Utiliser l’authentification unique avec l’intégrateur de transactions - HIS
Authentification unique dans l’intégrateur de transactions
L'Sign-On authentification unique (SSO) est un mécanisme qui permet à un utilisateur d’entrer un nom d’utilisateur et un mot de passe une seule fois pour accéder à plusieurs applications. Il permet aux utilisateurs de simplifier l’ouverture de session et la maintenance des nombreux mots de passe nécessaires pour accéder aux systèmes et/ou applications Windows et back-end. Il permet aux applications de s’intégrer en automatisant le processus de connexion au système hôte/back-end.
En général, il existe trois types de services d’authentification unique :
Authentification unique courante : Ces services vous permettent de vous connecter à plusieurs applications au sein de votre ordinateur. Vos informations d’identification sont demandées et vérifiées une seule fois lorsque vous vous connectez à l’ordinateur, et ces informations d’identification sont utilisées pour déterminer les actions que vous pouvez effectuer en fonction de vos autorisations. Un exemple de ce type d’authentification unique est Exchange Server, qui utilise la sécurité intégrée Windows. Une fois que l’utilisateur s’est connecté à Windows, il n’a pas besoin de fournir d’informations d’identification supplémentaires pour accéder à son courrier électronique.
Authentification unique Internet : Ces services vous permettent d’accéder aux ressources sur Internet à l’aide d’un ensemble unique d’informations d’identification utilisateur. L'utilisateur fournit des informations d'identification qui permettent d'ouvrir une session sur différents sites Web appartenant à différentes organisations. Un exemple de ce type d’authentification unique est Windows Live ID.
Authentification unique intranet : Ces services vous permettent de vous connecter à plusieurs applications et systèmes hétérogènes au sein de l’environnement d’entreprise de votre entreprise. L’authentification unique d’entreprise est un exemple de ce type d’authentification unique, qui fournit une infrastructure permettant aux applications Windows de s’intégrer à des applications non Windows afin d’activer l’authentification unique.
L’authentification unique facilite la traduction des informations d’identification par l’Assistant Stratégie de sécurité. L’authentification unique vous permet de définir et de gérer la relation entre l’ID d’utilisateur hôte étranger et les informations d’identification de mot de passe avec les informations d’identification Windows. La base de la gestion de ces relations est l’application associée à l’authentification unique.
Une application affiliée est un regroupement d’identités d’utilisateur hôte bien définies sous une entité logique qui reflète la vue des administrateurs hôtes des systèmes de traitement des applications dans les environnements non-Windows.
Lorsque l’authentification unique reçoit un ensemble d’informations d’identification de l’hôte (ID utilisateur et mot de passe) ainsi qu’une application associée à l’authentification unique valide, l’authentification unique renvoie un jeton d’accès Windows qui représente les informations d’identification Windows. HIP utilise ce jeton d’accès lors de la configuration du thread d’exécution pour les méthodes sur l’objet serveur.
Pour faciliter ce processus, la stratégie de sécurité doit savoir quelles applications affiliées à l’authentification unique doivent être interrogées dans le but d’accéder aux informations d’identification Windows (jeton d’accès) nécessaires à l’exécution des méthodes sur l’objet serveur. Le volet de l’Assistant permet à l’utilisateur de sélectionner dans une liste d’applications associées à l’authentification unique valides et de les ajouter à la stratégie de sécurité en cours de définition. Le volet de l’Assistant permet également à l’utilisateur de supprimer les applications associées à l’authentification unique précédemment définies dans la stratégie de sécurité.
Authentification unique avec traitement Host-Initiated
Lorsque vous utilisez la sécurité Sign-On unique (SSO) avec le traitement lancé par l’hôte (HIP), l’emprunt d’identité des informations d’identification de l’utilisateur est géré différemment selon que vous appelez un objet .NET ou un objet COM. Si HIP appelle un objet .NET, il n’y a pas de considérations particulières ; L’environnement d’exécution TI (Transaction Integrator) emprunte l’identité du compte d’utilisateur. Toutefois, si HIP appelle un objet COM, il existe des considérations particulières.
Selon le modèle de thread et le type d’inscription des composants, les actions suivantes se produisent quand HIP appelle la méthode d’un objet .COM lorsqu’il emprunte l’identité d’un compte d’utilisateur (celui auquel les informations d’identification de l’hôte auraient été mappées via l’authentification unique) :
| Modèle de thread | Inscription | Actions |
|---|---|---|
| Single, appartement | Serveur/bibliothèque/aucune application COM+ | - Les méthodes d’objet serveur sont appelées sous Identité configurée par l’application HIP/COM+. - Les méthodes d’objet serveur appellent CoImpersonateClient pour commencer à emprunter l’identité de l’utilisateur. - Si vous le souhaitez, les méthodes peuvent appeler CoRevertToSelf, bien que cela ne soit pas nécessaire, car COM l’appelle de toute façon après le retour de la méthode. |
| Libre, les deux, neutre | Application COM+ serveur | - Les méthodes d’objet serveur sont appelées sous Identité configurée par l’application HIP/COM+. - Les méthodes d’objet serveur appellent CoImpersonateClient pour commencer à emprunter l’identité de l’utilisateur. - Si vous le souhaitez, les méthodes peuvent appeler CoRevertToSelf, bien que cela ne soit pas nécessaire, car COM l’appelle de toute façon après le retour de la méthode. |
| Libre, les deux, neutre | Bibliothèque/Aucune application COM+ | - Les méthodes d’objet serveur sont appelées sous l’identité de l’utilisateur empruntée. - La méthode d’objet serveur ne doit pas appeler CoImpersonateClient ou CoRevertToSelf , car elles échoueraient avec RPC_E_CALL_COMPLETE. |
Si vous programmez dans Microsoft Visual Basic® 6.0, veillez à inclure les déclarations CoImpersonateClient et CoRevertToSelf dans vos programmes :
Private Declare Function CoImpersonateClient Lib "ole32.dll" () As Long
Private Declare Function CoRevertToSelf Lib "ole32.dll" () As Long