Enterprise Single Sign-On - Notions de base
pour comprendre Enterprise Sign-On unique (SSO), il est utile de consulter les trois types de services de Sign-On uniques disponibles aujourd’hui : Windows integrated, extranet et intranet. celles-ci sont décrites dans les sections suivantes, avec Enterprise Sign-On unique appartenant à la troisième catégorie.
Authentification unique Windows intégrée
Ces services permettent de se connecter à plusieurs applications de votre réseau qui utilisent une méthode d'authentification commune. Lorsque vous êtes connecté au réseau, ils vérifient vos informations d'identification et utilisent celles-ci pour déterminer les actions que vous pouvez exécuter en fonction de vos droits d'utilisateur. Par exemple, si les applications s’intègrent à l’aide de Kerberos, une fois que le système a authentifié les informations d’identification de l’utilisateur, vous pouvez accéder à toutes les ressources du réseau qui sont intégrées à Kerberos.
Authentification unique extranet (via le Web)
Ces services permettent d'accéder à des ressources via Internet à l'aide d'un ensemble unique d'informations d'identification. L'utilisateur fournit des informations d'identification qui permettent d'ouvrir une session sur différents sites Web appartenant à différentes organisations. un exemple de ce type de Sign-On unique est le Windows Live ID pour les applications basées sur le consommateur. pour les scénarios fédérés, Services ADFS active l’authentification unique Web.
Authentification unique via un serveur intranet
Ces services vous permettent d’intégrer plusieurs systèmes et applications hétérogènes dans l’environnement d’entreprise. Ces applications et systèmes peuvent ne pas utiliser l’authentification commune. Chaque application possède son propre magasin d'annuaires d'utilisateurs. Par exemple, pour authentifier les utilisateurs d'une organisation, Windows utilise le service d'annuaire Active Directory et les macroordinateurs utilisent RACF (Resource Access Control Facility) d'IBM. Au sein de l'entreprise, les applications intermédiaires intègrent les applications principales et frontales. L'authentification unique de l'entreprise permet aux utilisateurs de l'entreprise de se connecter aux deux types d'applications à l'aide d'un seul ensemble d'informations d'identification. Ainsi, aussi bien l'authentification unique initiée par Windows (demande initiale effectuée à partir de l'environnement du domaine Windows) que l'authentification unique initiée par l'hôte (demande initiale effectuée à partir de l'environnement d'un domaine non-Windows) sont en mesure d'accéder à une ressource dans le domaine Windows.
En outre, la synchronisation de mots de passe simplifie l'administration de la base de données SSO et synchronise les mots de passe au sein des annuaires d'utilisateurs. Pour ce faire, vous pouvez utiliser les adaptateurs de synchronisation de mot de passe, que vous pouvez configurer et gérer à l’aide des outils de synchronisation de mot de passe.
Système de l’authentification unique de l’entreprise
Enterprise Sign-On unique fournit des services pour stocker et transmettre les informations d’identification chiffrées de l’utilisateur au-delà des limites locales et du réseau, y compris les limites de domaine. L’authentification unique stocke les informations d’identification dans la base de données des informations d’identification. Étant donné que l’authentification unique fournit une solution d’authentification unique générique, les applications middleware et les adaptateurs personnalisés peuvent tirer parti de l’authentification unique pour stocker et transmettre en toute sécurité les informations d’identification de l’utilisateur dans l’environnement. Les utilisateurs finaux peuvent accéder aux différentes applications sans avoir à se souvenir de plusieurs informations d'identification.
Composants du système SSO
Le système de Sign-On unique se compose d’une base de données d’informations d’identification, d’un serveur de secret principal et d’un ou plusieurs serveurs Sign-On uniques.
Le système d'authentification unique contient des applications associées définies par l'administrateur. une application associée est une entité logique qui représente un système ou un sous-système tel qu’un hôte, un système principal ou une application métier à laquelle vous vous connectez à l’aide de Enterprise Single Sign-On. Chaque application associée est dotée de plusieurs mappages d'utilisateurs. Elle dispose, par exemple, des mappages entre les informations d'identification d'un utilisateur utilisées par Active Directory et par RACF.
la base de données des informations d’identification est la base de données SQL Server qui stocke les informations relatives aux applications associées, ainsi que toutes les informations d’identification chiffrées de l’utilisateur pour toutes les applications associées.
Le serveur de secret principal correspond au serveur d'authentification unique de l'entreprise qui stocke le secret principal. Tous les autres serveurs de Sign-On unique du système obtiennent le secret principal auprès du serveur de secret principal.
Le système SSO contient également un ou plusieurs serveurs d’authentification unique. ces serveurs effectuent le mappage entre les informations d’identification du Windows et du serveur principal et recherchent les informations d’identification dans la base de données des informations d’identification. Les administrateurs les utilisent pour assurer la gestion du système d'authentification unique.
Notes
Vous ne pouvez avoir qu’un seul serveur de secret principal et une seule base de données d’informations d’identification dans votre système d’authentification unique. La base de données des informations d’identification peut être distante au serveur de secret principal.
Notes
Enterprise Sign-On unique offre des fonctionnalités limitées dans un environnement de groupe de travail et ne prend en charge que les scénarios de stockage de configuration. Un environnement de domaine est requis pour les scénarios de Sign-On unique et les scénarios de synchronisation de mot de passe.