多要素認証では、ユーザー名およびパスワードを入力せずに Enterprise Server CICS にサインオンできます。証明書などのセキュリティで保護されたユーザー識別子がユーザー名にマップされ、パストークンを生成するために使用されます。ユーザーは、スマートカード、生体認証、またはその他の認証システムを使用して、システムに自分自身を識別させることができます。その後、ユーザー名およびパストークンを使用して、自動化された方法で CICS にログオンできます。
多要素認証には、次の 2 つの主なソリューションがあります。
高速ログオン機能は、ほとんどの TN3270 エミュレーターでサポートされています。この機能では、SSL/TLS を使用して、識別用のユーザーの証明書を提供するクライアントから TN3270 サーバーに接続します。プレースホルダーのユーザー名およびパスワード トークンが CICS ログオン画面で使用されます。サーバーは、SSL 接続で使用されるクライアント証明書を読み取り、その証明書ストアを調べて、その証明書にマップされたユーザー名があるかどうかを確認します。存在する場合は、パストークンを生成し、ユーザー名およびパスワード トークンを実際のユーザー名とパストークンに置き換えて、クライアントのログオンを許可します。
メインフレーム用自動サインオンは、代替のログオン メカニズムです。この場合、サーバーは、Micro Focus Host Access Management and Security Server のようなソフトウェアなどによって、ユーザーの資格情報がすでに認証されていると想定します。この検証にはいくつかの形式があり、詳細は製品に固有です。メインフレーム用自動サインオンに使用できる製品は、ユーザーの証明書またはその他の識別用資格情報を CICS ユーザー名にマップし、パストークンを生成します。その後、ID およびパストークンを使用して、ログオンできます。Enterprise Server は、ユーザーが入力したユーザー名およびパスワードのように、ユーザー名とパストークンを処理します。
これらのログオン ソリューションは、両方とも、デジタル証明書アクセス サーバー (DCAS) に依存しています。DCAS サービスは、ELF で必要とされる証明書マッピング ルックアップ、および ELF とメインフレーム用自動サインオンの両方に使用されるパストークン生成を実行します。証明書マッピングは、コマンド ライン ユーティリティ cascertreg を使用して管理できます。
DCAS セキュリティの考慮事項および機能の詳細については、「DCAS セキュリティ」を参照してください。