Compartir a través de


Alta disponibilidad del inicio de sesión único (SSO) empresarial

Aunque no use la funcionalidad Enterprise Single Sign-On (SSO) para asignar credenciales y inicio de sesión único, el inicio de sesión único es una parte fundamental de la infraestructura general de Microsoft BizTalk Server, ya que BizTalk Server usa SSO para ayudar a proteger la información de las ubicaciones de recepción.

Debe configurar el primer equipo en el que instale el servicio SSO como servidor secreto principal. El servidor secreto principal es el servidor SSO que almacena el secreto (clave de cifrado) principal. El secreto principal es la clave de cifrado que utiliza el sistema SSO para cifrar y descifrar los datos que almacena en la base de datos de SSO.

Si un servidor SSO deja de funcionar y hay otros equipos BizTalk Server (y, por consiguiente, servidores SSO) que están ejecutando la misma instancia de host, los demás servidores SSO siguen funcionando. Esto significa que el servidor secreto principal sigue funcionando correctamente y, por tanto, el procesamiento de BizTalk Server continúa.

Si se produce un error en el servidor secreto principal, todas las operaciones en tiempo de ejecución que se estaban ejecutando antes de que se produjese el error, incluido el descifrado de credenciales, continuarán con normalidad. No obstante, no se pueden cifrar nuevas credenciales. Por tanto, el entorno de BizTalk Server depende de la disponibilidad del servidor secreto principal, como se muestra en la ilustración siguiente.

Puntos de error

Nota

Si el servidor secreto maestro deja de estar disponible, BizTalk Server instancias de host todavía pueden realizar operaciones en tiempo de ejecución mediante la copia almacenada en caché en memoria del secreto maestro hasta que:

  • Se reinician las instancias de host.

    • Se reinicia el servicio SSO en el equipo que ejecuta instancias de host de BizTalk.
    • Cambia el secreto principal de SSO.

    Si el servicio SSO se reinicia en los equipos de BizTalk Server o si se cambia el secreto maestro de SSO, la copia almacenada en caché del secreto maestro se libera de la memoria y el BizTalk Server debe poder ponerse en contacto con el servidor secreto maestro para obtener otra copia del secreto maestro. Si el servidor secreto principal no está disponible entonces, fallará cualquier operación administrativa que requiera obtener acceso al servidor secreto principal con fines de cifrado.

Hacer que el servidor secreto principal esté disponible

Para la disponibilidad del sistema SSO y, por tanto, del entorno de BizTalk Server, es fundamental crear una copia de seguridad del secreto principal inmediatamente después de generarlo. Si se pierde, se perderán también los datos que cifró el sistema SSO utilizando ese secreto principal. Para obtener más información sobre cómo realizar una copia de seguridad del secreto maestro, vea Cómo realizar una copia de seguridad del secreto maestro.

Puede hacer que el servidor secreto principal esté disponible de dos maneras:

  • Disponible, pero no con una alta disponibilidad: todos los servidores SSO tienen el secreto principal almacenado en la memoria caché y las operaciones en tiempo de ejecución continuarán incluso si se produce un error en el servidor secreto principal. Sin embargo, no podrá cambiar la configuración de los puertos ni la configuración de SSO. El motor de tiempo de ejecución de BizTalk Server seguirá funcionando sin problemas, pero no podrá realizar ningún cambio de diseño.

    Aunque esta configuración no ofrezca una alta disponibilidad, puede ser satisfactoria para la mayoría de los escenarios y es coherente con la escala de las operaciones de recepción, envío y procesamiento de host.

  • Se trata de un nivel de alta disponibilidad. para proporcionar redundancia al servidor secreto principal, utilice la Organización por clústeres de Windows en un clúster de servidores secretos principales diferente o configure el servidor secreto principal en un clúster de base de datos existente. Los servicios que proporciona el servidor secreto principal no consumen muchos recursos y, normalmente, no afectan a la funcionalidad de la base de datos ni al rendimiento si se instalan en un clúster de base de datos. La siguiente ilustración muestra cómo aportar alta disponibilidad al servidor secreto principal.

    TDI_HighAva_MSSCluster del servidor secreto maestro de alta disponibilidad

    Aunque esta configuración tenga una alta disponibilidad, requiere recursos de hardware adicionales. Para más información sobre las opciones de instalación de alta disponibilidad para el inicio de sesión único, consulte Opciones de instalación de SSO de alta disponibilidad. Esta sección incluye información detallada acerca de la configuración del servicio secreto principal de SSO como recurso de clúster de alta disponibilidad en un clúster de Windows Server.

    Nota

    Para reducir los recursos de hardware en una solución de alta disponibilidad, puede agregar el servidor secreto principal como recurso de clúster al clúster de SQL Server. No es necesario comprar licencias de BizTalk Server adicionales para instalar el servicio SSO en otro equipo.

Consulte también

Agrupación en clústeres de las bases de datos de BizTalk Server
Crear un entorno de BizTalk Server de alta disponibilidad
Agrupación del servidor secreto maestro