La stratégie OS/400 EIM SSO en V5R2 s'appuie sur le procédé d'authentification Kerberos. Kerberos est un mécanisme d'authentification distribuée, tierce partie, neutre vis-à -vis des platesformes, existant sur de nombreuses plates-formes : les domaines Windows 2000, par exemple.
Depuis la V5R1 (et aussi en V4R5 via PTF), l'OS/400 a supporté Kerberos
et GSSAPI (Generic Security Services
API), connu collectivement sous le
nom de Network Authentication
Service. Mais ce support ne permettait
aux ISV que d’écrire des applications
exploitant Kerberos. Les interfaces du
système d’exploitation continuaient à
n’accepter que l’identification ID-mot
de passe utilisateur. La raison en est
simple. Identifier un utilisateur dans le
registre Kerberos n’indique pas les ressources
auxquelles il peut accéder
dans l’OS/400. Ce dernier doit
connaître le profil utilisateur pour
pouvoir appliquer la sémantique de
sécurité OS/400.
C’est pourquoi IBM a inventé EIM.
Si je sais pertinemment que vous êtes
celui que vous prétendez (c’est-à -dire
que votre ticket Kerberos est valide)
« là -bas », et si je sais aussi quelle identité
vous utilisez quand vous êtes « là bas
», alors je n’ai pas besoin que vous
vous réauthentifiiez en utilisant mon
registre utilisateur local. Grâce à
Kerberos, je sais déjà qui vous êtes,
sans aucun doute. EIM pousse le détail
plus loin en me disant quelle identité, ou ID utilisateur, vous utilisez dans
mon système. Autrement dit, Kerberos
fournit l’authentification distribuée, et
EIM assume la correspondance d’identité
entre votre ID utilisateur Kerberos
(dans cet exemple) et votre profil utilisateur
OS/400.
L’État des lieux de la sécurité cloud-native vous offre une analyse complète des problématiques, des tendances et des priorités qui sous-tendent les pratiques de sécurité cloud-native dans le monde entier. Une lecture indispensable pour renforcer votre stratégie de sécurité dans le cloud. Une mine d’infos exclusives pour élaborer votre stratégie de sécurité cloud-native.
