La méthode IBM i de gestion des mots de passe

Network Authentication Service) pour l’authentification et Enterprise Identity Mapping (EIM) pour l’autorisation. Les applications « bien kerberizées », comme IBM System i Access, doivent pouvoir atteindre un serveur tournant sur le i sans entrer un profil/mot de passe utilisateur. L’architecture SSO i est appelée password-elimination design parce que des tickets Kerberos sont utilisés pour l’authentification plutôt que des mots de passe.

Et donc, les administrateurs peuvent donner la valeur *NONE aux mots de passe de profil utilisateur i. Ce faisant, il n’y a plus de mot de passe à redéfinir, ce qui réduit considérablement le coût de gestion des profils utilisateur. Une solution password-elimination SSO basée sur EIM procure de nombreux avantages, dont voici les principaux :

• La possibilité d’appliquer une stratégie de mot de passe plus stricte en se concentrant sur le mot de passe d’authentification initial d’un utilisateur final, généralement configuré dans Active Directory.
• Moins de mots de passe à auditer et à changer périodiquement, ce qui facilite le respect des exigences de conformité.
• Moins d’appels au Help Desk pour redéfinir des mots de passe.
• Maintenance et documentation centrale de la propriété du compte utilisateur, un puissant outil de gestion en soi.
• Plus besoin d’installer, de configurer et gérer une autre couche d’infrastructure IT parce que Kerberos est probablement déjà utilisé pour l’authentification (par exemple, si les utilisateurs finaux s’authentifient initialement à un domaine Windows) et EIM pour l’autorisation (pour la version 5.2 ou ultérieure).
• Moins d’infrastructure IT, et donc déploiement progressif et plus rapide sans risque pour les utilisateurs finaux. Les organisations peuvent mettre en œuvre un projet pilote pour un petit nombre d’utilisateurs finaux sans affecter l’accès des autres.

EIM, une infrastructure IBM développée en 2002 pour le i, associe simplement les gens à leurs profils utilisateur sur différents serveurs ou applications. En collaborant avec une technologie d’authentification qui remplace les mots de passe, comme Kerberos pour des applications Windows ou les jetons d’identité pour des applications WebSphere, EIM valide password-elimination SSO. De quoi réduire sensiblement les coûts de gestion des profils utilisateur sur de nombreuses plates-formes : i, Linux, Windows, WebSphere Application Server, WebSphere Portal Server, et autres.

Kerberos est un service d’authentification réseau ouvert au public, inventé par le MIT (Massachusetts Institute of Technology) dans les années 80 et utilisables par les principaux systèmes d’exploitation. Si vous authentifiez votre ordinateur fixe ou portable auprès d’un contrôleur de domaine Windows aujourd’hui, il est probable que vous utilisez déjà Kerberos parce que c’est le service d’authentification Windows serveur par défaut. Par conséquent, il est probable que vous n’aurez pas à acheter de matériel ou de logiciel supplémentaire pour valider SSO, et vous pourrez facilement configurer le i pour accepter les tickets Kerberos pour l’authentification en utilisant l’assistant Navigator Network Authentification Service.