La stratégie OS/400 EIM SSO en V5R2 s'appuie sur le procédé d'authentification Kerberos. Kerberos est un mécanisme d'authentification distribuée, tierce partie, neutre vis-à -vis des platesformes, existant sur de nombreuses plates-formes : les domaines Windows 2000, par exemple.
Depuis la V5R1 (et aussi en V4R5 via PTF), l'OS/400 a supporté Kerberos
et GSSAPI (Generic Security Services
API), connu collectivement sous le
nom de Network Authentication
Service. Mais ce support ne permettait
aux ISV que d’écrire des applications
exploitant Kerberos. Les interfaces du
système d’exploitation continuaient à
n’accepter que l’identification ID-mot
de passe utilisateur. La raison en est
simple. Identifier un utilisateur dans le
registre Kerberos n’indique pas les ressources
auxquelles il peut accéder
dans l’OS/400. Ce dernier doit
connaître le profil utilisateur pour
pouvoir appliquer la sémantique de
sécurité OS/400.
C’est pourquoi IBM a inventé EIM.
Si je sais pertinemment que vous êtes
celui que vous prétendez (c’est-à -dire
que votre ticket Kerberos est valide)
« là -bas », et si je sais aussi quelle identité
vous utilisez quand vous êtes « là bas
», alors je n’ai pas besoin que vous
vous réauthentifiiez en utilisant mon
registre utilisateur local. Grâce à
Kerberos, je sais déjà qui vous êtes,
sans aucun doute. EIM pousse le détail
plus loin en me disant quelle identité, ou ID utilisateur, vous utilisez dans
mon système. Autrement dit, Kerberos
fournit l’authentification distribuée, et
EIM assume la correspondance d’identité
entre votre ID utilisateur Kerberos
(dans cet exemple) et votre profil utilisateur
OS/400.
A l’heure où les données des solutions Microsoft de Digital Workplace sont devenues indispensables au bon fonctionnement de l’entreprise, êtes-vous certain de pouvoir compter sur votre plan de sécurité des données et de sauvegarde des identités Microsoft 365, Exchange et Teams ? Découvrez les 5 erreurs à ne pas commettre et les bonnes pratiques recommandées par les Experts DIB France.
