Présentation de l’authentification unique
Pour comprendre l’authentification unique d’entreprise, il est utile d’examiner les trois types de services de Sign-On unique disponibles aujourd’hui : Windows intégré, extranet et intranet. Ceux-ci sont décrits ci-dessous, l'authentification unique de l'entreprise appartenant à la troisième catégorie.
Ces services permettent de se connecter à plusieurs applications de votre réseau qui utilisent une méthode d'authentification commune. Lorsque vous êtes connecté au réseau, ils vérifient vos informations d'identification et utilisent celles-ci pour déterminer les actions que vous pouvez exécuter en fonction de vos droits d'utilisateur. Par exemple, si les applications sont intégrées à l'aide de Kerberos, une fois vos informations d'identification authentifiées par le système, vous pouvez accéder à toutes les ressources du réseau intégré à Kerberos.
Ces services permettent d'accéder à des ressources via Internet à l'aide d'un ensemble unique d'informations d'identification. L'utilisateur fournit des informations d'identification qui permettent d'ouvrir une session sur différents sites Web appartenant à différentes organisations. C'est le cas par exemple de Windows Live ID pour les applications destinées aux consommateurs. Dans le cadre des scénarios fédérés, les services AFDS (Active Directory Federation Services) activent l'authentification unique via le Web.
Ces services permettent d'intégrer plusieurs applications et systèmes hétérogènes au sein de l'environnement de l'entreprise. Ceux-ci peuvent ne pas utiliser l'authentification commune. Chaque application possède son propre magasin d'annuaires d'utilisateurs. Par exemple, pour authentifier les utilisateurs d'une organisation, Windows utilise le service d'annuaire Active Directory et les macroordinateurs utilisent RACF (Resource Access Control Facility) d'IBM. Au sein de l'entreprise, les applications intermédiaires intègrent les applications principales et frontales. L'authentification unique de l'entreprise permet aux utilisateurs de l'entreprise de se connecter aux deux types d'applications à l'aide d'un seul ensemble d'informations d'identification. Ainsi, aussi bien l'authentification unique initiée par Windows (demande initiale effectuée à partir de l'environnement du domaine Windows) que l'authentification unique initiée par l'hôte (demande initiale effectuée à partir de l'environnement d'un domaine non-Windows) sont en mesure d'accéder à une ressource dans le domaine Windows.
En outre, la synchronisation de mot de passe simplifie l’administration de la base de données de l’authentification unique et maintient la synchronisation des mots de passe entre les répertoires utilisateur. Pour ce faire, il est nécessaire d'utiliser les adaptateurs de synchronisation de mots de passe, que vous pouvez configurer et gérer à l'aide des outils de synchronisation de mots de passe.
Enterprise Single Sign-On (SSO) fournit des services pour stocker et transmettre des informations d’identification utilisateur chiffrées au-delà des limites locales et réseau, y compris les limites de domaine. Les informations d'identification sont stockées dans la base de données de l'authentification unique. Dans la mesure où l'authentification unique fournit une solution générique, les applications intermédiaires et les adaptateurs personnalisés peuvent s'appuyer sur l'authentification unique pour sécuriser le stockage et la transmission des informations d'identification de l'utilisateur dans l'intégralité de l'environnement. Les utilisateurs finaux peuvent accéder aux différentes applications sans avoir à se souvenir de plusieurs informations d'identification.
Le système d'authentification unique est constitué d'une base de données de l'authentification unique, d'un serveur de secret principal ainsi que d'un ou de plusieurs serveurs de l'authentification unique.
Le système d'authentification unique contient des applications associées définies par l'administrateur. Une application associée constitue une entité logique représentant un système ou un sous-système tel qu'un hôte, un système principal ou une application sectorielle à laquelle vous êtes connecté via l'authentification unique de l'entreprise. Chaque application associée est dotée de plusieurs mappages d'utilisateurs. Elle dispose, par exemple, des mappages entre les informations d'identification d'un utilisateur utilisées par Active Directory et par RACF.
La base de données SSO correspond à la base de données SQL Server qui stocke les informations relatives aux applications associées, ainsi que les informations d'identification chiffrées de l'utilisateur destinées à toutes les applications associées.
Le serveur de secret principal correspond au serveur d'authentification unique de l'entreprise qui stocke le secret principal. Tous les autres serveurs d'authentification unique présents dans le système extraient le secret principal à partir de ce serveur.
Le système d'authentification unique contient également un ou plusieurs serveurs d'authentification unique. Ces derniers effectuent le mappage entre les informations d'identification Windows et celles de systèmes principaux, recherchent ces informations d'identification dans la base de données SSO et sont utilisés par les administrateurs dans le cadre de la gestion du système d'authentification unique.
Notes
Votre système d'authentification unique peut inclure uniquement un serveur de secret principal et une base de données SSO. Celle-ci peut être distante du serveur de secret principal.