IBM i quando le identità vengono integrate tramite la piattaforma di identità aziendale.

Aggiornamenti dell'account

Sincronizza le modifiche dei ruoli, gli aggiornamenti dei profili e gli attributi di identità tra il provider di identità e gli account IBM i.

Disattivazione dell'account

Disattiva o rimuovi automaticamente gli account IBM i quando gli utenti lasciano l'organizzazione o non necessitano più dell'accesso.

Il connettore funziona tramite Credenti Provisioning Gateway, un servizio certificato SOC 2 Tipo II che opera su Amazon Web Services (AWS). Ciò consente una sincronizzazione sicura delle identità e una governance del ciclo di vita per gli ambienti IBM i / AS400, mantenendo al contempo l'affidabilità di livello aziendale e i controlli di conformità.

Automatizzazione del ciclo di vita delle identità IBM i con SCIM

Per rendere operativa la governance delle identità su larga scala, le organizzazioni si affidano sempre più allo standard SCIM (System for Cross-domain Identity Management). Credenti l'automazione del ciclo di vita basata su SCIM agli ambienti IBM i (AS/400) e iSeries, che in genere non dispongono di supporto nativo per i moderni protocolli di provisioning.

Utilizzando Credenti Provisioning Gateway, le identità provenienti da piattaforme come Okta possono essere sincronizzate direttamente nei sistemi IBM i. Ciò consente ai team IT di automatizzare il provisioning, gli aggiornamenti e il deprovisioning degli account utente, mantenendo al contempo politiche di identità coerenti sia nei sistemi moderni che in quelli legacy.

Approvvigionamento automatizzato

Crea automaticamente profili utente IBM i quando i dipendenti vengono assunti e viene loro assegnato l'accesso alla piattaforma di identità aziendale.

Sincronizzazione degli attributi

Sincronizza gli attributi del profilo, le modifiche ai diritti e gli aggiornamenti dei ruoli tra gli ambienti Okta e IBM i.

De-provisioning automatizzato

Disattiva o rimuovi immediatamente i profili utente AS/400 quando un utente lascia l'organizzazione, riducendo gli account orfani e il rischio di non conformità.

Questa architettura allinea i sistemi IBM i in esecuzione su IBM Power Systems alle moderne pratiche di gestione del ciclo di vita delle identità, garantendo che le piattaforme legacy partecipino pienamente alle strategie di governance delle identità aziendali.

Flusso di gestione del ciclo di vita delle identità per IBM i

Il flusso del ciclo di vita riportato di seguito mostra come un evento di provisioning possa avere origine nel provider di identità, essere elaborato tramite Credenti e quindi applicato a IBM i in un formato che la piattaforma è in grado di eseguire in modo nativo. Questo è il modello architetturale chiave che consente a IBM i di partecipare ai moderni flussi di lavoro relativi alle assunzioni, ai trasferimenti e alle dimissioni senza richiedere il supporto SCIM nativo sul lato AS/400.

Cosa attiva il flusso di lavoro

Un evento di ingresso, trasferimento o uscita in Okta comporta in genere una modifica dell'assegnazione dell'applicazione, che a sua volta genera una transazione di provisioning SCIM per l'applicazione connessa a IBM i.

Cosa fa il connettore

Il connettore IBM AS/400 on-prem mappa gli attributi SCIM e le azioni del ciclo di vita alle operazioni del profilo utente nativo IBM i, in modo che la piattaforma di destinazione possa elaborarli senza supporto SCIM nativo.

In termini pratici, ciò significa che è possibile creare un utente in Okta, assegnargli l'accesso all'applicazione connessa a IBM i e quindi fornirlo automaticamente in IBM i / AS400. Le modifiche successive, quali aggiornamenti degli attributi, modifiche dell'accesso, sospensione o cessazione, possono seguire lo stesso percorso del ciclo di vita con una verificabilità coerente.

‍