> Tech > Variantes de l’accès à  la seule application (2)

Variantes de l’accès à  la seule application (2)

Tech - Par iTPro - Publié le 24 juin 2010
email

Les API de jeton de profil remontent à  la V4R5. Elles ont le même effet que les API de permutation de profil, mais elles génèrent un jeton qui peut être transmis entre les jobs. Les API peuvent générer des jetons pour utilisation unique, multi-utilisation ou types régénération de multi-utilisation. Ces

jetons deviennent invalides après
un temps défini.

Les API UID et GID remontent
aussi à  la V4R5
. IBM a ajouté les setuid(), setgid() et API associées pour
faciliter le portage des applications
Unix fonctionnant dans le PASE
(Portable Application Solutions
Environment). Les versions OS/400 natives,
qsy_setuid(), qsy_setgid() et les
API associées donnent aux développeurs
d’applications OS/400 un nouveau
choix de modèle d’autorisation
d’une application. Contrairement à  ce
qui se passe avec les API de permutation
de profil ou de jeton de profil, les
API UID et GID ne permutent que dans
un profil utilisateur (dans le cas des API
UID) ou dans un profil de groupe
(dans le cas des API GID). L’UID est
une représentation numérique de l’utilisateur
plutôt que le nom du profil utilisateur.
Le GID est la représentation
numérique d’un profil de groupe.

Comment ces options aident-elles le
concepteur d’applications? Désormais,
quand un utilisateur accède à  une application,
une partie du démarrage de l’application
peut définir le GID d’après le
propriétaire de l’application. Le profil de
propriété de l’application est maintenant
le premier groupe de l’utilisateur.
L’intérêt de cette solution réside dans le
fait que le propriétaire de l’application
devient le groupe de l’utilisateur final
pour ce thread seulement. Avant la V4R5,
le seul moyen de mettre en oeuvre un
modèle similaire était de changer le profil
de groupe d’un utilisateur puis d’utiliser
les API de permutation pour permuter
avec le même utilisateur, pour que le
nouveau profil de groupe entre en vigueur.

Cette technique pose un problème:
si un utilisateur peut démarrer
un autre processus, le profil d’application
est le premier profil de groupe de
l’utilisateur, ce qui lui permet d’accéder
à  tous les objets de l’application
avec des droits de propriétaire. On a là 
le même niveau de risque que quand
on définit directement l’utilisateur
comme un membre du profil du propriétaire
de l’application. En utilisant
les API GID, on élimine de tels risques.

Téléchargez gratuitement cette ressource

Zero Trust : Le Livre Blanc Architecture & Stratégie

Zero Trust : Le Livre Blanc Architecture & Stratégie

Comment mettre en place une architecture Zero Trust ? (ZTA, confiance zéro) ? Cette architecture qui consiste à authentifier et à autoriser chaque utilisateur et chaque appareil avant que l'accès aux données ne soit autorisé. Découvrez pas à pas la stratégie de mise en œuvre d'une architecture Zero Trust dans ce livre blanc Alcatel Lucent Entreprise.

Tech - Par iTPro - Publié le 24 juin 2010