Présentation de la programmation avec l’authentification unique
Un processus d'entreprise qui repose sur diverses applications est en général confronté au défi que représentent plusieurs domaines de sécurité différents. L'accès à une application sous un système d'exploitation Microsoft Windows peut requérir un ensemble particulier d'informations d'identification destinées à garantir la sécurité, tandis que l'accès à une application située sur un macroordinateur IBM est susceptible d'être dépendant d'autres informations d'identification. La gestion de cette profusion d’informations d’identification est difficile pour les utilisateurs et peut poser un défi encore plus grand pour l’automatisation des processus. Pour résoudre ce problème, BizTalk Server inclut Enterprise Single Sign-On (SSO). Cette fonction d'authentification unique de l'entreprise permet de mapper un ID utilisateur Windows avec les informations d'identification d'un utilisateur non-Windows. Ce service peut simplifier les processus d'entreprise qui utilisent des applications installées sur des systèmes différents.
Pour employer l'authentification unique de l'entreprise, un administrateur doit définir des applications associées représentant chacune un système ou une application non-Windows. Il peut s'agir d'une application CICS (Customer Information Control System) exécutée sur un macroordinateur IBM, d'un système ERP SAP fonctionnant sous UNIX ou de tout autre type de logiciel. Chacune de ces applications possède son propre mécanisme d'authentification et nécessite donc des informations d'identification uniques et personnalisées.
La fonction d'authentification unique de l'entreprise stocke un mappage chiffré entre l'ID utilisateur Windows d'un utilisateur et les informations d'identification correspondantes d'une ou plusieurs applications associées. Ces paires reliées sont stockées dans une base de données d'authentification unique. La fonction d'authentification unique utilise la base de données d'authentification unique de deux manières. La première méthode, appelée authentification unique initiée par Windows, utilise l’ID utilisateur pour déterminer à quelles applications affiliées l’utilisateur a accès. Par exemple, un compte d'utilisateur Windows peut être lié à des informations d'identification donnant accès à une base de données DB2 exécutée sur un serveur AS/400 distant. La deuxième méthode, appelée authentification unique initiée par l’hôte, agit à l’envers : déterminer quelles applications distantes ont accès à un ID utilisateur spécifié et les privilèges associés à ce compte. Par exemple, une application distante peut être liée à des informations d'identification donnant accès à un compte d'utilisateur ayant des privilèges d'administration sur un réseau Windows.
Notez que l'authentification unique inclut en outre des outils d'administration grâce auxquels vous pouvez effectuer diverses opérations. Toutes les opérations exécutées sur la base de données d'authentification unique sont auditées. Par exemple, des outils sont fournis afin de permettre à un administrateur de surveiller ces opérations et de définir divers niveaux d'audit. D'autres outils permettent à un administrateur de désactiver une application associée en particulier, d'activer ou de désactiver un mappage spécifique pour un utilisateur et d'effectuer d'autres fonctions. Un programme client permet également aux utilisateurs finaux de définir leurs propres informations d'identification et mappages.
L'une des conditions administratives requises pour l'authentification unique de l'entreprise est que votre système local doit connaître les informations d'identification nécessaires à la connexion à un système distant. De même, le système distant doit connaître les informations d'identification de votre système local. Par conséquent, lorsque vous avez mis à jour vos informations d'identification, par exemple lorsque vous avez modifié votre mot de passe sur votre ordinateur local, vous devez également informer les systèmes distants que vous avez procédé de la sorte. Le composant que vous concevez qui synchronise les mots de passe au sein d’une entreprise est appelé adaptateur de synchronisation de mot de passe.
Dans cette section
Interface de l’authentification unique
Applications à authentification unique
Éléments à connaître avant de programmer l’authentification unique