Présentation de l’authentification uniqueUnderstanding SSO

Pour comprendre Enterprise Single Sign-On, il est utile de consulter les trois types de services de Sign-On uniques disponibles aujourd’hui : Windows Integrated, extranet et intranet.To understand Enterprise Single Sign-On, it is useful to look at the three types of Single Sign-On services available today: Windows integrated, extranet, and intranet. Ceux-ci sont décrits ci-dessous, l'authentification unique de l'entreprise appartenant à la troisième catégorie.These are described below, with Enterprise Single Sign-On falling into the third category.

Authentification unique Windows intégréeWindows Integrated Single Sign-On

Ces services permettent de se connecter à plusieurs applications de votre réseau qui utilisent une méthode d'authentification commune.These services enable you to connect to multiple applications within your network that use a common authentication mechanism. Lorsque vous êtes connecté au réseau, ils vérifient vos informations d'identification et utilisent celles-ci pour déterminer les actions que vous pouvez exécuter en fonction de vos droits d'utilisateur.These services request and verify your credentials after you log into the network, and use your credentials to determine the actions that you can perform based on your user rights. Par exemple, si les applications sont intégrées à l'aide de Kerberos, une fois vos informations d'identification authentifiées par le système, vous pouvez accéder à toutes les ressources du réseau intégré à Kerberos.For example, if applications integrate using Kerberos, after the system authenticates your user credentials you can access any resource in the network that is integrated with Kerberos.

Authentification unique extranet (via le Web)Extranet Single Sign-On (Web SSO)

Ces services permettent d'accéder à des ressources via Internet à l'aide d'un ensemble unique d'informations d'identification.These services enable you to access resources over the Internet by using a single set of user credentials. L'utilisateur fournit des informations d'identification qui permettent d'ouvrir une session sur différents sites Web appartenant à différentes organisations.The user provides a set of credentials to log on to different Web sites that belong to different organizations. C'est le cas par exemple de Windows Live ID pour les applications destinées aux consommateurs.An example of this type of Single Sign-On is Windows Live ID for consumer based applications. Dans le cadre des scénarios fédérés, les services AFDS (Active Directory Federation Services) activent l'authentification unique via le Web.For federated scenarios, Microsoft Active Directory Federation Services enables Web SSO.

Authentification unique via un serveur intranetServer-Based Intranet Single Sign-On

Ces services permettent d'intégrer plusieurs applications et systèmes hétérogènes au sein de l'environnement de l'entreprise.These services enable you to integrate multiple heterogeneous applications and systems within the enterprise environment. Ceux-ci peuvent ne pas utiliser l'authentification commune.These applications and systems may not use common authentication. Chaque application possède son propre magasin d'annuaires d'utilisateurs.Each application has its own user directory store. Par exemple, pour authentifier les utilisateurs d'une organisation, Windows utilise le service d'annuaire Active Directory et les macroordinateurs utilisent RACF (Resource Access Control Facility) d'IBM.For example, in an organization, Windows uses Active Directory directory service to authenticate users, and mainframes use IBM's Resource Access Control Facility (RACF) to authenticate the same users. Au sein de l'entreprise, les applications intermédiaires intègrent les applications principales et frontales.Within the enterprise, middleware applications integrate the front-end and back-end applications. L'authentification unique de l'entreprise permet aux utilisateurs de l'entreprise de se connecter aux deux types d'applications à l'aide d'un seul ensemble d'informations d'identification.Enterprise Single Sign-On enables users in the enterprise to connect to both the front end and back end while using only one set of credentials. Ainsi, aussi bien l'authentification unique initiée par Windows (demande initiale effectuée à partir de l'environnement du domaine Windows) que l'authentification unique initiée par l'hôte (demande initiale effectuée à partir de l'environnement d'un domaine non-Windows) sont en mesure d'accéder à une ressource dans le domaine Windows.It enables both Windows Initiated Single Sign-On (in which the initial request is made from the Windows domain environment) and Host Initiated Single Sign-On (in which the initial request is made from a non-Windows domain environment) to access a resource in the Windows domain.

En outre, la synchronisation de mot de passe simplifie l’administration de la base de données SSO et maintient la synchronisation des mots de passe entre les annuaires des utilisateurs.In addition, Password Synchronization simplifies administration of the SSO database, and keeps passwords in sync across user directories. Pour ce faire, il est nécessaire d'utiliser les adaptateurs de synchronisation de mots de passe, que vous pouvez configurer et gérer à l'aide des outils de synchronisation de mots de passe.This is done through the use of password synchronization adapters, which you can configure and manage using the Password Synchronization tools.

Système d'authentification unique de l'entrepriseThe Enterprise Single Sign-On System

L’authentification Sign-On unique (SSO) de l’entreprise fournit des services pour stocker et transmettre les informations d’identification chiffrées de l’utilisateur au-delà des limites locales et du réseau, y compris les limites de domaine.Enterprise Single Sign-On (SSO) provides services to store and transmit encrypted user credentials across local and network boundaries, including domain boundaries. Les informations d'identification sont stockées dans la base de données de l'authentification unique.SSO stores the credentials in the SSO database. Dans la mesure où l'authentification unique fournit une solution générique, les applications intermédiaires et les adaptateurs personnalisés peuvent s'appuyer sur l'authentification unique pour sécuriser le stockage et la transmission des informations d'identification de l'utilisateur dans l'intégralité de l'environnement.Because SSO provides a generic single sign-on solution, middleware applications and custom adapters can leverage SSO to securely store and transmit user credentials across the environment. Les utilisateurs finaux peuvent accéder aux différentes applications sans avoir à se souvenir de plusieurs informations d'identification.End users do not have to remember different credentials for different applications.

Le système d'authentification unique est constitué d'une base de données de l'authentification unique, d'un serveur de secret principal ainsi que d'un ou de plusieurs serveurs de l'authentification unique.The Single Sign-On system consists of an SSO database, a master secret server, and one or more Single Sign-On servers.

Le système d'authentification unique contient des applications associées définies par l'administrateur.The SSO system contains affiliate applications that an administrator defines. Une application associée constitue une entité logique représentant un système ou un sous-système tel qu'un hôte, un système principal ou une application sectorielle à laquelle vous êtes connecté via l'authentification unique de l'entreprise.An affiliate application is a logical entity that represents a system or sub-system such as a host, back-end system, or line of business application to which you are connecting using Enterprise Single Sign-On. Chaque application associée est dotée de plusieurs mappages d'utilisateurs. Elle dispose, par exemple, des mappages entre les informations d'identification d'un utilisateur utilisées par Active Directory et par RACF.Each affiliate application has multiple user mappings; for example, it has the mappings between the credentials for a user in Active Directory and their corresponding RACF credentials.

La base de données SSO correspond à la base de données SQL Server qui stocke les informations relatives aux applications associées, ainsi que les informations d'identification chiffrées de l'utilisateur destinées à toutes les applications associées.The SSO database is the SQL Server database that stores the information about the affiliate applications, as well as all the encrypted user credentials to all the affiliate applications.

Le serveur de secret principal correspond au serveur d'authentification unique de l'entreprise qui stocke le secret principal.The master secret server is the Enterprise Single Sign-On server that stores the master secret. Tous les autres serveurs d'authentification unique présents dans le système extraient le secret principal à partir de ce serveur.All other Single Sign-On servers in the system get the master secret from the master secret server.

Le système d'authentification unique contient également un ou plusieurs serveurs d'authentification unique.The SSO system also contains one or more SSO Servers. Ces derniers effectuent le mappage entre les informations d'identification Windows et celles de systèmes principaux, recherchent ces informations d'identification dans la base de données SSO et sont utilisés par les administrateurs dans le cadre de la gestion du système d'authentification unique.These servers do the mapping between the Windows and back-end credentials, look up the credentials in the SSO database, and administrators use them to maintain the SSO system.

Notes

Votre système d'authentification unique peut inclure uniquement un serveur de secret principal et une base de données SSO.You can have only one master secret server and only one SSO database in your SSO system. Celle-ci peut être distante du serveur de secret principal.The SSO database can be remote to the master secret server.

Dans cette sectionIn This Section