Unternehmensübersicht für Einzelunternehmen Sign-On

Ein Geschäftsprozess, der auf mehreren verschiedenen Anwendungen basiert, muss möglicherweise mehrere verschiedene Sicherheitsdomänen überschreiten. Für den Zugriff auf eine Anwendung auf einem Microsoft Windows-System ist möglicherweise eine Reihe von Sicherheitsanmeldeinformationen erforderlich, während beim Zugriff auf eine Anwendung auf einem IBM-Großrechner möglicherweise unterschiedliche Anmeldeinformationen erforderlich sind, z. B. einen RACF-Benutzernamen und ein Kennwort. Der Umgang mit dieser Vielfalt von Anmeldeinformationen ist für Benutzer schwierig und kann für automatisierte Prozesse noch schwieriger werden. Um dieses Problem zu beheben, umfasst BizTalk Server einmaliges Anmelden für Unternehmen.

Lassen Sie sich nicht verwechseln – dies ist kein Mechanismus, mit dem benutzer über eine Anmeldung für alle Anwendungen verfügen können. Stattdessen bietet Enterprise Single Sign-On eine Möglichkeit zum Zuordnen einer Windows-Benutzer-ID zu Nicht-Windows-Benutzeranmeldeinformationen. Es löst nicht alle Anmeldeprobleme einer Organisation im Unternehmen, aber dieser Dienst kann Dies für Geschäftsprozesse vereinfachen, die Anwendungen auf verschiedenen Systemen verwenden.

Erstellen einer Partneranwendung für Nicht-Windows-Systeme

Um enterprise Single Sign-On zu verwenden, definiert ein Administrator Partneranwendungen, die jeweils ein Nicht-Windows-System oder eine Nicht-Windows-Anwendung darstellen. Beispielsweise kann es sich bei einer Partneranwendung um eine CICS-Anwendung handeln, die auf einem IBM-Großrechner, einem SAP ERP-System auf Unix oder einer anderen Art von Software ausgeführt wird. Jede dieser Anwendungen verfügt über einen eigenen Mechanismus für die Authentifizierung und erfordert daher eigene eindeutige Anmeldeinformationen.

Enterprise Single Sign-On speichert eine verschlüsselte Zuordnung zwischen der Windows-Benutzer-ID eines Benutzers und seinen Anmeldeinformationen für eine oder mehrere Partneranwendungen in einer SSO-Datenbank. Wenn dieser Benutzer auf eine Partneranwendung zugreifen muss, können die Anmeldeinformationen für diese Anwendung in der SSO-Datenbank anhand eines SSO-Servers (Single Sign-On, SSO) nachschlagen. Das folgende Diagramm zeigt, wie dies funktioniert.

In diesem Beispiel wird eine Nachricht, die von einer Anwendung an BizTalk Server gesendet wird, von einer Orchestrierung verarbeitet und dann an eine Partneranwendung gesendet, die auf einem IBM-Mainframe ausgeführt wird. Der Auftrag von Enterprise Single Sign-On besteht darin, sicherzustellen, dass die richtigen Anmeldeinformationen (d. h. der richtige Benutzername und das richtige Kennwort) mit der Nachricht gesendet werden, wenn sie an die Partneranwendung übergeben wird.

Nachrichtenverarbeitung mit einem SSO-Ticket

Wie das Diagramm zeigt, kann der Adapter, wenn ein Empfangsadapter eine Meldung erhält, ein SSO-Ticket vom SSO-Server A anfordern (Schritt 1). Dieses verschlüsselte Ticket enthält die Windows-Identität des Benutzers, der die Anforderung gestellt hat, und einen Timeoutzeitraum. (Verwechseln Sie dies nicht mit einem Kerberos-Ticket– es ist nicht dasselbe.) Nachdem das Ticket erworben wurde, wird es der eingehenden Nachricht als Eigenschaft hinzugefügt. Die Nachricht nimmt dann ihren normalen Weg durch die BizTalk Server-Engine, was in diesem Beispiel bedeutet, dass sie von einer Orchestrierung verarbeitet wird. Wenn diese Orchestrierung eine ausgehende Nachricht generiert, enthält diese Nachricht auch das zuvor erworbene SSO-Ticket.

Diese neue Nachricht ist für die Anwendung bestimmt, die auf einem IBM-Mainframe ausgeführt wird, und muss daher die entsprechenden Anmeldeinformationen für diesen Benutzer enthalten, um auf diese Anwendung zuzugreifen. Um diese Anmeldeinformationen abzurufen, kontaktiert der Sendeadapter den SSO-Server B (Schritt 2) und übermittelt die Nachricht, die das soeben empfangene SSO-Ticket enthält, sowie den Namen der Partneranwendung, für die er versucht, die Anmeldeinformationen abzurufen. Dieser Vorgang, der als Einlösung bezeichnet wird, bewirkt, dass SSO-Server B das SSO-Ticket überprüft und dann die Anmeldeinformationen dieses Benutzers für diese Anwendung nachschlagen (Schritt 3). SSO Server B gibt diese Anmeldeinformationen an den Sendeadapter (Schritt 4) zurück, der diese verwendet, um eine entsprechend authentifizierte Nachricht an die Partneranwendung zu senden (Schritt 5).

Verwalten von SSO

Enterprise Single Sign-On umfasst auch Verwaltungstools zum Ausführen verschiedener Vorgänge. Alle Vorgänge, die in der SSO-Datenbank ausgeführt werden, werden überwacht, sodass Tools bereitgestellt werden, mit denen ein Administrator diese Vorgänge überwachen und verschiedene Überwachungsstufen festlegen kann. Andere Tools ermöglichen es einem Administrator, eine bestimmte Partneranwendung zu deaktivieren, eine individuelle Zuordnung für einen Benutzer zu aktivieren und zu deaktivieren und andere Funktionen auszuführen. Es gibt auch ein Clienthilfsprogramm, mit dem Endbenutzer ihre eigenen Anmeldeinformationen und Zuordnungen konfigurieren können. Und wie andere Teile von BizTalk Server stellt Enterprise Single Sign-On seine Dienste über eine programmierbare API zur Verfügung. Die Ersteller von BizTalk Server-Adaptern von Drittanbietern verwenden diese API, um auf die Dienste für einmaliges Anmelden zuzugreifen, und Administratoren können sie verwenden, um Skripts zum Automatisieren allgemeiner Aufgaben zu erstellen.

Das oben beschriebene Beispiel zeigt eine typische Verwendung von Enterprise Single Sign-On, aber SSO kann auf andere Weise konfiguriert werden. Eine kleinere BizTalk Server-Installation verfügt möglicherweise nur über einen einzigen SSO-Server, und es ist möglich, enterprise Single Sign-On unabhängig vom BizTalk Server-Modul zu verwenden. (Die Technologie wird auch mit Microsoft Host Integration Server ausgeliefert.)

Siehe auch

Das BizTalk Server Messaging-Modul
Implementieren des einmaligen Anmeldens für Unternehmen