Compartir a través de


Introducción a la Sign-On única de empresa

Es probable que un proceso empresarial que esté basado en varias aplicaciones distintas tenga que pasar por distintos dominios de seguridad. El acceso a una aplicación en un sistema operativo de Microsoft Windows puede requerir un conjunto de credenciales de seguridad, pero es posible que el acceso a una aplicación en un gran sistema (mainframe) IBM requiera credenciales diferentes, como un nombre de usuario y una contraseña de RACF. Trabajar con esta gran cantidad de credenciales es difícil para los usuarios y puede suponer un reto aún mayor en la automatización de procesos. Para solucionar este problema, BizTalk Server incluye el inicio de sesión único de Enterprise.

No se confunda: este no es un mecanismo que permite a los usuarios tener un inicio de sesión para todas las aplicaciones. Por el contrario, el inicio de sesión único empresarial proporciona un método para asignar un Id. de usuario de Windows a credenciales de usuario que no sean de Windows. Este servicio no soluciona todos los problemas de inicio de sesión empresarial de una organización, pero puede facilitar el trabajo en procesos empresariales que utilizan aplicaciones en varios sistemas.

Creación de una aplicación afiliada para sistemas que no son windows

Para utilizar el inicio de sesión único empresarial, un administrador define aplicaciones afiliadas, cada una de las cuales representa un sistema o aplicación ajeno a Windows. Por ejemplo, una aplicación afiliada puede ser una aplicación CICS que se ejecute en un gran sistema (mainframe) IBM, un sistema SAP ERP que se ejecute en Unix o cualquier otro tipo de software. Cada una de estas aplicaciones tiene su propio mecanismo de autenticación, por lo que requiere sus propias credenciales exclusivas.

El inicio de sesión único (SSO) empresarial almacena en una base de datos de SSO una asignación cifrada entre el Id. de usuario de Windows de un usuario y sus credenciales en una o varias aplicaciones afiliadas. Cuando este usuario necesita obtener acceso a una aplicación afiliada, puede buscar las credenciales de esa aplicación en la base de datos de SSO mediante un Servidor de inicio de sesión único (SSO). El diagrama siguiente refleja su funcionamiento.

Diagrama que muestra cómo se pueden buscar las credenciales de una aplicación en la base de datos de SSO mediante un servidor de Sign-On único (SSO).

En este ejemplo, una orquestación procesa un mensaje enviado por alguna aplicación a BizTalk Server y lo envía a una aplicación afiliada que se ejecute en un gran sistema (mainframe) IBM. La misión del inicio de sesión único empresarial es garantizar que las credenciales correctas, es decir, el nombre de usuario y la contraseña correspondientes, se envían con el mensaje a la aplicación afiliada.

Procesamiento de mensajes con un vale de SSO

Como muestra el diagrama, cuando un adaptador de recepción obtiene un mensaje, el adaptador puede solicitar un vale de SSO del servidor de SSO A (paso 1). Este vale cifrado contiene la identidad de Windows del usuario que realizó la solicitud y un periodo de tiempo en espera. (No confunda este vale con un vale de Kerberos, pues no son lo mismo.) Una vez que se ha adquirido el vale, éste se agrega como una propiedad al mensaje entrante. El mensaje sigue su ruta normal a través del motor de BizTalk Server, lo que en este ejemplo supone que lo controla una orquestación. Cuando esta orquestación genera un mensaje saliente, dicho mensaje también contiene el vale de SSO adquirido con anterioridad.

El nuevo mensaje está destinado a la aplicación que se ejecuta en un gran sistema (mainframe) IBM, por lo que debe contener las credenciales apropiadas para que este usuario obtenga acceso a la aplicación. Para obtener estas credenciales, el adaptador de envío se pone en contacto con el servidor de SSO B (paso 2) y le proporciona el mensaje (que contiene el vale de SSO) que acaba de recibir y el nombre de la aplicación afiliada para la que está intentando recuperar las credenciales. Esta operación, llamada redención, hace que el servidor de SSO B compruebe el vale de SSO y busque las credenciales del usuario para la aplicación afiliada (paso 3). El servidor de SSO B devuelve las credenciales al adaptador de envío (paso 4), que las utiliza para enviar un mensaje debidamente autenticado a la aplicación afiliada (paso 5).

Administrar SSO

El inicio de sesión único empresarial también incluye herramientas de administración para llevar a cabo diversas operaciones. Todas las operaciones realizadas en la base de datos de SSO se auditan, por ejemplo, por lo que se proporcionan herramientas que permiten a un administrador supervisar estas operaciones y establecer varios niveles de auditoría. Otras herramientas permiten a un administrador deshabilitar una aplicación afiliada determinada, activar y desactivar una asignación individual para un usuario y llevar a cabo otras funciones. Además, hay una utilidad de cliente que permite a los usuarios finales configurar sus propias credenciales y asignaciones. Al igual que otros componentes de BizTalk Server, el inicio de sesión único empresarial expone sus servicios a través de una API programable. Los creadores de adaptadores de BizTalk Server de otros fabricantes utilizan esta API para obtener acceso a los servicios de inicio de sesión único, y los administradores la pueden utilizar para crear secuencias de comandos para automatizar tareas comunes.

El ejemplo anterior muestra un uso habitual del inicio de sesión único empresarial, pero también puede configurarse de otras formas. Por ejemplo, una instalación de BizTalk Server más pequeña puede tener sólo un único servidor de SSO, y es posible que utilice el inicio de sesión único empresarial independientemente del motor de BizTalk Server. (Esta tecnología también se incluye con Microsoft Host Integration Server.)

Consulte también

El motor de mensajería de BizTalk Server
Implementar el inicio de sesión único empresarial