> Tech > Etendre Windows SSO aux entreprises

Etendre Windows SSO aux entreprises

Tech - Par Jan De Clercq - Publié le 24 juin 2010
email

Microsoft BizTalk Server 2004 est la version la plus récente du logiciel serveur d’intégration d’applications d’entreprise (EAI, enterprise application integration) et d’intégration de processus de gestion. BizTalk Server 2004 aide les entreprises à intégrer systèmes, employés et partenaires de telle sorte qu’ils puissent automatiser et orchestrer les interactions. HIS (Host Integration Server) 2004 est la version la plus récente du logiciel serveur passerelle mainframe de Microsoft. (Microsoft appelait les versions HIS antérieures SNA Server.) HIS 2004 permet aux entreprises d’intégrer les applications Microsoft .NET basées sur l’hôte, les sources de données, la messagerie, et les systèmes de sécurité, et aussi d’utiliser les données et applications mainframe et milieu de gamme IBM au travers d’environnements distribués.BizTalk et HIS utilisent désormais Enterprise Single Sign-On (ENTSSO). ENTSSO étend la fonctionnalité SSO intégrée de la plate-forme Windows pour inclure d’autres OS (comme Linux, UNIX) et applications mainframe et d’entreprise comme le logiciel ERP (enterprise resource planning) (SAP, par exemple). ENTSSO est un excellent exemple de solution SSO automatisée côté serveur, avec mise en cache des références. Comme BizTalk et HIS, ENTSSO est précieux pour les entreprises dotées d’infrastructures IT hétérogènes et désireuses d’optimiser et d’intégrer les portions Windows de leurs infrastructures et applications avec d’autres systèmes et applications hérités.

L’architecture ENTSSO, qu’illustre la figure 1 est construite autour d’un module qui associe le compte Windows d’un utilisateur à un ou plusieurs comptes non-Windows et à leurs références correspondantes. Ces références sont nécessaires pour que SSO se manifeste quand les utilisateurs accèdent à des applications ou platesformes mainframe ou non-Windows (appelées applications affiliées).
Les associations de références ENTSSO sont stockées en toute sécurité dans une base de données Microsoft SQL Server. Pour les configurer, on dispose de ssoconfig.exe et ssomanage. exe, un ensemble d’utilitaires d’administration par ligne de commande. Côté serveur, on installe les outils d’administration ENTSSO en même temps que le service ENTSSO. Côté client, on utilise ssoclient.msi ou ssoclientinstall.exe pour installer les outils en même temps que le logiciel client ENTSSO. On peut aussi administrer à distance les associations de références et autres paramètres de configuration ENTSSO. Comme ENTSSO n’a pas une GUI d’administration, il faut effectuer toutes les tâches d’administration et de configuration ENTSSO à partir de la ligne de commande, comme le montre la figure 2.

On peut déclencher les consultations des associations de références en utilisant les adaptateurs d’applications incorporés dans BizTalk (pour des consultations initiées par Windows) ou les providers de données incorporés dans HIS (pour des consultations initiées par Windows ou par l’hôte). Le premier scénario est lié à une séquence SSO initié par Windows.
Le second peut être lié à une séquence SSO initiée par Windows ou par l’hôte. SSO initié par Windows signifie que les utilisateurs qui se connectent à un environnement Windows peuvent utiliser SSO pour accéder aux ressources non-Windows. SSO initié par l’hôte signifie que les utilisateurs qui se connectent à un environnement non-Windows (comme une application mainframe) peuvent utiliser SSO pour accéder aux ressources Windows. SSO initié par l’hôte est une fonction unique de HIS. ENTSSO supporte quatre mécanismes d’association de comptes:

• Une association individuelle Windows définit une relation de un à un entre des comptes Windows et non-Windows. Cette association peut être gérée par un utilisateur ou un administrateur.
• Une association de groupe Windows définit une relation de un à plusieurs entre des comptes Windows et non- Windows. Tous les utilisateurs Windows utilisent les mêmes comptes non-Windows pour accéder au système d’arrière plan. Seuls les administrateurs peuvent gérer cette association.
• Une association individuelle hôte est une association spécifique à HIS qui n’existe que pour le SSO initié par l’hôte et qui définit une relation de un à un entre des comptes non-Windows et Windows. Cette association peut être gérée par un utilisateur ou un administrateur.
• Une association de groupe hôte est une association spécifique HIS qui n’existe que pour le SSO initié par l’hôte et qui définit une relation de un à plusieurs entre des comptes non-Windows et Windows. Seuls des administrateurs peuvent gérer cette association.

Pour stocker en sécurité les références héritées dans la base de données SQL Server, ENTSSO utilise une clé de cryptage symétrique de 128 bits, appelée secret maître, pour crypter et décrypter les mots de passe. Le secret maître est stocké sur un serveur de secrets maîtres dédié.
C’est en fait un serveur ENTSSO spécial que plusieurs serveurs ENTSSO peuvent se partager.

Le programme d’installation ENT SSO crée une base de données SSO (SSODB) dans la base de données SQL Server. La SSODB contient 11 tables propres à ENTSSO, y compris la table SSOX_IndividualMapping, qui stocke le nom de domaine Windows, le nom de compte Windows, le nom d’application externe et le nom de compte externe ; et la table SSOX_External Credentials, qui stocke le nom d’application externe, le nom de compte externe et les références externes cryptées.

On utilise la clé maîtresse pour crypter ces références.
Une installation ENTSSO classique est constituée de plusieurs serveurs ENTSSO (un pour chaque serveur d’application qui héberge un adaptateur BizTalk ou un provider de données HIS), un serveur de secrets maîtres ENTSSO et une machine SQL Server qui héberge la base de données ENTSSO. Chaque fois qu’un serveur ENTSSO décrypte ou crypte des données SSO provenant de la base de données ENTSSO, le serveur extrait le secret maître du serveur de secrets maîtres via un RPC (remote procedure call) sécurisé. Pour instaurer la tolérance aux pannes, on peut regrouper dans un cluster la machine SQL Server et le serveur de secrets maîtres ENTS SO.

Téléchargez cette ressource

Comment sécuriser une PME avec l’approche par les risques ?

Comment sécuriser une PME avec l’approche par les risques ?

Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.

Tech - Par Jan De Clercq - Publié le 24 juin 2010

A lire aussi sur le site

Revue Smart DSI

La Revue du Décideur IT