Enterprise Single Sign-On - Notions de base
Pour comprendre l'Sign-On unique d’entreprise (SSO), il est utile d’examiner les trois types de services à Sign-On unique disponibles aujourd’hui : intégré à Windows, extranet et intranet. Celles-ci sont décrites dans les sections suivantes, les Sign-On d’entreprise unique appartenant à la troisième catégorie.
Authentification unique Windows intégrée
Ces services permettent de se connecter à plusieurs applications de votre réseau qui utilisent une méthode d'authentification commune. Lorsque vous êtes connecté au réseau, ils vérifient vos informations d'identification et utilisent celles-ci pour déterminer les actions que vous pouvez exécuter en fonction de vos droits d'utilisateur. Par exemple, si les applications s’intègrent à l’aide de Kerberos, une fois que le système authentifie vos informations d’identification utilisateur, vous pouvez accéder à n’importe quelle ressource du réseau intégrée à Kerberos.
Authentification unique extranet (via le Web)
Ces services permettent d'accéder à des ressources via Internet à l'aide d'un ensemble unique d'informations d'identification. L'utilisateur fournit des informations d'identification qui permettent d'ouvrir une session sur différents sites Web appartenant à différentes organisations. Un exemple de ce type de Sign-On unique est l’ID Windows Live ID pour les applications basées sur les consommateurs. Pour les scénarios fédérés, Services ADFS active l’authentification unique web.
Authentification unique via un serveur intranet
Ces services vous permettent d’intégrer plusieurs applications et systèmes hétérogènes dans l’environnement d’entreprise. Ces applications et systèmes n’utilisent peut-être pas l’authentification courante. Chaque application possède son propre magasin d'annuaires d'utilisateurs. Par exemple, pour authentifier les utilisateurs d'une organisation, Windows utilise le service d'annuaire Active Directory et les macroordinateurs utilisent RACF (Resource Access Control Facility) d'IBM. Au sein de l'entreprise, les applications intermédiaires intègrent les applications principales et frontales. L'authentification unique de l'entreprise permet aux utilisateurs de l'entreprise de se connecter aux deux types d'applications à l'aide d'un seul ensemble d'informations d'identification. Ainsi, aussi bien l'authentification unique initiée par Windows (demande initiale effectuée à partir de l'environnement du domaine Windows) que l'authentification unique initiée par l'hôte (demande initiale effectuée à partir de l'environnement d'un domaine non-Windows) sont en mesure d'accéder à une ressource dans le domaine Windows.
En outre, la synchronisation de mots de passe simplifie l'administration de la base de données SSO et synchronise les mots de passe au sein des annuaires d'utilisateurs. Pour ce faire, utilisez des adaptateurs de synchronisation de mot de passe, que vous pouvez configurer et gérer à l’aide des outils de synchronisation de mot de passe.
Système de l’authentification unique de l’entreprise
Enterprise Single Sign-On fournit des services pour stocker et transmettre des informations d’identification utilisateur chiffrées à travers les limites locales et réseau, y compris les limites de domaine. L’authentification unique stocke les informations d’identification dans la base de données d’informations d’identification. Étant donné que l’authentification unique fournit une solution d’authentification unique générique, les applications intergiciels et les adaptateurs personnalisés peuvent tirer parti de l’authentification unique pour stocker et transmettre en toute sécurité les informations d’identification utilisateur dans l’environnement. Les utilisateurs finaux peuvent accéder aux différentes applications sans avoir à se souvenir de plusieurs informations d'identification.
Composants système de l’authentification unique
Le système de Sign-On unique se compose d’une base de données d’informations d’identification, d’un serveur secret master et d’un ou plusieurs serveurs à Sign-On unique.
Le système d'authentification unique contient des applications associées définies par l'administrateur. Une application affiliée est une entité logique qui représente un système ou un sous-système, tel qu’un hôte, un système principal ou une application métier à laquelle vous vous connectez à l’aide de l’authentification unique d’entreprise. Chaque application associée est dotée de plusieurs mappages d'utilisateurs. Elle dispose, par exemple, des mappages entre les informations d'identification d'un utilisateur utilisées par Active Directory et par RACF.
La base de données d’informations d’identification est la base de données SQL Server qui stocke les informations sur les applications affiliées, ainsi que toutes les informations d’identification chiffrées de l’utilisateur pour toutes les applications affiliées.
Le serveur de secret principal correspond au serveur d'authentification unique de l'entreprise qui stocke le secret principal. Tous les autres serveurs de Sign-On unique du système obtiennent le secret master à partir du serveur secret master.
Le système d’authentification unique contient également un ou plusieurs serveurs d’authentification unique. Ces serveurs effectuent le mappage entre les informations d’identification Windows et back-end et recherchent les informations d’identification dans la base de données d’informations d’identification. Les administrateurs les utilisent pour assurer la gestion du système d'authentification unique.
Notes
Vous ne pouvez avoir qu’un seul serveur secret master et une seule base de données d’informations d’identification dans votre système d’authentification unique. La base de données d’informations d’identification peut être distante du serveur secret master.
Notes
Enterprise Single Sign-On dispose de fonctionnalités limitées dans un environnement de groupe de travail, prenant en charge uniquement les scénarios de magasin de configuration. Un environnement de domaine est requis pour les scénarios de Sign-On unique et de synchronisation de mot de passe.