Sécurisation des systèmes AS/400 et IBM i à écran vert grâce à un SSO moderne

Résumé

Les systèmes AS/400 et IBM i continuent d'alimenter les opérations de fabrication, de logistique, de distribution, bancaires, d'assurance et administratives. Pourtant, l'expérience d'authentification pour bon nombre de ces environnements reste centrée sur les connexions à l'écran vert 5250 basées sur des noms d'utilisateur, des mots de passe et des flux de travail partagés sur terminal.

Cela crée un écart entre la nature critique des systèmes et la manière dont l'accès est contrôlé. De nombreuses organisations souhaitent renforcer la sécurité, améliorer l'attribution des utilisateurs et s'aligner sur les plateformes d'identité d'entreprise, mais ne peuvent se permettre de perturber des applications matures ou de repenser des flux de travail critiques pour l'entreprise qui sont en place depuis des années.

La solution la plus efficace n'est pas de reconstruire l'application, mais de sécuriser la couche d'authentification qui l'entoure.

Credenti les organisations Credenti moderniser l'accès à IBM i en introduisant des méthodes d'authentification sans mot de passe et résistantes au phishing avant le lancement d'une session 5250. Cela permet aux équipes d'améliorer leur posture de sécurité, de réduire leur dépendance aux mots de passe et de renforcer l'auditabilité tout en préservant l'expérience d'écran vert sous-jacente à laquelle les utilisateurs sont déjà habitués.

Pourquoi est-ce important aujourd'hui ?

Les systèmes IBM i continuent d'exécuter des opérations critiques, mais de nombreuses organisations les sécurisent encore à l'aide de modèles d'accès à écran vert avec nom d'utilisateur et mot de passe qui ne répondent plus aux attentes modernes en matière d'identité.

Conserver les workflows existants‍

Modernisez l'authentification sans avoir à réécrire les applications AS/400.

Renforcer l'attribution

Connectezl'accès au terminal partagé à une identité individuelle réelle.

Élargir les options d'authentification

Prise en chargedes badges, des visages, QR et des connexions mobiles.

S'aligner sur l'identité de l'entreprise

Intégrezles workflows d'accès avec Okta.

‍

Le défi de l'authentification dans les environnements IBM i

Les environnements IBM i sont souvent au cœur de la continuité opérationnelle. Une application à écran vert peut encore piloter l'exécution des opérations d'entrepôt, les registres de production manufacturière, les opérations financières, le traitement des réclamations, la visibilité des stocks ou l'exécution des commandes. Comme ces systèmes restent profondément ancrés dans l'activité, les modèles d'accès sont souvent optimisés pour la rapidité et la familiarité plutôt que pour la sécurité moderne des identités.

Réalités communes

Les utilisateurs accèdent aux sessions 5250 via des flux de travail terminaux hérités qui requièrent un nom d'utilisateur et un mot de passe, souvent sur des machines ou des postes partagés qui prennent en charge une rotation rapide des opérateurs.

Friction courante

Les méthodes MFA traditionnelles ajoutent des interruptions, introduisent des dépendances aux appareils ou ne conviennent pas aux environnements où les utilisateurs ne peuvent pas transporter de téléphone ou ne disposent pas de postes de travail attribués.

En conséquence, les systèmes IBM i peuvent devenir des îlots d'identité. Ils restent essentiels à l'activité, mais ils sont souvent peu connectés à la gouvernance moderne des accès, aux stratégies d'authentification résistantes au phishing et aux normes d'identité d'entreprise déjà appliquées ailleurs.

Risques liés à la sécurité de l'authentification traditionnelle par écran vert

Les modèles d'accès 5250 basés sur des mots de passe ont été conçus pour une autre époque. Dans les environnements modernes, ils présentent plusieurs risques pratiques et liés à l'audit.

Dépendance au mot de passe

Les utilisateurs continuent de s'appuyer sur des identifiants qui peuvent être réutilisés, partagés, piratés ou mal gérés dans des environnements opérationnels à haut débit.

Attribution faible

Les terminaux partagés et les sessions héritées rendent difficile de prouver exactement qui a accédé à un système ou effectué une action.

Solutions de contournement opérationnelles

Les équipes créent souvent des raccourcis pour gagner en rapidité, ce qui peut conduire à la création de comptes génériques, au stockage d'identifiants ou à une responsabilité réduite.

Où les organisations ressentent la douleur

Les équipes de sécurité ont du mal à étendre les politiques MFA d'entreprise aux environnements IBM i d'une manière qui soit réellement adoptée par les utilisateurs.

Les équipes opérationnelles souhaitent que les flux de travail sur écran vert ne soient pas perturbés et ne peuvent tolérer les difficultés répétées de connexion sur les terminaux partagés.

Les équipes d'audit et de conformité ont besoin de preuves plus solides concernant l'accès au niveau utilisateur, et pas seulement de la preuve qu'un terminal a atteint l'application.

Les équipes de direction souhaitent disposer de contrôles d'identité modernes sans lancer un vaste projet de modernisation des systèmes existants.

Pourquoi l'authentification unique traditionnelle n'est pas suffisante

Les organisations partent souvent du principe que les projets SSO classiques permettront de résoudre le problème IBM i. Dans la pratique, les systèmes à écran vert s'adaptent rarement parfaitement aux hypothèses SSO modernes centrées sur les navigateurs. Même lorsque l'intégration est techniquement possible, elle peut s'avérer difficile à déployer, limitée en termes d'expérience utilisateur ou peu adaptée aux terminaux partagés et opérationnels.

En effet, le véritable défi ne réside pas simplement dans la fédération. Il s'agit plutôt de déterminer comment établir une identité utilisateur fiable au point d'accès, d'une manière qui convienne aux utilisateurs opérationnels, préserve la vitesse de session et s'adapte à un modèle d'application conçu bien avant que les conventions SSO modernes ne deviennent la norme.

Pour de nombreux environnements AS/400, le succès dépend de la modernisation du contrôle d'accès autour de la session plutôt que d'essayer d'imposer le modèle d'authentification par navigateur aux écrans verts.

Credenti

Credenti la couche d'authentification autour de l'accès IBM i sans obliger les entreprises à modifier le fonctionnement de l'application à écran vert elle-même. Au lieu de reconstruire le système métier, les équipes mettent en place une vérification d'identité plus stricte avant que l'utilisateur n'atteigne la session 5250.

Protéger le flux de travail d'accès

Utilisez des méthodes d'authentification modernes pour vérifier l'identité de l'individu avant de lancer ou de rétablir l'accès à l'environnement AS/400.

Conserver l'application

Conservez le flux de travail IBM i existant afin que les utilisateurs puissent continuer à travailler dans l'environnement familier de l'écran vert.

Comment Credenti à ce cas d'utilisation

Credenti Tap

Activez la connexion par badge sur les postes de travail partagés et les terminaux opérationnels où la rapidité et la simplicité sont essentielles.

Credenti You

Permettez aux utilisateurs de s'authentifier sur l'appareil grâce à la biométrie faciale, pour une expérience rapide et conviviale sans mot de passe.

Credenti Unify

Reliez les plateformes d'identité modernes et les flux d'accès existants afin que les organisations puissent aligner l'accès IBM i sur une stratégie d'identité plus large.

L'architecture en un coup d'œil

Le modèle ci-dessous illustre le flux conceptuel. L'utilisateur établit d'abord son identité à l'aide d'une méthode Credenti . Cette décision d'accès peut s'aligner sur la stratégie d'identité d'entreprise de l'organisation, puis l'utilisateur se voit accorder l'accès à la session IBM i sans modifier la logique de l'application à écran vert.

Méthodes d'authentification prises en charge

La modernisation de la sécurité IBM i ne doit pas dépendre d'un seul modèle d'accès. Différents environnements nécessitent différentes méthodes pour établir l'identité tout en préservant la facilité d'utilisation.

Connexion par badge

Convient parfaitement aux terminaux partagés, aux postes de travail opérationnels et aux environnements où les utilisateurs ont besoin d'un accès rapide sans avoir à saisir leurs identifiants.

Connexion par reconnaissance faciale

Offre une expérience rapide sans mot de passe directement sur la machine, ce qui contribue à réduire les frictions tout en renforçant l'attribution individuelle.

Connexion QR via mobile

Offre une option supplémentaire pour les environnements pouvant prendre en charge la vérification d'identité par appareil sans recourir à des mots de passe.

Sécuriser les terminaux partagés sans ralentir les opérations

L'un des problèmes les plus difficiles à résoudre sur IBM i est celui des terminaux partagés. Les entrepôts, les ateliers de fabrication, les zones d'expédition, les comptoirs et les services administratifs utilisent souvent des appareils que de nombreuses personnes manipulent tout au long de la journée. Se connecter et se déconnecter à chaque fois à l'aide d'un mot de passe traditionnel crée des frictions, ce qui pousse naturellement les équipes à rechercher des raccourcis.

Credenti conçu pour sécuriser ce modèle sans obliger les équipes à l'abandonner. Les utilisateurs peuvent prouver rapidement leur identité au point d'utilisation, accéder à la machine et poursuivre le flux de travail sur écran vert qu'ils connaissent déjà. Cela permet de préserver la rapidité tout en rétablissant la responsabilité.

L'objectif n'est pas de ralentir les opérations des terminaux partagés. L'objectif est de les rendre attribuables, plus sûrs et plus faciles à gérer.

Continuité hors ligne et opérationnelle

De nombreux cas d'utilisation d'IBM i sont étroitement liés à des opérations où la continuité est plus importante que des conditions réseau parfaites. Les organisations peuvent avoir besoin d'une solution qui continue à prendre en charge l'authentification des utilisateurs même lorsque la connectivité est dégradée, peu fiable ou intentionnellement restreinte.

Cela est important dans les usines, les sites de distribution, les opérations à distance, les environnements de transport et d'autres scénarios où les tâches critiques ne peuvent pas être interrompues en raison d'une indisponibilité temporaire du cloud. Le positionnement plus large Credentila plateforme Credentiprend en charge des workflows d'accès robustes dans les environnements où la continuité des activités et la résilience hors ligne sont des exigences de conception importantes.

Conformité et alignement des risques

La modernisation de l'accès aux systèmes AS/400 et IBM i aide les organisations à soutenir des objectifs plus larges en matière de sécurité et de gouvernance. Si les exigences varient d'un secteur à l'autre, les thèmes communs restent les mêmes : réduire l'exposition des mots de passe, renforcer l'attribution au niveau des utilisateurs, améliorer les preuves de contrôle d'accès et mieux aligner les systèmes hérités sur les attentes de l'entreprise en matière d'identité.

Réduction des risques

Réduisez la dépendance vis-à-vis des identifiants faibles ou partagés dans les environnements opérationnels critiques.

Auditabilité

Améliorer la capacité à associer les événements d'accès et le lancement des workflows à une identité utilisateur spécifique et vérifiée.

Ces résultats peuvent soutenir les initiatives de contrôle interne ainsi qu'un alignement plus large avec les cadres et les attentes en matière de garantie d'accès, de responsabilité opérationnelle et de réduction des risques liés aux systèmes hérités.

Cas d'utilisation courants dans l'industrie

Fabrication

Sécurisez les terminaux de production connectés aux applications IBM i sans perturber les flux de travail opérationnels à haut débit.

Logistique et distribution

Améliorez la sécurité d'identité dans les entrepôts et les centres de traitement des commandes qui dépendent d'un accès partagé à des systèmes basés sur 5250.

Banque et assurance

Renforcez l'authentification pour les systèmes de transaction et de traitement existants tout en préservant l'expérience familière des opérateurs.

Conclusion

Les organisations n'ont pas besoin de choisir entre conserver leurs systèmes IBM i et améliorer l'authentification. Elles peuvent préserver l'application, préserver le flux de travail et tout de même mettre en œuvre une couche d'identité plus solide et plus moderne autour de l'accès.

Extension du SSO moderne aux systèmes IBM i (AS/400), iSeries et terminaux 5250

Une fois que les organisations ont modernisé l'expérience d'authentification pour les terminaux et les postes de travail partagés, l'étape suivante consiste à étendre ces contrôles d'identité aux systèmes IBM i eux-mêmes. De nombreux environnements exécutant des systèmes IBM i (AS/400) et iSeries s'appuient sur des applications terminales 5250 qui n'ont jamais été conçues pour les normes de fédération modernes telles que SAML ou OIDC.

Ces systèmes fonctionnent souvent sur une infrastructure IBM Power Systems et prennent en charge des charges de travail critiques dans les domaines de la fabrication, de la logistique, de la banque et de l'assurance. Le remplacement de ces applications est rarement envisageable, ce qui signifie que les améliorations en matière de sécurité doivent concerner le flux de travail d'accès plutôt que l'application elle-même.

Credenti l'authentification unique (SSO) pour les environnements IBM i en vérifiant l'identité de l'utilisateur avant le début de la session terminale. Après s'être authentifiés auprès de fournisseurs d'identité d'entreprise tels qu'Okta, les utilisateurs peuvent lancer ou reprendre leurs sessions AS/400 sans avoir à saisir manuellement leur mot de passe. Cela permet aux organisations d'introduire l'authentification multifactorielle (MFA) AS400, l'authentification sans mot de passe et une attribution d'identité plus forte, tout en conservant le flux de travail familier sur écran vert dont dépendent les opérateurs.

Extension de la gouvernance des identités à IBM i (AS/400)

La modernisation de l'authentification n'est qu'un aspect de la sécurisation des plateformes existantes. Les entreprises ont également besoin d'une gouvernance des identités et d'une gestion du cycle de vie cohérentes sur tous les systèmes, y compris les environnements IBM i.

Credenti cette fonctionnalité grâce à un connecteur IBM AS/400 qui intègre les systèmes IBM i aux plateformes d'identité d'entreprise telles qu'Okta. Cela permet aux organisations de gérer l'ensemble du cycle de vie des identités, de la création de compte à la suppression des droits d'accès, tout en conservant une visibilité sur l'accès et l'activité des utilisateurs au sein des systèmes IBM i.

Gouvernance des identités

Visibilité de la conformité

Agrégation des données de gouvernance provenant des systèmes IBM i afin de faciliter l'analyse de la conformité, l'examen des accès et la détection des comptes frauduleux ou non autorisés.

Surveillance de l'activité des utilisateurs

Assurez la visibilité des activités des utilisateurs dans les environnements AS/400, renforcez l'auditabilité et soutenez les contrôles réglementaires et de sécurité internes.

Gestion du cycle de vie des identités

Provisionnement des utilisateurs

Créez automatiquement de nouveaux comptes utilisateur dans IBM i lorsque des identités sont intégrées via la plateforme d'identité d'entreprise.

Mises à jour du compte

Synchronisez les changements de rôle, les mises à jour de profil et les attributs d'identité entre le fournisseur d'identité et les comptes IBM i.

Désactivation du compte

Désactivez ou supprimez automatiquement les comptes IBM i lorsque les utilisateurs quittent l'organisation ou n'ont plus besoin d'y accéder.

Le connecteur fonctionne via Credenti Provisioning Gateway, un service certifié SOC 2 Type II exécuté sur Amazon Web Services (AWS). Cela permet une synchronisation sécurisée des identités et une gouvernance du cycle de vie pour les environnements IBM i / AS400, tout en conservant une fiabilité et des contrôles de conformité de niveau entreprise.

Automatisation du cycle de vie des identités IBM i avec SCIM

Pour mettre en œuvre la gouvernance des identités à grande échelle, les entreprises s'appuient de plus en plus sur la norme SCIM (System for Cross-domain Identity Management). Credenti l'automatisation du cycle de vie basée sur SCIM aux environnements IBM i (AS/400) et iSeries, qui ne prennent généralement pas en charge nativement les protocoles de provisionnement modernes.

Grâce à la passerelle de provisionnementCredenti , les identités provenant de plateformes telles qu'Okta peuvent être synchronisées directement dans les systèmes IBM i. Cela permet aux équipes informatiques d'automatiser le provisionnement, les mises à jour et le déprovisionnement des comptes utilisateurs tout en conservant des politiques d'identité cohérentes sur les systèmes modernes et hérités.

Approvisionnement automatisé

Créez automatiquement des profils utilisateur IBM i lorsque les employés sont intégrés et se voient attribuer un accès à la plateforme d'identité d'entreprise.

Synchronisation des attributs

Synchronisez les attributs de profil, les modifications des droits et les mises à jour des rôles entre les environnements Okta et IBM i.

Suppression automatique des droits d'accès

Désactivez ou supprimez immédiatement les profils utilisateur AS/400 lorsqu'un utilisateur quitte l'organisation, afin de réduire le nombre de comptes orphelins et les risques liés à la conformité.

Cette architecture aligne les systèmes IBM i fonctionnant sur IBM Power Systems avec les pratiques modernes de gestion du cycle de vie des identités, garantissant ainsi que les plateformes existantes participent pleinement aux stratégies de gouvernance des identités de l'entreprise.

Gestion du cycle de vie des identités pour IBM i

Le cycle de vie ci-dessous montre comment un événement d'approvisionnement peut provenir du fournisseur d'identité, être traité par Credenti, puis être appliqué à IBM i dans un format que la plate-forme peut exécuter en mode natif. Il s'agit du modèle architectural clé qui permet à IBM i de participer aux workflows modernes d'intégration, de transfert et de départ sans nécessiter de prise en charge SCIM native côté AS/400.

Qu'est-ce qui déclenche le flux de travail ?

Un événement d'ajout, de déplacement ou de départ dans Okta entraîne généralement un changement d'affectation d'application, qui génère à son tour une transaction de provisionnement SCIM pour l'application connectée à IBM i.

Ce que fait le connecteur

Le connecteur IBM AS/400 sur site mappe les attributs SCIM et les actions du cycle de vie aux opérations natives du profil utilisateur IBM i afin que la plate-forme cible puisse les traiter sans prise en charge native SCIM.

Concrètement, cela signifie qu'un utilisateur peut être créé dans Okta, se voir attribuer un accès à l'application connectée à IBM i, puis être automatiquement provisionné dans IBM i / AS400. Les modifications ultérieures, telles que les mises à jour d'attributs, les changements d'accès, les suspensions ou les résiliations, peuvent suivre le même cycle de vie avec une auditabilité cohérente.

‍