Trucs & Astuces : « single sign-on » et « bypass sign-on »

Q : Quand on se connecte à un iSeries, quelle est la différence entre les termes « single sign-on » et « bypass sign-on » ?

R : Lorsque vous vous connectez à un iSeries, vous devez fournir un ID et mot de passe utilisateur avant d’accéder aux ressources iSeries. Un protocole d’authentification réseau single sign-on actuellement utilisé est fondé sur Kerberos, lequel s’appuie sur une puissante cryptographie pour qu’un client puisse prouver son identité vis-à-vis d’un serveur (et vice-versa) au travers d’une connexion réseau peu sûre. Après qu’un client et le serveur aient prouvé leur identité grâce à Kerberos, ils peuvent crypter toutes leurs communications pour assurer la confidentialité et l’intégrité des données.

EIM (Enterprise Identity Mapping) est un mécanisme permettant d’associer une personne ou une entité (comme un service) aux identités utilisateur appropriées dans divers registres utilisateur de l’entreprise. L’iSeries utilise EIM pour valider les interfaces OS/400 pour authentifier les utilisateurs au moyen d’un service d’authentification en réseau. L’iSeries et les applications peuvent aussi accepter des tickets Kerberos et utiliser EIM pour trouver un ID utilisateur sur ce système associé au principe Kerberos. Bypass sign-on est en principe associé à une session d’émulation 5250. Ainsi, vous avez peut-être entré votre ID et mot de passe utilisateur dans l’iSeries, quand votre logiciel de connectivité client s’est connecté, ou bien vous vous êtes simplement connecté à votre PC et authentifié vis-à-vis de l’iSeries via Kerberos/EIM. Désormais, quand vous démarrerez une session 5250, vous pourrez utiliser l’option « Bypass Signon » de l’émulateur 5250 pour passer votre information d’authentification précédente à l’écran sign-on OS/400.