> Tech > Un petit tour avec Single SIGN-ON

Un petit tour avec Single SIGN-ON

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

par Brad Behle, Mis en ligne le 22/O3/2006 - Publié en Septembre 2005

A l’heure qu’il est, vous avez probablement entendu parler du Single Sign- On (SSO). Mais il y a de grandes chances pour que vous ne sachiez pas exactement ce qu’il est ni comment l’utiliser. Comme beaucoup de termes, sigles et acronymes de l’industrie informatique, SSO signifie différentes choses pour différentes personnes : quand on les écoute, on se demande si elles parlent vraiment de la même chose. Je ne vais pas vous dire exactement ce qu’est et n’est pas SSO et je ne vais pas analyser les forces et les faiblesses relatives des différents produits et solutions SSO. Il existe déjà de nombreux articles excellents sur le sujet (voir l’encadré « Une introduction à SSO, EIM et Kerberos »). Et d’autres informations se trouvent dans l’iSeries Info Center (ibm.com/eserver/ iseries/infocenter), sous Security|Single signon|Concepts.Je préfère expliquer comment vous pouvez bénéficier de SSO dès aujourd’hui dans une vraie application i5/OS V5R3 que vous utilisez probablement déjà. Cette application est iSeries Navigator ou, plus précisément, les applications Management Central de Navigator. Je vais donc vous présenter les étapes de préparation et d’utilisation de SSO pour les applications Management Central. Vous verrez ainsi ce qu’est SSO, comment il fonctionne et, plus important, comment il peut faire gagner du temps et de l’argent à votre entreprise.

Un petit tour avec Single SIGN-ON

La sécurité d’iSeries Navigator a toujours été simple et directe (figure 1). Pour agir sur un système, vous commencez par vous connecter avec votre profil utilisateur et mot de passe correspondant à ce système. Si vous voulez utiliser les tâches et moniteurs de Management Central, capables d’agir sur de nombreux systèmes ou partitions iSeries simultanément (par exemple, commande à distance, moniteurs de système, moniteurs de messages, PTF Send et Apply), vous devez d’abord vous connecter à l’iSeries système central. Ensuite le système central coordonne l’exécution de la tâche ou du moniteur vers différents systèmes et partitions d’extrémité. Vous n’avez pas à savoir comment fonctionne la sécurité entre le système central et les points d’extrémité, mais vous devez avoir le même profil et le même mot de passe sur le système central et chaque système point d’extrémité. Bien que cela ressemble fort à SSO (parce que vous n’avez pas à vous connecter vers chaque système point d’extrémité avec un profil et un mot de passe), il ne s’agit en réalité que de la synchronisation des profils et des mots de passe. La méthode présente encore de graves lacunes, comme le fait de devoir changer tous les mots de passe chaque fois que l’on change l’un d’eux.

En V5R2, iSeries Navigator a introduit la possibilité d’utiliser Kerberos (également appelé Network Authentication Service) et EIM (Enterprise Indentity Mapping) pour valider SSO pour la connexion initiale entre le PC et le système iSeries sur lesquels vous voulez agir. Cette possibilité étant validée, votre ticket Windows Kerberos vous authentifie auprès du système iSeries et EIM associe ce ticket Kerberos à votre profil utilisateur. Donc, votre profil utilisateur et mot de passe ne vous sont pas du tout demandés.

Cette option prend en charge SSO: concrètement, une fois que vous vous êtes connectés à votre domaine Windows, il n’est pas nécessaire d’entrer à nouveau votre nom et mot de passe utilisateur pour vous connecter à vos systèmes iSeries par l’intermédiaire d’iSeries Navigator. Cependant, vous devez quand même synchroniser tous vos profils et mots de passe utilisateur pour pouvoir utiliser les tâches et moniteurs de Management Central. Cet article ne traite pas de l’utilisation de SSO pour vos connexions directes à iSeries Navigator ou les connexions vers votre système central Management Central. Cette possibilité a été ajoutée en V5R2 (pour en savoir plus, voir « Scenario: Enable single sign-on » dans la section Security du iSeries Info Center). Cet article traite plutôt de l’option de V5R3 pour un single sign-on entre votre système central Management Central et tous vos systèmes et partitions d’extrémité.

La synchronisation des mots de passe est nécessaire parce que les applications Management Central utilisent le même registre d’utilisateurs, ou liste d’utilisateurs, à la fois pour l’authentification (pour prouver que vous êtes bien celui que vous prétendez) et l’autorisation (ce qui vous est autorisé).

Les applications Management Central utilisent le fait que le profil et le mot de passe sont les mêmes sur le point d’extrémité et le système central, pour authentifier le fait que le demandeur est bien l’utilisateur de ce point d’extrémité.

Après quoi, le système point d’extrémité exécute la même tâche ou moniteur que l’utilisateur du point d’extrémité, pour s’assurer que l’utilisateur a le droit d’exécuter cette tâche ou ce moniteur (parce que la tâche ou le moniteur échouent si le profil a une autorité insuffisante). Les profils d’utilisateurs i5/ OS conviennent bien à l’autorisation, mais du fait de l’utilisation de mots de passe, ils ne sont pas l’outil idéal pour l’authentification distribuée.

Un grand mérite de la technologie EIM est de pouvoir utiliser un registre utilisateur pour l’authentification et un registre utilisateur différent pour l’autorisation.

En V5R3, les applications Management Central ont ajouté la possibilité d’utiliser Kerberos pour l’authentification entre le système central et les points d’extrémité, de telle sorte qu’aucune synchronisation des mots de passe n’est nécessaire. EIM permet aussi d’associer un profil utilisateur du système central à un profil utilisateur sur chacun des points d’extrémité (de sorte qu’aucune synchronisation des profils utilisateur n’est nécessaire).

Téléchargez cette ressource

Guide de réponse aux incidents de cybersécurité

Guide de réponse aux incidents de cybersécurité

Le National Institute of Standards and Technology (NIST) propose un guide complet pour mettre en place un plan de réponse aux incidents de cybersécurité, nous en avons extrait et détaillé les points essentiels dans ce guide. Découvrez les 6 étapes clés d'un plan de réponse efficace aux incidents de cybersécurité.

Tech - Par iTPro.fr - Publié le 24 juin 2010

A lire aussi sur le site

Revue Smart DSI

La Revue du Décideur IT