SSO-Unterstützung für die WCF-Adapter
Mithilfe der BizTalk-Verwaltungskonsole können Sie die Funktion Einmaliges Anmelden für Unternehmen (Single Sign-On, SSO) für einen WCF-Empfangsspeicherort oder einen Sendeport konfigurieren. In diesem Thema wird die Verwendung von SSO mit den WCF-Adaptern beschrieben.
In Unternehmensumgebungen, in der Benutzer mit verschiedenen Systemen und Anwendungen interagieren, wird der Benutzerkontext in der Regel nicht durch mehrere Prozesse, Produkte und Computer verwaltet. Dieser Benutzerkontext ist von entscheidender Bedeutung für die Bereitstellung von Funktionen für einmaliges Anmelden, da überprüft werden muss, wer die ursprüngliche Anforderung initiiert hat. Zur Lösung dieses Problems stellt Einmaliges Anmelden für Unternehmen (SSO) ein SSO-Ticket (kein Kerberos-Ticket) zur Verfügung, mit dem Anwendungen die Anmeldeinformationen des Benutzers feststellen können, von dem die ursprüngliche Anforderung stammt.
Wenn ein Empfangsadapter eine Nachricht empfängt, kann er ein SSO-Ticket von einem SSO-Server anfordern. Dieses verschlüsselte Ticket enthält die Windows-Identität des Benutzers, der die Anforderung gestellt hat, und einen Timeoutzeitraum. Nachdem das Ticket abgerufen wurde, wird es der eingehenden Nachricht als Eigenschaft hinzugefügt. Wenn ein Sendeadapter eine Nachricht sendet, kontaktiert er einen SSO-Server mit dem ausgegebenen SSO-Ticket und dem Namen der Partneranwendung, für die der Adapter Anmeldeinformationen abzurufen versucht. Der SSO-Server schlägt die Benutzeranmeldeinformationen für die gewünschte Partneranwendung nach und gibt diese dann an den Sendeadapter zurück, der sie dazu verwendet, eine ordnungsgemäß authentifizierte Nachricht an die Partneranwendung zu senden.
SSO-Unterstützung für die WCF-Empfangsspeicherorte
Die angewendeten Sicherheitseinstellungen bestimmen zusammen mit dem für einen Empfangsspeicherort verwendeten WCF-Adaptertyp, ob der WCF-Empfangsadapter SSO-Tickets ausgeben darf. Damit der WCF-Empfangsadapter SSO-Tickets ausgeben kann, müssen WCF-Clients Anmeldeinformationen übermitteln, die der Adapter als Identität annehmen kann. Als Identitätswechsel wird die Möglichkeit einer Serveranwendung bezeichnet, die Identität des Clients anzunehmen. Die Anmeldeinformationen müssen einem gültigen Windows-Benutzerkonto für einen ordnungsgemäßen Identitätswechsel zugeordnet werden.
Hinweis
Falls die Sicherheitseinstellung und die WCF-Adapter keine Übermittlung von Anmeldeinformationen für den Identitätswechsel erfordern, können Sie SSO-Tickets mit einem beliebigem Anmeldeinformationstyp ausgeben, der von den Clients in einer benutzerdefinierten Empfangspipelinekomponente gesendet wird. Weitere Informationen zum Behandeln von SSO-Tickets in Empfangspipelinekomponenten finden Sie in der Beispielpipelinekomponente InPipelineComp, die in der Dateiinventur für die dienstorientierte Lösung enthalten ist.
SSO-Unterstützung für den WCF-BasicHttp-Empfangsspeicherort
Der WCF-BasicHttp-Empfangsadapter kann nur bei den in der folgenden Tabelle aufgeführten Sicherheitskonfigurationen ein Ticket für Einmaliges Anmelden vom SSO-Server bereitstellen.
Hinweis
Weitere Informationen zum Zuordnen eines Zertifikats zu einem Windows-Benutzerkonto finden Sie unter Zuordnen von Zertifikaten zu Benutzerkonten unter https://go.microsoft.com/fwlink/?LinkId=87478.
| Sicherheitsmodus | Typ der Anmeldeinformationen des Transportclients | Certificate |
|---|---|---|
| Transport | Basic | – |
| Transport | Digest | – |
| Transport | Ntlm | – |
| Transport | Windows | – |
| Transport | Zertifikat | – |
| Meldung | – | UserName |
| Meldung | – | Zertifikat |
| TransportWithMessageCredential | – | Zertifikat |
| TransportWithMessageCredential | – | UserName |
| TransportCredentialOnly | Basic | – |
| TransportCredentialOnly | Digest | – |
| TransportCredentialOnly | Ntlm | – |
| TransportCredentialOnly | Windows | – |
| TransportCredentialOnly | Zertifikat | – |
SSO-Unterstützung für den WCF-WSHttp-Empfangsspeicherort
Der WCF-WSHttp-Empfangsadapter kann nur bei den in der folgenden Tabelle aufgeführten Sicherheitskonfigurationen ein Ticket für Einmaliges Anmelden vom SSO-Server bereitstellen.
| Sicherheitsmodus | Typ der Anmeldeinformationen des Transportclients | Certificate |
|---|---|---|
| Transport | Basic | – |
| Transport | Digest | – |
| Transport | Ntlm | – |
| Transport | Windows | – |
| Transport | Zertifikat | – |
| Meldung | – | UserName |
| Meldung | NICHT ZUTREFFEND | Windows |
| `Message` | – | Zertifikat |
| TransportWithMessageCredential | NICHT ZUTREFFEND | Windows |
| TransportWithMessageCredential | – | Zertifikat |
| TransportWithMessageCredential | – | UserName |
SSO-Unterstützung für den WCF-NetTcp-Empfangsspeicherort
Der WCF-NetTcp-Empfangsadapter kann nur bei den in der folgenden Tabelle aufgeführten Sicherheitskonfigurationen ein SSO-Ticket vom SSO-Server bereitstellen.
| Sicherheitsmodus | Typ der Anmeldeinformationen des Transportclients | Certificate |
|---|---|---|
| Transport | Windows | – |
| Transport | Zertifikat | – |
| Meldung | – | Zertifikat |
| Meldung | NICHT ZUTREFFEND | Windows |
| `Message` | – | UserName |
| TransportWithMessageCredential | – | Zertifikat |
| TransportWithMessageCredential | NICHT ZUTREFFEND | Windows |
| TransportWithMessageCredential | – | UserName |
Single Sign-On Support für den WCF-NetNamedPipe Empfangsspeicherort
Der WCF-NetNamedPipe-Empfangsadapter kann nur bei den in der folgenden Tabelle aufgeführten Sicherheitskonfigurationen ein SSO-Ticket vom SSO-Server bereitstellen.
| Sicherheitsmodus | Typ der Anmeldeinformationen des Transportclients | Certificate |
|---|---|---|
| Transport | – | – |
SSO-Unterstützung für den WCF-Custom- und den WCF-CustomIsolated-Empfangsspeicherort
Damit die WCF-Custom- und WCF-CustomIsolated-Empfangsspeicherorte SSO-Tickets ausgeben können, müssen die WCF-Clients aufgrund der an den Empfangsspeicherorten verwendeten Sicherheitseinstellungen Anmeldeinformationen senden, deren Identität WCF (Windows Communication Foundation) annehmen kann. WCF unterstützt den Identitätswechsel für verschiedene Arten von Clientanmeldeinformationen. Weitere Informationen zu den Anmeldeinformationstypen, die WCF für den Identitätswechsel unterstützt, finden Sie unter "Delegierung und Identitätswechsel mit WCF" unter https://go.microsoft.com/fwlink/?LinkId=87476.
SSO-Unterstützung für die WCF-Sendeports
Für die WCF-Sendeports können Sie nur unter den in der folgenden Tabelle aufgelisteten Sicherheitskonfigurationen den Namen einer Partneranwendung für die Verwendung beim einmaligen Anmelden angeben.
| Sicherheitsmodus | Typ der Anmeldeinformationen des Transportclients | Certificate |
|---|---|---|
| Transport | Digest | – |
| Transport | Basic | – |
| Meldung | – | UserName |
Hinweis
Damit ein WCF-Sendeport ein SSO-Ticket ordnungsgemäß überprüfen und einlösen kann, müssen die Kontexteigenschaften SSOTicket und OriginatorSID in einer nachricht verfügbar sein, die gesendet werden soll. Ein Empfangsspeicherort mit aktivierter Option für Einmaliges Anmelden kann diese Eigenschaften über das Windows-Konto eines Absenders höher stufen.