Enterprise Single Sign-On – Übersicht

Geschäftsprozesse, die auf verschiedenen Anwendungen basieren, müssen ggf. mehrere unterschiedliche Sicherheitsdomänen durchlaufen. Für den Zugriff auf eine Anwendung unter einem Microsoft Windows-System wird möglicherweise ein bestimmter Satz von Sicherheitsanmeldeinformationen benötigt, während der Zugang zu einer Anwendung auf einem IBM-Mainframesystem andere Anmeldeinformationen erfordern kann, z. B. einen RACF-Benutzernamen und ein -Kennwort. Für den Benutzer ist es nicht leicht, eine Vielzahl von Anmeldeinformationen für die unterschiedlichsten Zwecke bereitzuhalten, und für automatisierte Vorgänge kann dies noch wesentlich problematischer sein. Um dieses Problem zu beheben, umfasst BizTalk Server einmaliges Anmelden für Unternehmen.

Dabei handelt es sich nicht um einen Mechanismus, durch den Benutzer eine Anmeldung für alle Anwendungen verwenden können. Einmaliges Anmelden für Unternehmen bietet stattdessen ein Verfahren, eine Windows-Benutzer-ID Nicht-Windows-Benutzeranmeldeinformationen zuzuordnen. Dieser Mechanismus löst nicht alle Anmeldeprobleme einer Organisation. Dieser Dienst kann jedoch die Anmeldung für Geschäftsprozesse vereinfachen, die Anwendungen auf verschiedenen Systemen verwenden.

Erstellen einer Partneranwendung für Nicht-Windows-Systeme

Für die Verwendung von Einmaliges Anmelden für Unternehmen (Single Sign-On, SSO) definiert ein Administrator Partneranwendungen, die jeweils ein Nicht-Windows-System bzw. eine Nicht-Windows-Anwendung darstellen. Eine Partneranwendung kann beispielsweise eine CICS-Anwendung (Customer Information Control System) sein, die auf einem IBM-Mainframesystem ausgeführt wird, ein SAP ERP-System unter Unix oder eine beliebige andere Art von Software. Jede dieser Anwendungen verfügt über ihren eigenen Mechanismus zur Authentifizierung und erfordert daher ihre eigenen, besonderen Anmeldeinformationen.

SSO speichert eine verschlüsselte Zuordnung zwischen der Windows-Benutzer-ID eines Benutzers und dessen Anmeldeinformationen für eine oder mehrere Partneranwendungen in einer SSO-Datenbank. Wenn dieser Benutzer auf eine Partneranwendung zugreifen muss, können die Anmeldeinformationen für die betreffende Anwendung in der SSO-Datenbank durch einen SSO-Server nachgeschlagen werden. Das Diagramm unten zeigt die Funktionsweise.

In diesem Beispiel wird eine Nachricht, die von einer Anwendung an BizTalk Server gesendet wird, durch eine Orchestrierung verarbeitet und dann an eine Partneranwendung gesendet, die auf einem IBM-Mainframesystem ausgeführt wird. Die Aufgabe von SSO für Unternehmen besteht nun im Sicherstellen, dass die richtigen Anmeldeinformationen (d. h., der richtige Benutzername und das richtige Kennwort) mit der Nachricht gesendet werden, wenn diese an die Partneranwendung übergeben wird.

Nachrichtenverarbeitung mit einem SSO-Ticket

Wie die Abbildung zeigt, kann ein Empfangsadapter beim Empfang einer Nachricht ein SSO-Ticket von einem SSO-Server A anfordern (Schritt 1). Dieses verschlüsselte Ticket enthält die Windows-Identität des Benutzers, von dem die Anforderung stammt, und einen Timeoutzeitraum. (Verwechseln Sie dies nicht mit einem Kerberos-Ticket – es ist nicht dasselbe.) Nachdem das Ticket erworben wurde, wird es der eingehenden Nachricht als Eigenschaft hinzugefügt. Die Nachricht durchläuft dann ihren normalen Weg durch die BizTalk Server-Engine. In diesem Beispiel bedeutet dies, dass sie durch eine Orchestrierung verarbeitet wird. Wenn diese Orchestrierung eine ausgehende Nachricht generiert, enthält diese Nachricht ebenfalls das zuvor abgerufene SSO-Ticket.

Diese neue Nachricht ist für die Anwendung bestimmt, die auf einem IBM-Mainframesystem ausgeführt wird, und muss daher die richtigen Anmeldeinformationen enthalten, damit dieser Benutzer auf die Anwendung zugreifen kann. Zum Abrufen dieser Anmeldeinformationen kontaktiert der Sendeadapter den SSO-Server B (Schritt 2) und stellt die soeben empfangene Nachricht (die das SSO-Ticket enthält) sowie den Namen der Partneranwendung bereit, für die die Anmeldeinformationen abgerufen werden sollen. Dieser Vorgang, der als Einlösung bezeichnet wird, bewirkt, dass der SSO-Server B das SSO-Ticket überprüft und dann die Anmeldeinformationen dieses Benutzers für die Anwendung nachschlägt (Schritt 3). Der SSO-Server B gibt diese Anmeldeinformationen an den Sendeadapter zurück (Schritt 4), der sie zum Senden einer entsprechend authentifizierten Nachricht an die Partneranwendung verwendet (Schritt 5).

Verwalten von SSO

Darüber hinaus umfasst SSO für Unternehmen Verwaltungstools zum Ausführen diverser Vorgänge. Alle Vorgänge, die für die SSO-Datenbank ausgeführt werden, werden beispielsweise überwacht, sodass Tools bereitgestellt werden, die es einem Administrator ermöglichen, diese Vorgänge zu überwachen und verschiedene Überwachungsstufen festzulegen. Andere Tools ermöglichen es einem Administrator, eine bestimmte Partneranwendung zu deaktivieren, eine individuelle Zuordnung für einen Benutzer zu aktivieren und zu deaktivieren und andere Funktionen auszuführen. Außerdem steht ein Clienthilfsprogramm zur Verfügung, mit dem Endbenutzer ihre eigenen Anmeldeinformationen und Zuordnungen konfigurieren können. Wie auch andere Komponenten von BizTalk Server stellt SSO für Unternehmen seine Dienste über eine programmierbare API zur Verfügung. Die Entwickler von BizTalk Server-Drittanbieteradaptern verwenden diese API, um auf die SSO-Dienste zuzugreifen. Administratoren können sie zum Erstellen von Skripts zum Automatisieren gängiger Aufgaben verwenden.

Das oben beschriebene Beispiel zeigt ein typisches Verwendungsszenario für SSO für Unternehmen. SSO kann jedoch auch auf andere Art konfiguriert werden. Eine kleinere Installation von BizTalk Server verfügt ggf. nur über einen SSO-Server, und SSO für Unternehmen kann unabhängig von der BizTalk Server-Engine verwendet werden. (Diese Technologie ist auch im Lieferumfang von Microsoft Host Integration Server enthalten.)

Weitere Informationen

Die BizTalk Server-Messaging-Engine
Implementieren von Einmaligem Anmelden für Unternehmen