Sécurisation des applications Web par authentification unique

L'authentification unique permet aux utilisateurs d'accéder à plusieurs applications et à plusieurs plateformes à l'aide d'un ID utilisateur et d'un mot de passe uniques. Par exemple, vous pouvez intégrer les applications WebFacing sécurisées sur lesquelles l'authentification unique a été configurée pour permettre aux utilisateurs de s'authentifier une seule fois. Chaque système impliqué demande toujours la présence d'un ID utilisateur distinct. Par ailleurs, les applications de portlet WebFacing sur lesquelles l'authentification unique est activée ne demandent pas d'authentification si le serveur de portail l'a déjà effectuée.

Si vous souhaitez utiliser l'authentification unique sur vos applications, vous devez effectuer les tâches suivantes :

Pour réaliser ces tâches, vous devez installer IBM i Navigator sur un PC client. Les procédures suivantes utilisent IBM i Navigator, (livré avec IBM i Access for Windows), qui peut être installé depuis le serveur IBM i. Vérifiez que vous avez bien installé l'ensemble des composants réseau, notamment TCP/IP.

Les remarques suivantes présentent le rôle des composants principaux dans le processus d'authentification unique :
LDAP
La configuration EIM est stockée dans LDAP. En outre, WebSphere Application Server peut utiliser LDAP pour authentifier les utilisateurs Web. Dans notre cas, nous supposons que WebSphere Application Server utilise la méthode d'authentification LDAP.
EIM
Ce mécanisme permet de mapper l'ID utilisé pour l'authentification WebSphere Application Server sur le profil utilisé pour appeler l'application résidant sur le serveur IBM i. En réalité, la configuration EIM crée une association entre les ID. L'ID utilisé par WebSphere Application Server représente l'identité source tandis que le profil IBM i représente l'identité cible.
Application Web configurée pour EIM
L'application WebFacing doit être configurée pour utiliser un jeton généré par EIM à des fins d'authentification. Cela permet aux utilisateurs de l'application de s'authentifier auprès de WAS à l'aide de leur ID LDAP et de laisser EIM mapper cet ID (la source) vers un ID sur le serveur IBM i cible (la cible).

Le schéma suivant illustre l'association entre les identités utilisateur source et cible sur deux systèmes. Sur le système A, l'utilisateur est authentifié par WebSphere Application Server sous l'identité johnday afin d'appeler une application résidant sur le système B. Sur ce dernier, le profil utilisé pour exécuter l'application sur le système IBM i est jsd1. Quant à John Day, il représente l'identificateur EIM utilisé pour mapper les deux identificateurs. Référez-vous à la figure suivante pendant que vous configurez la méthode d'authentification unique :

Authentification unique et projets de portlet WebFacing

Pour utiliser l'authentification unique dans une application WebFacing tournant sur un serveur de portail, procédez comme suit :
  • Sécurisez le serveur de portail.
  • Configurez la ressource Jeton d'identité fournie (eimIdTokenRA.rar) dans l'environnement de production WebSphere Application Server.
  • Définissez les options d'authentification pour qu'elles utilisent le mappage EIM.
Pour sécuriser le serveur de portail, vous devez compléter la page Sécurisation du serveur d'applications et du portail WebSphere avec LDAP de l'assistant. Pour plus d'informations sur la configuration de la ressource Jeton d'identité, sur la configuration de l'application WebFacing pour l'utilisation du mappage EIM et sur la configuration d'EIM, consultez la rubrique sur la configuration d'EIM. N'oubliez pas que vous devez utiliser la console d'administration WebSphere, sous Ressources > Adaptateurs de ressources, pour configurer la ressource Jeton d'identité.
Remarque : Si vous utilisez IBM i Portal Server, l'assistant Création d'un portail WebSphere propose des pages supplémentaires pour configurer la ressource Jeton d'identité. Dès que l'utilisateur s'identifie sur le portail, le programme utilise l'ID utilisateur fourni pour mapper l'ID utilisateur sur celui qu'utilise le système IBM i pour démarrer l'application WebFacing. Par conséquent, la configuration EIM doit comprendre un mappage entre l'ID utilisateur et le profil utilisateur IBM i approprié.